Exchange CVE-2026-42897: Zero-Day aktiv
Microsoft hat am 14. Mai 2026 eine kritische Zero-Day-Schwachstelle in Exchange Server bestätigt. Die Sicherheitslücke CVE-2026-42897 (CVSS 8.1) wird bereits aktiv ausgenutzt – Administratoren von On-Premises-Exchange-Umgebungen sollten umgehend handeln.
Worum geht es bei CVE-2026-42897?
Die Schwachstelle betrifft den Outlook Web Access (OWA) von Exchange Server und wird als Cross-Site Scripting (XSS) / Spoofing-Bug klassifiziert. Ein Angreifer kann die Lücke ausnutzen, indem er eine speziell präparierte E-Mail an ein Opfer sendet.
Wenn der Empfänger die E-Mail in OWA öffnet und bestimmte Interaktionsbedingungen erfüllt sind, kann beliebiger JavaScript-Code im Browser-Kontext ausgeführt werden. Das ermöglicht dem Angreifer die Übernahme von Sitzungen oder das Stehlen von Anmeldedaten.
Betroffene Systeme
Diese On-Premises-Versionen sind betroffen:
- Exchange Server 2016 (alle Update-Level)
- Exchange Server 2019 (alle Update-Level)
- Exchange Server Subscription Edition (SE) – alle Versionen
Wichtig: Exchange Online ist nicht betroffen. Cloud-Nutzer können aufatmen.
Microsoft bestätigt aktive Ausnutzung
Das US-Cybersecurity and Infrastructure Security Agency (CISA) hat die Schwachstelle in seine „Known Exploited Vulnerabilities“-Liste aufgenommen. Microsoft bestätigt, dass Angriffe bereits in freier Wildbahn stattfinden – die Gefahr ist also real und unmittelbar.
Sofortmaßnahmen und Mitigation
Microsoft bietet derzeit eine temporäre Mitigation über den Exchange Emergency Mitigation Service (EEMS) an:
- EEMS ist standardmäßig aktiviert (seit September 2021)
- Die Mitigation (ID: M2.1.x) wird automatisch verteilt
- Überprüfung via Exchange Health Checker: aka.ms/ExchangeHealthChecker
Für air-gapped Umgebungen ohne Internetzugang steht das Exchange On-premises Mitigation Tool (EOMT) zur Verfügung:
Einzelner Server:
.\EOMT.ps1 -CVE "CVE-2026-42897"
Alle Server:
Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"
Download: aka.ms/UnifiedEOMT
Permanent Fix in Arbeit
Microsoft arbeitet an einem permanenten Patch für CVE-2026-42897. Bis dahin bleibt die EEMS-Mitigation der empfohlene Schutz.
Hinweis: Server mit Exchange-Versionen älter als März 2023 können über EEMS keine neuen Mitigationen mehr empfangen. Ein Update auf eine aktuelle Exchange-Version ist dringend empfohlen.
Fazit
CVE-2026-42897 stellt eine ernste Bedrohung für On-Premises-Exchange-Umgebungen dar. Mit einem CVSS-Score von 8.1 und aktiver Ausnutzung in freier Wildbahn sollten Administratoren keine Zeit verlieren:
- EEMS-Status prüfen und gegebenenfalls aktivieren
- Mitigation M2.1.x überprüfen (via Health Checker)
- Auf permanenten Patch warten und zeitnah einspielen
Die Kombination aus bekannter Schwachstelle und aktiver Ausnutzung macht diese Lücke besonders gefährlich – proaktives Handeln ist essentiell.
Quellen und weiterführende Informationen 📚
- Microsoft Tech Community: CVE-2026-42897 Advisory
- The Hacker News: Exchange Zero-Day Report
- Forbes: Active Exploitation Confirmed
- Exchange Health Checker Download
Hinweis zur Aktualität ⚠️
Dieser Beitrag basiert auf Informationen vom 14.-18. Mai 2026. Für die aktuellsten Sicherheitsupdates konsultieren Sie bitte direkt die Microsoft Security Response Center-Ressourcen.
Kommentar abschicken