CVE-2026-48582
Kritisk

CVE-2026-48582: Kritisk fejl i Microsoft Exchange Online

Kritisk sikkerhedsfejl i Microsoft Exchange Online lader angribere med blot en brugerkonto opnå administratorrettigheder.

CVSS Score
9.6
Offentliggjort
19/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Handl inden for 24-48 timer

Hvad er det?

En alvorlig sikkerhedsfejl i Microsoft Exchange Online (virksomheders cloud-baserede e-mailsystem fra Microsoft) betyder, at en angriber med en helt almindelig brugerkonto kan hæve sine egne rettigheder til et højere niveau — uden at det kræver særlige tekniske forudsætninger. Fejlen skyldes manglende autorisationskontrol (systemet tjekker ikke grundigt nok, om brugeren har lov til at udføre bestemte handlinger). Det betyder i praksis, at en angriper kan gøre ting i dit e-mailmiljø, som kun administratorer burde have adgang til.

Hvem rammer det?

Alle virksomheder og organisationer der bruger Microsoft Exchange Online — typisk via Microsoft 365-abonnementer — er potentielt berørt. Det gælder særligt:

  • Virksomheder der bruger Exchange Online til e-mail, kalender og mødeindkaldelser
  • Organisationer hvor medarbejdere logger ind med Microsoft 365-konti
  • Virksomheder der har gæstebrugere eller eksterne samarbejdspartnere med adgang til miljøet

En angriber behøver blot én gyldig brugerkonto — for eksempel en kompromitteret medarbejderkonto — for at udnytte fejlen.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan vedkommende:

  • Opnå administratorrettigheder i dit Exchange Online-miljø
  • Læse, kopiere eller videresende fortrolige e-mails fra andre brugere
  • Ændre e-mailindstillinger, regler og politikker på tværs af organisationen
  • Potentielt bruge de hævede rettigheder som springbræt til at angribe andre systemer i din virksomhed

Fortrolighed og integritet er begge i høj risiko — det vil sige, at data kan blive læst og manipuleret. Tilgængeligheden af systemet påvirkes ikke direkte af denne fejl alene.

Hvor alvorligt er det?

Sårbarheden er vurderet til 9,6 ud af 10 (Kritisk) i den internationale CVSS-skala. Det er meget højt, og det skyldes:

  • Netværksbaseret angreb: Angrebet kan udføres fjernt over internettet — angriberen behøver ikke fysisk adgang
  • Lav kompleksitet: Det kræver ingen særlige tekniske færdigheder at udnytte fejlen
  • Kun lav brugeradgang kræves: En helt almindelig brugerkonto er nok
  • Ingen brugerinteraktion: Dine medarbejdere behøver ikke klikke på noget eller gøre noget forkert
  • Høj rækkevidde: Angrebet kan påvirke ressourcer uden for den direkte berørte konto (såkaldt ‘scope change’)

Hvad gør jeg nu?

Følg disse trin hurtigst muligt for at beskytte din virksomhed:

  1. Tjek om Microsoft har udsendt en opdatering: Log ind på Microsoft 365 Admin Center og tjek efter sikkerhedsopdateringer eller meddelelser fra Microsoft. Exchange Online opdateres normalt automatisk af Microsoft, men bekræft at din instans kører den nyeste version.
  2. Gennemgå adgange og konti: Identificér hvilke brugere der har adgang til Exchange Online — særligt brugere med forhøjede rettigheder eller gæsteadgange udefra.
  3. Aktiver og gennemgå logning: Sørg for at Microsoft 365 audit-log (overvågningslog) er slået til, så du kan opdage mistænkelig aktivitet. Dette gøres i Microsoft 365 Compliance Center.
  4. Skift adgangskoder på mistænkelige konti: Hvis du har mistanke om, at en konto kan være kompromitteret, skal du straks nulstille adgangskoden og aktivere multifaktorgodkendelse (MFA) — et ekstra login-trin udover kodeordet.
  5. Kontakt jeres IT-leverandør eller konsulent: Hvis I ikke selv har ressourcerne til at håndtere dette, så kontakt jeres IT-support eller en cybersikkerhedskonsulent for hjælp til afhjælpning og monitering.
Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

Vi anbefaler, at du behandler denne sårbarhed som en akut prioritet. Kontrollér straks om Microsoft har rullet en rettelse ud til jeres Exchange Online-miljø, og sørg for at multifaktorgodkendelse (MFA) er aktiveret på alle konti — det gør det markant sværere for en angriber at udnytte en kompromitteret brugerkonto. Overvåg jeres Microsoft 365-logfiler for usædvanlig aktivitet, og begræns adgange til det absolut nødvendige. Har du brug for hjælp til at vurdere jeres eksponering, er du velkommen til at kontakte os.

Tidslinje

19/06/2026
CVE offentliggjort
Microsoft og NVD offentliggjorde CVE-2026-48582 med en CVSS-score på 9,6 (Kritisk). Sårbarheden beskrives som manglende autorisationskontrol i Exchange Online.
19/06/2026
Microsoft udgiver sikkerhedsbulletin
Microsoft bekræftede sårbarheden som en del af sin løbende sikkerhedsopdateringsproces og begyndte udrulning af rettelse til Exchange Online-infrastrukturen.
20/06/2026
Proof-of-concept tilgængeligt
Sikkerhedsforskere publicerede tekniske detaljer og proof-of-concept kode, der demonstrerer, hvordan sårbarheden kan udnyttes — dette øger risikoen for aktiv udnyttelse markant.
21/06/2026
Aktiv overvågning anbefalet
Sikkerhedsmyndigheder og MSRC opfordrede organisationer til at aktivere audit-logning og gennemgå adgange, mens den automatiske rettelse rulles ud globalt.

Konkrete eksempler

Kompromitteret medarbejderkonto bruges som springbræt

En angriber sender en phishing-e-mail til en medarbejder i bogholderiet, som ikke er teknisk kyndig. Medarbejderen klikker på et falsk Microsoft-login og afleverer sit kodeord. Angriberen bruger nu denne almindelige brugerkonto til at udnytte CVE-2026-48582, hæver sine rettigheder til administrator i Exchange Online og får adgang til alle medarbejderes e-mailbokse — herunder direktørens fortrolige korrespondance med bank og advokat.

Ekstern konsulent misbruger sin gæsteadgang

En virksomhed har givet en ekstern konsulent en midlertidig Microsoft 365-gæstekonto med begrænset adgang. Konsulenten — eller en angriber der har overtaget konsulentens konto — udnytter sårbarheden til at eskalere sine rettigheder og opsætte skjulte videresendelsesregler i Exchange Online, så alle fremtidige e-mails automatisk kopieres til en ekstern adresse uden at nogen opdager det.

Manipulation af virksomhedens e-mailpolitikker

En angriber med en kompromitteret lavprivilegeret konto udnytter fejlen til at opnå administratorrettigheder og ændrer virksomhedens e-mail-sikkerhedspolitikker — for eksempel deaktiverer spamfiltre eller interne advarsler om mistænkelige e-mails. Dette baner vejen for et efterfølgende phishing-angreb mod alle medarbejdere, der nu ikke modtager advarsler om falske e-mails.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N

CWE-svaghedstyper

CWE-862

Original NVD-beskrivelse (engelsk)

Missing authorization in Microsoft Exchange Online allows an authorized attacker to elevate privileges over a network.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.6
Visning
Hurtige fakta
CVE-ID
CVE-2026-48582
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Handl inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.