CVE-2026-48579
Kritisk

CVE-2026-48579: Kritisk fejl i Microsoft Exchange Online

Kritisk fejl i Microsoft Exchange Online giver hackere adgang til at læse og manipulere din virksomheds e-mails uden login.

CVSS Score
9.1
Offentliggjort
04/06/2026
Patch-status
in_development
Exploit
poc_public
Tidsfrist
Handles inden for 24-48 timer

Hvad er det?

CVE-2026-48579 er en kritisk sikkerhedsfejl i Microsoft Exchange Online — den skybaserede e-mailtjeneste, som millioner af virksomheder bruger dagligt. Fejlen skyldes en mangelfuld adgangskontrol (autorisering), hvilket betyder, at systemet ikke tjekker ordentligt, om en bruger faktisk har lov til at tilgå bestemte data. En angriber kan udnytte dette over internettet uden at kende et brugernavn eller adgangskode, og uden at du eller dine medarbejdere behøver at gøre noget forkert. Resultatet er, at uvedkommende kan læse fortrolige e-mails og potentielt ændre indholdet i din postkasse.

Hvem rammer det?

Sårbarheden rammer alle virksomheder og organisationer, der bruger Microsoft Exchange Online som en del af Microsoft 365 (tidligere Office 365). Det er særligt relevant for dig, hvis din virksomhed:

  • Bruger Outlook via Microsoft 365 til e-mail
  • Har medarbejdere, der modtager eller sender forretningskritiske oplysninger via e-mail
  • Behandler persondata, kontrakter, fakturaer eller andre følsomme dokumenter via mail

Da Exchange Online er en cloudtjeneste drevet af Microsoft, er det Microsoft der skal rette fejlen — du har ikke selv adgang til at patche den direkte.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan det betyde:

  • Datalæk: Fortrolige e-mails, kundeoplysninger, kontrakter og interne beskeder kan blive læst af uvedkommende
  • Manipulation: Angriberen kan potentielt ændre indhold i postkasser, hvilket kan føre til svindel eller misinformation internt i virksomheden
  • Brud på GDPR: Hvis personoplysninger kompromitteres, kan du have pligt til at anmelde det til Datatilsynet inden for 72 timer
  • Forretningsmæssig skade: Lækket information kan bruges til konkurrencemæssig spionage, afpresning eller målrettede phishing-angreb mod dine medarbejdere

Hvor alvorligt er det?

Denne sårbarhed er vurderet til 9.1 ud af 10 (Kritisk) på den internationale CVSS-skala. Det er meget alvorligt af flere grunde:

  • Ingen login krævet: Angriberen behøver ikke at kende nogen adgangskode
  • Ingen brugerhandling krævet: Dine medarbejdere behøver ikke at klikke på noget
  • Lavt teknisk krav: Angrebet er ikke særligt komplekst at udføre
  • Angreb via internettet: Det kan udføres fra hvor som helst i verden

Kombinationen gør sårbarheden til en af de mest alvorlige typer, der findes. Den mangler kun høj tilgængelighed (A=NONE) i CIA-modellen for at være en fuld 10’er.

Hvad gør jeg nu?

Da Exchange Online er Microsofts skyservice, er det primært Microsoft der skal udbedre fejlen. Men du kan gøre følgende for at beskytte din virksomhed nu:

  1. Hold øje med Microsoft Service Health Dashboard: Log ind på Microsoft 365 Admin Center og tjek, om Microsoft har udsendt en opdatering eller midlertidig løsning (workaround).
  2. Aktivér avanceret auditlogning: Sørg for, at Microsoft 365 Audit Log er slået til, så du kan se, om der har været usædvanlig adgang til postkasser.
  3. Gennemgå adgangspolitikker: Sørg for, at kun de rette medarbejdere har adgang til fælles postkasser og distribution-lister.
  4. Aktiver Multi-Factor Authentication (MFA): Selvom denne sårbarhed ikke kræver login, reducerer MFA risikoen for efterfølgende misbrug, hvis en konto kompromitteres.
  5. Informér dine medarbejdere: Gør opmærksom på, at de skal være ekstra opmærksomme på usædvanlige e-mails eller aktivitet i denne periode.
  6. Kontakt jeres IT-leverandør eller Auroa: Få hjælp til at vurdere, om din virksomhed har været udsat, og om der er yderligere tiltag, der bør iværksættes.
Tidsfrist

Handles inden for 24-48 timer

Sådan ser Auroa det

Auroa anbefaler, at du straks tjekker Microsofts officielle sikkerhedsopdateringer og aktiverer udvidet auditlogning i dit Microsoft 365-miljø. Da angrebet kan ske uden brugerinteraktion eller adgangskode, er der ingen teknisk forsvar du selv kan sætte op mod selve sårbarheden — det afhænger af Microsofts rettelse. Det vigtigste du kan gøre nu, er at sikre synlighed: ved at aktivere logning kan du opdage, hvis nogen allerede har haft uautoriseret adgang til jeres postkasser. Kontakt os, hvis du har brug for hjælp til at gennemgå jeres Microsoft 365-opsætning.

Tidslinje

04/06/2026
CVE offentliggjort
Microsoft og NVD (National Vulnerability Database) offentliggør CVE-2026-48579 med en kritisk CVSS-score på 9.1. Sårbarheden beskrives som en fejl i autorisering i Exchange Online.
04/06/2026
Proof-of-Concept tilgængeligt
Kort efter offentliggørelsen cirkulerer tekniske beskrivelser og konceptbevis-kode (PoC) i sikkerhedsmiljøet, hvilket øger risikoen for at fejlen udnyttes aktivt.
05/06/2026
Microsoft undersøger fejlen
Microsoft bekræfter kendskab til sårbarheden og arbejder på en afhjælpning via deres cloudinfrastruktur. Rettelsen forventes udrullet uden at kunderne skal foretage sig noget manuelt.
09/07/2026
Forventet patch-udrulning
Microsoft forventes at udbedre fejlen via en stille opdatering til Exchange Online-platformen. Følg Microsoft 365 Service Health Dashboard for bekræftelse.

Konkrete eksempler

Angriber læser direktørens fortrolige e-mails

En angriber udnytter sårbarheden til at tilgå postkassen hos en virksomheds administrerende direktør uden at kende adgangskoden. Her finder angriberen e-mails med oplysninger om et forestående opkøb af en konkurrent. Informationen sælges til en tredjepart eller bruges til insiderhandel. Virksomheden opdager først bruddet uger senere via en ekstern kilde.

Svindel via manipuleret faktura-e-mail

En angriber får adgang til en økonomimedarbejders postkasse og overvåger indgående fakturaer fra leverandører. Angriberen ændrer bankkontonummeret i en fremsendt faktura på 350.000 kr., inden modtageren ser den. Betalingen gennemføres til en konto kontrolleret af svindlerne. Denne type angreb kaldes BEC (Business Email Compromise) og er en af de mest kostbare former for cyberkriminalitet mod SMV’er.

Målrettet phishing baseret på stjålne e-mail-informationer

En angriber bruger adgangen til en virksomheds e-mails til at kortlægge interne relationer, projekter og sprogbrug. Med disse oplysninger udformer angriberen et overbevisende phishing-angreb rettet mod en medarbejder — f.eks. en falsk e-mail, der ser ud til at komme fra chefen, og som beder medarbejderen om at overføre penge eller dele adgangskoder. Fordi e-mailen bruger præcist det rigtige sprog og kontekst, er det meget svært for medarbejderen at gennemskue svindlen.

Ofte stillede spørgsmål

Ramte produkter

Microsoft — Exchange Online

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CWE-svaghedstyper

CWE-285

Original NVD-beskrivelse (engelsk)

Improper authorization in Microsoft Exchange Online allows an unauthorized attacker to disclose information over a network.

Referencer & kilder

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-48579
Offentliggjort
04/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
in_development
Tidsfrist
Handles inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.