Warum Microsoft Exchange innerhalb weniger Tage zwei große Sicherheitsprobleme trafen

Wichtig: Zum Zeitpunkt der Demonstration gab es keine Hinweise darauf, dass diese Exploit‑Kette bereits in realen Angriffen genutzt wurde. Dennoch zeigt sie, dass weitere bislang unbekannte Schwachstellen in Exchange existieren können.

Das aktiv ausgenutzte Zero‑Day: CVE‑2026‑42897

Parallel zu den Pwn2Own‑News warnte Microsoft vor einer ganz anderen Bedrohung: einer Schwachstelle, die bereits aktiv angegriffen wurde.

Die Lücke CVE‑2026‑42897 ist eine Cross‑Site‑Scripting‑Schwachstelle (XSS) in Microsoft Exchange Server, verursacht durch unzureichende Neutralisierung von Eingaben bei der Webseitengenerierung.

Angreifer können manipulierte Inhalte einschleusen, die beim Öffnen über Web‑Oberflächen wie Outlook Web Access (OWA) JavaScript im Browser des Opfers ausführen.

Betroffene Versionen

Die Schwachstelle betrifft lokal installierte Exchange‑Server, darunter:

• Exchange Server 2016
• Exchange Server 2019
• Exchange Server Subscription Edition (SE)

Exchange Online, der Cloud‑Dienst von Microsoft 365, war laut Microsoft nicht betroffen.

Die Lücke erhielt einen CVSS‑Score von etwa 8,1 (High) und wurde schnell in den Known Exploited Vulnerabilities‑Katalog (KEV) der US‑Cybersicherheitsbehörde CISA aufgenommen – ein klares Zeichen für reale Angriffe.

Sofortmaßnahmen von Microsoft

Da Angriffe bereits liefen und zunächst kein Patch verfügbar war, veröffentlichte Microsoft temporäre Schutzmaßnahmen.

Die wichtigste Maßnahme nutzt den Exchange Emergency Mitigation Service (EEMS). Dieser Dienst kann automatisch Sicherheitsregeln auf Exchange‑Servern aktivieren.

Für CVE‑2026‑42897 implementierte EEMS eine URL‑Rewrite‑Regel, die schädliche Anfragen blockiert, die auf die verwundbare Komponente abzielen.

Administratoren sollten laut Microsoft:

• sicherstellen, dass Exchange Emergency Mitigation Service aktiviert ist
• den Sicherheits‑Patch installieren, sobald er verfügbar ist
• Exchange‑ und IIS‑Logs überwachen, um verdächtige Aktivitäten zu erkennen

Reaktion von CISA und Bedeutung des KEV‑Eintrags

Die US‑Cybersicherheitsbehörde CISA nahm CVE‑2026‑42897 schnell in ihren Known Exploited Vulnerabilities‑Katalog auf.

Für US‑Bundesbehörden bedeutet das: Sie müssen die Schwachstelle gemäß Binding Operational Directive 22‑01 innerhalb einer festen Frist beheben oder mitigieren.

Auch für Unternehmen außerhalb des US‑Behördenumfelds gilt ein KEV‑Eintrag als klares Warnsignal: Die Schwachstelle wird aktiv ausgenutzt und sollte mit hoher Priorität behandelt werden.

Warum diese Vorfälle für Unternehmen wichtig sind

Die beiden Ereignisse zeigen unterschiedliche Seiten desselben Problems.

1. Internet‑exponierte Dienste
Viele Organisationen betreiben Exchange‑Server öffentlich erreichbar – etwa über Outlook Web Access. Dadurch vergrößert sich die Angriffsfläche erheblich.

2. Hoher Wert eines Exchange‑Servers
Wer Exchange kompromittiert, erhält oft Zugriff auf:

• E‑Mail‑Inhalte
• Authentifizierungstokens
• möglicherweise sogar das gesamte Windows‑Domänennetzwerk

3. Verschiedene Angriffsklassen
Die Woche zeigte zwei Extreme:

• hochkomplexe Exploit‑Ketten aus mehreren Zero‑Days
• vergleichsweise einfache Web‑Angriffe wie XSS, die bereits aktiv eingesetzt werden

4. Zeitfenster zwischen Entdeckung und Patch
Beim Zero‑Day mussten Administratoren zunächst mit Mitigation‑Regeln statt mit einem Patch arbeiten – ein typisches Risiko bei neu entdeckten Sicherheitslücken.

Fazit

Die Ereignisse rund um Pwn2Own Berlin 2026 und CVE‑2026‑42897 unterstreichen ein bekanntes Problem: lokal betriebene Exchange‑Server bleiben ein kritischer Angriffspunkt in vielen Unternehmensnetzwerken.

Während der Pwn2Own‑Exploit zeigt, was erfahrene Sicherheitsforscher in kontrollierten Tests erreichen können, demonstriert das aktiv ausgenutzte Zero‑Day, wie schnell echte Angreifer neue Schwachstellen ausnutzen.

Für Organisationen mit On‑Premises‑Exchange ergibt sich daraus eine klare Priorität: Internet‑Exposition minimieren, Mitigation‑Dienste aktiv halten und Sicherheitsupdates sofort einspielen, sobald sie verfügbar sind.