CVE‑2026‑42897: Aktiv ausgenutzte Exchange‑Zero‑Day‑Lücke zwingt Admins zum Handeln

Microsoft stuft das Problem als Spoofing‑Schwachstelle ein. Angreifer können also die Benutzeroberfläche manipulieren oder Aktionen im Kontext einer bestehenden Sitzung ausführen.

Die Sicherheitsbewertung liegt laut Tracking‑Datenbanken bei CVSS 8,1 (hoch), da der Angriff über das Netzwerk möglich ist und nur geringe Voraussetzungen hat – meist genügt es, einen Nutzer zum Öffnen einer manipulierten Nachricht zu bringen.

So funktioniert der Angriff über OWA

Der Angriff kombiniert eine technische Schwachstelle mit Social Engineering.

1. Ein Angreifer sendet eine speziell präparierte E‑Mail an ein Zielunternehmen.
2. Der Empfänger öffnet diese Nachricht über Outlook on the web.
3. Aufgrund fehlerhafter Eingabeverarbeitung rendert OWA den Inhalt so, dass JavaScript im Browser des Opfers ausgeführt werden kann.

Das Skript läuft anschließend im Kontext der authentifizierten OWA‑Sitzung. Dadurch könnten Angreifer beispielsweise:

• Oberfläche oder Nachrichten manipulieren
• Aktionen im Namen des Benutzers ausführen
• Inhalte im Postfach lesen, verändern oder weiterleiten

Öffentliche Sicherheitsberichte verzichten bewusst auf vollständige Exploit‑Details, bestätigen aber, dass die Schwachstelle bereits in Angriffskampagnen eingesetzt wird.

Betroffene Exchange‑Versionen

Nach aktuellen Berichten sind folgende lokal installierte Exchange‑Server betroffen:

• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2019
• Microsoft Exchange Server Subscription Edition (SE)

Diese Versionen werden von Organisationen selbst betrieben und stellen OWA häufig für interne oder externe Zugriffe bereit.

Warum Exchange Online nicht betroffen ist

Die vorhandenen Sicherheitsmeldungen beschreiben die Schwachstelle ausschließlich für lokale Exchange‑Installationen. Exchange Online, der E‑Mail‑Dienst von Microsoft 365, wird derzeit nicht als betroffen geführt.

Der Unterschied liegt in der Betriebsform:

• Exchange Online wird vollständig von Microsoft betrieben.
• Sicherheitsupdates und Schutzmaßnahmen werden zentral ausgerollt.

Die gemeldete Schwachstelle betrifft daher speziell selbst verwaltete Exchange‑Server und deren OWA‑Komponenten, nicht den Cloud‑Dienst.

Temporäre Schutzmaßnahmen von Microsoft

Bis ein endgültiger Patch erscheint, stellt Microsoft automatische Gegenmaßnahmen über den Exchange Emergency Mitigation Service (EEMS) bereit.

Dieser Dienst kann Sicherheits‑Mitigations automatisch auf unterstützten Exchange‑Servern aktivieren. Für CVE‑2026‑42897 wurde eine automatische Maßnahme mit IDs im Bereich M2.1.x veröffentlicht.

Organisationen sollten prüfen, ob:

• der Dienst aktiviert ist
• die Mitigation erfolgreich heruntergeladen wurde
• sie auf allen Exchange‑Servern aktiv ist

Manuelle Gegenmaßnahmen

Nicht jede Umgebung erlaubt automatische Updates. Beispiele sind:

• abgeschottete Netzwerke
• Air‑Gap‑Umgebungen
• deaktivierter EEMS‑Dienst

Für solche Szenarien stellt Microsoft manuelle Mitigation‑Werkzeuge und Anleitungen bereit, mit denen Administratoren denselben Schutz ohne automatische Verteilung aktivieren können.

Wenn EEMS nicht genutzt wird, sollten diese Schritte sofort manuell umgesetzt werden.

Einschränkungen bei alten oder nicht unterstützten Servern

Die automatischen Mitigations über EEMS sind für unterstützte Exchange‑Builds vorgesehen. Systeme, die

• veraltet sind
• nicht mehr unterstützt werden
• keine Verbindung zu den Microsoft‑Endpoints herstellen können

bekommen die Schutzmaßnahmen möglicherweise nicht zuverlässig.

Solche Server sollten als potenziell gefährdet gelten, bis sie aktualisiert, isoliert oder anderweitig abgesichert werden.

Noch kein permanenter Patch

Zum Zeitpunkt der veröffentlichten Advisories gibt es noch kein dauerhaftes Sicherheitsupdate für CVE‑2026‑42897. Microsoft hat zunächst nur Mitigations bereitgestellt.

Administratoren sollten daher die offiziellen Hinweise von MSRC und dem Exchange‑Team verfolgen, um die Veröffentlichung eines endgültigen Updates nicht zu verpassen.

Warum der Exchange Health Checker jetzt wichtig ist

Ein häufiger Fehler bei Mitigations: Man nimmt an, sie seien aktiv – obwohl sie es nicht sind.

Microsoft empfiehlt daher ausdrücklich, den Exchange Health Checker‑Script auszuführen. Damit lässt sich schnell überprüfen:

• ob der Exchange Emergency Mitigation Service aktiv ist
• ob Mitigations wie M2.1.x angewendet wurden
• ob Konfigurationsprobleme das Herunterladen oder Aktivieren verhindern

Gerade in größeren Umgebungen hilft das Skript, den Status auf allen Exchange‑Servern zentral zu prüfen.

Sofortmaßnahmen für Exchange‑Administratoren

Organisationen mit lokalem Exchange‑Server sollten kurzfristig:

• prüfen, ob EEMS aktiviert und funktionsfähig ist
• sicherstellen, dass die Mitigation M2.1.x für CVE‑2026‑42897 angewendet wurde
• den Exchange Health Checker auf allen Servern ausführen
• manuelle Mitigations einsetzen, wenn automatische Schutzmaßnahmen fehlen
• veraltete oder nicht unterstützte Server identifizieren

Da die Schwachstelle bereits aktiv ausgenutzt wird, sollten Unternehmen mit öffentlich erreichbarem Outlook on the web diese Prüfungen sofort priorisieren.