CVE-2026-45583: Kritisk fejl i Microsoft Exchange Server
Kritisk sårbarhed i Microsoft Exchange Server giver angribere mulighed for at køre ondsindet kode på din mailserver via netværket.
Hvad er det?
CVE-2026-45583 er en såkaldt code injection-sårbarhed (fejl der tillader indsprøjtning af ondsindet kode) i Microsoft Exchange Server — det program mange virksomheder bruger til at håndtere e-mail internt. Fejlen skyldes, at Exchange ikke håndterer visse input korrekt, og det giver en angriber mulighed for at få serveren til at udføre kode, som angriberen selv har valgt. Angrebet kræver, at en bruger i din organisation foretager en handling — for eksempel åbner en e-mail eller klikker på et link — men kræver ingen særlige adgangskoder eller rettigheder fra angriberens side.
Hvem rammer det?
Sårbarheden rammer virksomheder, der selv drifter (hoster) Microsoft Exchange Server i en af følgende versioner:
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
- Microsoft Exchange Server Subscription Edition (SE) i versioner ældre end 15.02.2562.043
Bruger du Microsoft 365 / Exchange Online (cloud-baseret), er du ikke berørt. Kontakt din IT-ansvarlige, hvis du er i tvivl om hvilken løsning din virksomhed bruger.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan vedkommende køre vilkårlig kode på din Exchange-server med serverens rettigheder. Det betyder i praksis:
- Fortrolighed: Angriberen kan læse alle e-mails og vedhæftede filer på serveren — herunder fortrolige kontrakter, persondata og adgangskoder sendt via mail.
- Integritet: Angriberen kan ændre, slette eller sende e-mails på vegne af dine medarbejdere uden at de ved det.
- Tilgængelighed: Serveren kan låses ned, krypteres med ransomware (løsepengevirus) eller gøres utilgængelig, så din virksomheds kommunikation stopper.
Exchange-servere indeholder ofte meget følsomme data og er et primært mål for cyberkriminelle.
Hvor alvorligt er det?
Sårbarheden har fået en CVSS-score på 7,5 ud af 10 og klassificeres som Alvorlig. Angrebet sker over netværket og kræver ingen adgangskoder fra angriberen — kun at en bruger foretager en handling. Konsekvenserne er maksimale på alle tre parametre: fortrolighed, integritet og tilgængelighed er alle i fuld risiko. Det eneste der reducerer den samlede score en smule, er at angrebet kræver en vis teknisk kompleksitet og brugerinteraktion. Exchange Server er et hyppigt angrebet mål, og Microsoft-sårbarheder af denne type bliver typisk udnyttet hurtigt efter offentliggørelse.
Hvad gør jeg nu?
Bed din IT-ansvarlige eller leverandør om at gennemføre følgende trin hurtigst muligt:
- Find ud af hvilken Exchange-version du kører. Log på Exchange Admin Center eller spørg din IT-leverandør. Kig efter versionsnummeret og sammenlign med de berørte versioner ovenfor.
- Installér den seneste sikkerhedsopdatering fra Microsoft. Opdatér Exchange Server Subscription Edition til version 15.02.2562.043 eller nyere. Tjek Microsofts officielle Security Update Guide for opdateringspakker til Exchange 2016 og 2019.
- Begræns eksponering midlertidigt. Hvis opdatering ikke kan ske med det samme, så overvej at begrænse adgangen til Exchange-serveren udefra (fx via firewall) indtil patch er installeret.
- Oplys dine medarbejdere. Eftersom angrebet kræver brugerinteraktion, bør du minde medarbejdere om ikke at klikke på ukendte links eller åbne mistænkelige vedhæftninger.
- Tjek for tegn på kompromittering. Gennemgå Exchange-serverens logfiler for usædvanlig aktivitet, særligt fra perioden efter CVE’ens offentliggørelse.
Opdatér inden for 7 dage
Auroa anbefaler, at du behandler denne sårbarhed som højt prioriteret og installerer Microsofts sikkerhedsopdatering inden for én uge. Exchange-servere er et primært mål for ransomware-grupper og statslige hackere, og sårbarheder af denne type bliver hurtigt forsøgt udnyttet. Kan du ikke opdatere med det samme, skal du som minimum beskytte serveren bag en firewall og sikre, at den ikke er direkte tilgængelig fra internettet. Kontakt din IT-leverandør i dag og bed om en bekræftelse på, at opdateringen er planlagt.
Tidslinje
Konkrete eksempler
Phishing-mail med ondsindet link
En angriber sender en tilsyneladende legitim e-mail til en medarbejder i din virksomhed — fx forklædt som en faktura eller en kalenderinvitation. Når medarbejderen klikker på et link i e-mailen, udløses en særligt udformet forespørgsel mod Exchange-serveren. Serveren behandler forespørgslen ukorrekt og udfører angriberens kode, som installerer en bagdør (uautoriseret fjernadgang). Angriberen har nu fuld kontrol over Exchange-serveren og kan læse al e-mail i organisationen.
Ransomware-angreb via Exchange-serveren
En ransomware-gruppe scanner internettet for sårbare Exchange-servere og finder din. De udnytter CVE-2026-45583 til at køre deres krypteringsprogram på serveren. Inden for minutter er alle e-mails og serverdata krypterede, og din virksomheds interne kommunikation er fuldstændig lammet. Gruppen kræver løsepenge for at udlevere dekrypteringsnøglen — og truer med at offentliggøre de stjålne e-mails, hvis I ikke betaler.
Springbræt til resten af netværket
En angriber kompromitterer Exchange-serveren og bruger den som udgangspunkt for at bevæge sig videre ind i virksomhedens interne netværk. Exchange-serveren har typisk høje rettigheder og stoler på andre systemer i netværket. Angriberen kan dermed tilgå filservere, kundesystemer og backup-løsninger — og potentielt kompromittere hele IT-infrastrukturen, uden at nogen opdager det i første omgang.
Ofte stillede spørgsmål
Er vi berørt hvis vi bruger Microsoft 365 (cloud)?
Nej. Denne sårbarhed berører kun virksomheder, der selv drifter Exchange Server lokalt (on-premises). Bruger du Microsoft 365 eller Exchange Online, håndterer Microsoft sikkerheden i skyen, og du behøver ikke foretage dig noget i forbindelse med denne CVE.
Hvad skal der til for at en angriber kan udnytte fejlen?
Angriberen behøver ingen adgangskoder eller særlige rettigheder, men angrebet kræver, at en bruger i din organisation foretager en handling — typisk klikker på et ondsindet link eller åbner en særligt udformet e-mail. Angrebet sker over netværket og kræver, at Exchange-serveren er tilgængelig, fx via internettet.
Hvad sker der, hvis vi ikke opdaterer?
Uden opdateringen er din Exchange-server sårbar over for angreb, der kan give en angriber fuld kontrol over serveren. Det kan betyde, at alle e-mails læses eller slettes, at serveren krypteres med ransomware, eller at den bruges som springbræt til resten af dit netværk. Risikoen stiger, jo længere tid serveren forbliver upatchet.
Kan vi selv installere opdateringen, eller skal vi have hjælp?
Opdatering af Exchange Server kræver typisk teknisk ekspertise, da en forkert installation kan påvirke e-mail-flowet i din virksomhed. Vi anbefaler, at du kontakter din IT-leverandør eller -ansvarlige og beder dem gennemføre opdateringen i et planlagt vedligeholdelsesvindue. Sørg for at tage backup af serveren inden opdateringen.
Hvordan ved vi, om vi allerede er blevet angrebet?
Bed din IT-ansvarlige om at gennemgå Exchange-serverens logfiler (IIS-logs, Event Viewer og Exchange Management Shell) for usædvanlige aktiviteter, som fx ukendte processer, nye administratorkonti eller uforklarlige udgående forbindelser. Microsofts Defender og andre sikkerhedsværktøjer kan også hjælpe med at opdage tegn på kompromittering.
Exchange 2016 og 2019 er ved at nå end-of-life — hvad gør vi?
Microsoft Exchange 2016 og 2019 nærmer sig slutningen på deres supportperiode. Udover at installere denne patch bør du begynde at planlægge en migration til enten Exchange Server Subscription Edition (SE) eller Microsoft 365. En forældet platform uden leverandørsupport udgør en løbende sikkerhedsrisiko for din virksomhed.
Ramte produkter
Microsoft — Exchange Server
2016
Microsoft — Exchange Server
2019
Microsoft — Exchange Server Subscription Edition
< 15.02.2562.043
CVSS-detaljer
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Improper control of generation of code (‘code injection’) in Microsoft Exchange Server allows an unauthorized attacker to execute code over a network.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
