CVE-2026-48579: Kritisk fejl i Microsoft Exchange Online
Kritisk fejl i Microsoft Exchange Online giver hackere adgang til at læse og manipulere din virksomheds e-mails uden login.
Hvad er det?
CVE-2026-48579 er en kritisk sikkerhedsfejl i Microsoft Exchange Online — den skybaserede e-mailtjeneste, som millioner af virksomheder bruger dagligt. Fejlen skyldes en mangelfuld adgangskontrol (autorisering), hvilket betyder, at systemet ikke tjekker ordentligt, om en bruger faktisk har lov til at tilgå bestemte data. En angriber kan udnytte dette over internettet uden at kende et brugernavn eller adgangskode, og uden at du eller dine medarbejdere behøver at gøre noget forkert. Resultatet er, at uvedkommende kan læse fortrolige e-mails og potentielt ændre indholdet i din postkasse.
Hvem rammer det?
Sårbarheden rammer alle virksomheder og organisationer, der bruger Microsoft Exchange Online som en del af Microsoft 365 (tidligere Office 365). Det er særligt relevant for dig, hvis din virksomhed:
- Bruger Outlook via Microsoft 365 til e-mail
- Har medarbejdere, der modtager eller sender forretningskritiske oplysninger via e-mail
- Behandler persondata, kontrakter, fakturaer eller andre følsomme dokumenter via mail
Da Exchange Online er en cloudtjeneste drevet af Microsoft, er det Microsoft der skal rette fejlen — du har ikke selv adgang til at patche den direkte.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan det betyde:
- Datalæk: Fortrolige e-mails, kundeoplysninger, kontrakter og interne beskeder kan blive læst af uvedkommende
- Manipulation: Angriberen kan potentielt ændre indhold i postkasser, hvilket kan føre til svindel eller misinformation internt i virksomheden
- Brud på GDPR: Hvis personoplysninger kompromitteres, kan du have pligt til at anmelde det til Datatilsynet inden for 72 timer
- Forretningsmæssig skade: Lækket information kan bruges til konkurrencemæssig spionage, afpresning eller målrettede phishing-angreb mod dine medarbejdere
Hvor alvorligt er det?
Denne sårbarhed er vurderet til 9.1 ud af 10 (Kritisk) på den internationale CVSS-skala. Det er meget alvorligt af flere grunde:
- Ingen login krævet: Angriberen behøver ikke at kende nogen adgangskode
- Ingen brugerhandling krævet: Dine medarbejdere behøver ikke at klikke på noget
- Lavt teknisk krav: Angrebet er ikke særligt komplekst at udføre
- Angreb via internettet: Det kan udføres fra hvor som helst i verden
Kombinationen gør sårbarheden til en af de mest alvorlige typer, der findes. Den mangler kun høj tilgængelighed (A=NONE) i CIA-modellen for at være en fuld 10’er.
Hvad gør jeg nu?
Da Exchange Online er Microsofts skyservice, er det primært Microsoft der skal udbedre fejlen. Men du kan gøre følgende for at beskytte din virksomhed nu:
- Hold øje med Microsoft Service Health Dashboard: Log ind på Microsoft 365 Admin Center og tjek, om Microsoft har udsendt en opdatering eller midlertidig løsning (workaround).
- Aktivér avanceret auditlogning: Sørg for, at Microsoft 365 Audit Log er slået til, så du kan se, om der har været usædvanlig adgang til postkasser.
- Gennemgå adgangspolitikker: Sørg for, at kun de rette medarbejdere har adgang til fælles postkasser og distribution-lister.
- Aktiver Multi-Factor Authentication (MFA): Selvom denne sårbarhed ikke kræver login, reducerer MFA risikoen for efterfølgende misbrug, hvis en konto kompromitteres.
- Informér dine medarbejdere: Gør opmærksom på, at de skal være ekstra opmærksomme på usædvanlige e-mails eller aktivitet i denne periode.
- Kontakt jeres IT-leverandør eller Auroa: Få hjælp til at vurdere, om din virksomhed har været udsat, og om der er yderligere tiltag, der bør iværksættes.
Handles inden for 24-48 timer
Auroa anbefaler, at du straks tjekker Microsofts officielle sikkerhedsopdateringer og aktiverer udvidet auditlogning i dit Microsoft 365-miljø. Da angrebet kan ske uden brugerinteraktion eller adgangskode, er der ingen teknisk forsvar du selv kan sætte op mod selve sårbarheden — det afhænger af Microsofts rettelse. Det vigtigste du kan gøre nu, er at sikre synlighed: ved at aktivere logning kan du opdage, hvis nogen allerede har haft uautoriseret adgang til jeres postkasser. Kontakt os, hvis du har brug for hjælp til at gennemgå jeres Microsoft 365-opsætning.
Tidslinje
Konkrete eksempler
Angriber læser direktørens fortrolige e-mails
En angriber udnytter sårbarheden til at tilgå postkassen hos en virksomheds administrerende direktør uden at kende adgangskoden. Her finder angriberen e-mails med oplysninger om et forestående opkøb af en konkurrent. Informationen sælges til en tredjepart eller bruges til insiderhandel. Virksomheden opdager først bruddet uger senere via en ekstern kilde.
Svindel via manipuleret faktura-e-mail
En angriber får adgang til en økonomimedarbejders postkasse og overvåger indgående fakturaer fra leverandører. Angriberen ændrer bankkontonummeret i en fremsendt faktura på 350.000 kr., inden modtageren ser den. Betalingen gennemføres til en konto kontrolleret af svindlerne. Denne type angreb kaldes BEC (Business Email Compromise) og er en af de mest kostbare former for cyberkriminalitet mod SMV’er.
Målrettet phishing baseret på stjålne e-mail-informationer
En angriber bruger adgangen til en virksomheds e-mails til at kortlægge interne relationer, projekter og sprogbrug. Med disse oplysninger udformer angriberen et overbevisende phishing-angreb rettet mod en medarbejder — f.eks. en falsk e-mail, der ser ud til at komme fra chefen, og som beder medarbejderen om at overføre penge eller dele adgangskoder. Fordi e-mailen bruger præcist det rigtige sprog og kontekst, er det meget svært for medarbejderen at gennemskue svindlen.
Ofte stillede spørgsmål
Skal vi gøre noget selv, eller fikser Microsoft det automatisk?
Microsoft er ansvarlig for at udbedre fejlen i Exchange Online, da det er en cloudtjeneste de driver. Du vil typisk ikke selv skulle installere en opdatering. Men du bør aktivt overvåge Microsofts kommunikation og sikre, at dine sikkerhedsindstillinger i Microsoft 365 er korrekte, så du er bedst muligt beskyttet i mellemtiden.
Kan vi se, om nogen allerede har udnyttet fejlen mod os?
Ja, men kun hvis auditlogning er aktiveret i dit Microsoft 365-miljø. Gå til Microsoft 365 Admin Center og tjek under Compliance-centeret, om der er usædvanlig aktivitet i postkasserne. Har du ikke logning slået til, er det svært at se bagud i tid. Kontakt din IT-leverandør for hjælp til en gennemgang.
Er vores virksomhed i fare, hvis vi bruger Outlook på computeren?
Ja, hvis du tilgår din e-mail via Microsoft 365 (Exchange Online), er du potentielt berørt — uanset om du bruger Outlook-appen, webmail (outlook.com) eller en mobilapp. Sårbarheden ligger i selve den bagvedliggende Exchange Online-tjeneste, ikke i din Outlook-app. Det betyder, at en opdatering af Outlook-appen ikke løser problemet.
Skal vi anmelde det til Datatilsynet?
Du har kun pligt til at anmelde et brud til Datatilsynet, hvis der faktisk er sket et brud på personoplysninger i din virksomhed. Selve eksistensen af en sårbarhed er ikke nok. Hvis du derimod opdager, at uvedkommende har haft adgang til e-mails med personoplysninger, skal du som udgangspunkt anmelde det til Datatilsynet inden for 72 timer. Kontakt en juridisk rådgiver eller Auroa, hvis du er i tvivl.
Hvad er forskellen på denne fejl og et normalt phishing-angreb?
Ved phishing skal en medarbejder aktivt gøre noget forkert — f.eks. klikke på et link eller afgive sin adgangskode. Denne sårbarhed er anderledes og mere alvorlig, fordi angriberen kan få adgang til e-mails uden at dine medarbejdere behøver at gøre noget som helst. Der er intet at klikke på og ingen adgangskode at beskytte sig med. Det er selve systemet, der svigter.
Påvirker det også vores kalender og Teams-beskeder?
Baseret på de tilgængelige oplysninger er sårbarheden specifikt knyttet til Exchange Online, som håndterer e-mail og kalender. Det er ikke bekræftet, om Teams-beskeder er direkte berørt, da disse håndteres af en separat tjeneste. Kalenderdata, som lagres i Exchange Online, bør dog betragtes som potentielt kompromitterede, indtil Microsoft bekræfter rettelsen.
Ramte produkter
Microsoft — Exchange Online
–
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Improper authorization in Microsoft Exchange Online allows an unauthorized attacker to disclose information over a network.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
