Nieuws
image

Kritieke lekken in Exchange Online en Copilot maakten datadiefstal mogelijk

vrijdag 5 juni 2026, 10:57 door Redactie, 5 reacties

Microsoft heeft kritieke kwetsbaarheden in Exchange Online en Copilot gepatcht die het stelen van data mogelijk maakten. Ook is een M365 Copilot-lek verholpen dat tot remote code execution (RCE) kon leiden. Volgens het techbedrijf is er geen misbruik van de problemen gemaakt. Beveiligingslekken die 'Information disclosure' mogelijk maken worden doorgaans niet als kritiek beoordeeld, dat is in het geval van de in totaal vier kwetsbaarheden in Exchange Online en Copilot wel het geval.

De kwetsbaarheid in Microsofts online maildienst Exchange Online (CVE-2026-48579) werd veroorzaakt door 'improper authorization'. Verdere details zijn niet gegeven, behalve dat Microsoft het probleem zelf ontdekte en aanvallers het konden gebruiken om data te stelen. De beveiligingslekken in Microsoft M365 Copilot (CVE-2026-42824 en CVE-2026-45497) en Copilot Chat voor Microsoft Edge (CVE-2026-47644) werden veroorzaakt doordat de chatbot niet goed omging met 'speciale elementen', bijvoorbeeld in commando's. Dit kon tot command injection leiden en het mogelijk maken voor aanvallers om informatie te stelen of code uit te voeren.

Microsoft heeft geen verdere details over de kwetsbaarheden gegeven en zegt het bestaan van de problemen voor transparantie bekend te hebben gemaakt. Gebruikers van de diensten hoeven geen actie te ondernemen, Microsoft heeft de betreffende updates zelf al doorgevoerd.

Reacties (5)
Reageer met quote
Vandaag, 11:09 door Anoniem
Voordeel van SaaS: opgelost al voor ik over de kwetsbaarheid lees.

(Nadeel: vele ogen op die ene bal. En afhankelijkheid).
Reageer met quote
Vandaag, 11:44 door Anoniem
Al die enshittyfication levert alleen maar complexere en slechtere code op die nog sneller te exploiten valt.
Maar mensen zijn van jongsaf gebrainwashed door anerikaanse big tech met gratis software, daarna goedkope hardware EN software op de uni en daarna kunnen ze niet meer zelf denken zonder hun big tech vriendjes. Dus als ze een E-Mail moeten sturen hebben ze of gmail of exchange nodig en kunnen ze niet overweg met protonmail of thunderbird (tenzij iemand zegt dat het exchange/outlook mozilla edition is. Want elke verandering van outlook in de afgelooen 30 jaar was heftiger dan overstappen op een ander pakket. Anyway, dat duurt weer minstens één generatie van mensen voordat die weer weg zijn.
Reageer met quote
Vandaag, 11:55 door Anoniem
Door Anoniem: Voordeel van SaaS: opgelost al voor ik over de kwetsbaarheid lees.

(Nadeel: vele ogen op die ene bal. En afhankelijkheid).

verder nadeel, wat ze je niet vertellem of op biechten, blijft een risico voor je maar je bent er wel verantwoordlijk voor ook al heb je het uitbesteeds! en zij zijn groot en jij bent klein en dat contract stelt dan niet veel voor zonder rechtzaken
.
Reageer met quote
Vandaag, 12:24 door Anoniem
Door Anoniem: Voordeel van SaaS: opgelost al voor ik over de kwetsbaarheid lees.

(Nadeel: vele ogen op die ene bal. En afhankelijkheid).
Wat iedereen stelselmatig lijkt te vergeten is dat al die in de Cloud oplossingen voor heel de wereld openstaan en je onderdeel bent van iets waar je totaal geen controle over hebt en maar moet geloven dat het veilig is en wordt gehouden.

Ga er maar vanuit dat een Cloud oplossingen per definitie een heel groot aanvalsvlak is voor heel de aardbol welke je niet kunt afkoppelen van het Internet.

Succes ermee.
Reageer met quote
Vandaag, 12:42 door Anoniem
Voordeel van SaaS: aanvalsvlak van een ander is ook meteen jouw aanvalsvlak.
Of korter: als er een probleem is heeft iedereen een probleem.
En dat betekent dan niet meteen dat het probleem minder groot is, in tegendeel!
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure GenAI Deep Dive Security Training