CVE-2026-48582: Kritisk fejl i Microsoft Exchange Online
Kritisk sikkerhedsfejl i Microsoft Exchange Online lader angribere med blot en brugerkonto opnå administratorrettigheder.
Hvad er det?
En alvorlig sikkerhedsfejl i Microsoft Exchange Online (virksomheders cloud-baserede e-mailsystem fra Microsoft) betyder, at en angriber med en helt almindelig brugerkonto kan hæve sine egne rettigheder til et højere niveau — uden at det kræver særlige tekniske forudsætninger. Fejlen skyldes manglende autorisationskontrol (systemet tjekker ikke grundigt nok, om brugeren har lov til at udføre bestemte handlinger). Det betyder i praksis, at en angriper kan gøre ting i dit e-mailmiljø, som kun administratorer burde have adgang til.
Hvem rammer det?
Alle virksomheder og organisationer der bruger Microsoft Exchange Online — typisk via Microsoft 365-abonnementer — er potentielt berørt. Det gælder særligt:
- Virksomheder der bruger Exchange Online til e-mail, kalender og mødeindkaldelser
- Organisationer hvor medarbejdere logger ind med Microsoft 365-konti
- Virksomheder der har gæstebrugere eller eksterne samarbejdspartnere med adgang til miljøet
En angriber behøver blot én gyldig brugerkonto — for eksempel en kompromitteret medarbejderkonto — for at udnytte fejlen.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan vedkommende:
- Opnå administratorrettigheder i dit Exchange Online-miljø
- Læse, kopiere eller videresende fortrolige e-mails fra andre brugere
- Ændre e-mailindstillinger, regler og politikker på tværs af organisationen
- Potentielt bruge de hævede rettigheder som springbræt til at angribe andre systemer i din virksomhed
Fortrolighed og integritet er begge i høj risiko — det vil sige, at data kan blive læst og manipuleret. Tilgængeligheden af systemet påvirkes ikke direkte af denne fejl alene.
Hvor alvorligt er det?
Sårbarheden er vurderet til 9,6 ud af 10 (Kritisk) i den internationale CVSS-skala. Det er meget højt, og det skyldes:
- Netværksbaseret angreb: Angrebet kan udføres fjernt over internettet — angriberen behøver ikke fysisk adgang
- Lav kompleksitet: Det kræver ingen særlige tekniske færdigheder at udnytte fejlen
- Kun lav brugeradgang kræves: En helt almindelig brugerkonto er nok
- Ingen brugerinteraktion: Dine medarbejdere behøver ikke klikke på noget eller gøre noget forkert
- Høj rækkevidde: Angrebet kan påvirke ressourcer uden for den direkte berørte konto (såkaldt ‘scope change’)
Hvad gør jeg nu?
Følg disse trin hurtigst muligt for at beskytte din virksomhed:
- Tjek om Microsoft har udsendt en opdatering: Log ind på Microsoft 365 Admin Center og tjek efter sikkerhedsopdateringer eller meddelelser fra Microsoft. Exchange Online opdateres normalt automatisk af Microsoft, men bekræft at din instans kører den nyeste version.
- Gennemgå adgange og konti: Identificér hvilke brugere der har adgang til Exchange Online — særligt brugere med forhøjede rettigheder eller gæsteadgange udefra.
- Aktiver og gennemgå logning: Sørg for at Microsoft 365 audit-log (overvågningslog) er slået til, så du kan opdage mistænkelig aktivitet. Dette gøres i Microsoft 365 Compliance Center.
- Skift adgangskoder på mistænkelige konti: Hvis du har mistanke om, at en konto kan være kompromitteret, skal du straks nulstille adgangskoden og aktivere multifaktorgodkendelse (MFA) — et ekstra login-trin udover kodeordet.
- Kontakt jeres IT-leverandør eller konsulent: Hvis I ikke selv har ressourcerne til at håndtere dette, så kontakt jeres IT-support eller en cybersikkerhedskonsulent for hjælp til afhjælpning og monitering.
Handl inden for 24-48 timer
Vi anbefaler, at du behandler denne sårbarhed som en akut prioritet. Kontrollér straks om Microsoft har rullet en rettelse ud til jeres Exchange Online-miljø, og sørg for at multifaktorgodkendelse (MFA) er aktiveret på alle konti — det gør det markant sværere for en angriber at udnytte en kompromitteret brugerkonto. Overvåg jeres Microsoft 365-logfiler for usædvanlig aktivitet, og begræns adgange til det absolut nødvendige. Har du brug for hjælp til at vurdere jeres eksponering, er du velkommen til at kontakte os.
Tidslinje
Konkrete eksempler
Kompromitteret medarbejderkonto bruges som springbræt
En angriber sender en phishing-e-mail til en medarbejder i bogholderiet, som ikke er teknisk kyndig. Medarbejderen klikker på et falsk Microsoft-login og afleverer sit kodeord. Angriberen bruger nu denne almindelige brugerkonto til at udnytte CVE-2026-48582, hæver sine rettigheder til administrator i Exchange Online og får adgang til alle medarbejderes e-mailbokse — herunder direktørens fortrolige korrespondance med bank og advokat.
Ekstern konsulent misbruger sin gæsteadgang
En virksomhed har givet en ekstern konsulent en midlertidig Microsoft 365-gæstekonto med begrænset adgang. Konsulenten — eller en angriber der har overtaget konsulentens konto — udnytter sårbarheden til at eskalere sine rettigheder og opsætte skjulte videresendelsesregler i Exchange Online, så alle fremtidige e-mails automatisk kopieres til en ekstern adresse uden at nogen opdager det.
Manipulation af virksomhedens e-mailpolitikker
En angriber med en kompromitteret lavprivilegeret konto udnytter fejlen til at opnå administratorrettigheder og ændrer virksomhedens e-mail-sikkerhedspolitikker — for eksempel deaktiverer spamfiltre eller interne advarsler om mistænkelige e-mails. Dette baner vejen for et efterfølgende phishing-angreb mod alle medarbejdere, der nu ikke modtager advarsler om falske e-mails.
Ofte stillede spørgsmål
Bruger vi Exchange Online, hvis vi har Microsoft 365?
Sandsynligvis ja. De fleste Microsoft 365-abonnementer til erhverv inkluderer Exchange Online som e-mailplatform. Du kan bekræfte det ved at logge ind på Microsoft 365 Admin Center og se under ‘Produkter’ eller kontakte jeres IT-leverandør.
Skal vi gøre noget selv, eller opdaterer Microsoft automatisk?
Microsoft Exchange Online er en cloud-tjeneste, og Microsoft ruller normalt sikkerhedsrettelser ud automatisk uden at du skal gøre noget. Men du bør stadig verificere, at rettelsen er udrullet i jeres miljø, og iværksætte de anbefalede sikkerhedsforanstaltninger som MFA og loggennemgang — dem tager Microsoft ikke for dig.
Hvad er multifaktorgodkendelse (MFA), og hvorfor hjælper det her?
MFA betyder, at en bruger skal bekræfte sin identitet på to måder ved login — typisk med sit kodeord og derefter en kode sendt til mobiltelefonen. Selvom en angriber kender en medarbejders kodeord, kan vedkommende ikke logge ind uden den ekstra kode. Det reducerer kraftigt risikoen for, at en kompromitteret konto kan bruges til at udnytte denne sårbarhed.
Kan vi se, om nogen allerede har udnyttet fejlen mod os?
Ja, delvist. Hvis Microsoft 365 audit-logning er aktiveret, kan I søge efter usædvanlige aktiviteter som pludselige rettighedsændringer, login fra ukendte lokationer eller uventede ændringer i e-mailregler. Kontakt en IT-sikkerhedsekspert, hvis I har mistanke om et angreb — de kan hjælpe med at gennemgå logfiler og vurdere skaden.
Er det kun vores egne ansatte, der kan angribe os på denne måde?
Nej. En angriber kan være en ekstern person, der har fået fat i én medarbejders loginoplysninger — for eksempel via phishing (bedrageri-e-mails). Vedkommende kan derefter udnytte denne sårbarhed udefra over internettet. Derfor er det vigtigt at kombinere opdateringer med MFA og opmærksomhed på mistænkelige e-mails.
Hvad er en 'privilege escalation' (rettighedseskalering)?
Det betyder, at en person — eller et program — opnår flere rettigheder i et system, end vedkommende er tildelt. I dette tilfælde kan en angriber med en simpel brugerkonto ‘opgradere’ sig selv til administrator, som om de havde fået nøglen til hele huset i stedet for bare fordøren.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Missing authorization in Microsoft Exchange Online allows an authorized attacker to elevate privileges over a network.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
