Microsoft Exchange Server: 0-Day-Schwachstelle wird in Angriffen mit manipulierten E-Mails ausgenutzt

Die Ursache liegt in einer unzureichenden Neutralisierung während der Generierung es sich um einen Cross-Site-Scripting (XSS)-Fehler (CWE-79). Ein nicht authentifizierter Angreifer kann eine speziell konstruierte E-Mail versenden.

Treten beim Öffnen dieser Nachricht in OWA bestimmte Interaktionsbedingungen ein, wird der vom Angreifer bereitgestellte JavaScript-Code im Browserkontext des angemeldeten Benutzers ausgeführt. Microsoft stuft die Ausnutzbarkeit dieser CVE als „nachgewiesen" ein, was bestätigt, dass reale Angriffe bereits diese Lücke ausnutzen.

Die Schwachstelle betrifft alle Update-Ebenen 2016, Exchange Server 2019 sowie die Exchange Server Subscription Edition (SE). Exchange Online (Microsoft 365) ist hiervon nicht betroffen. CVE-2026-42897 wird als kritisch eingestuft und erhält einen CVSS v3.1-Grundwert von 8,1.

Technischer Hintergrund

Dies spiegelt einen angreifbaren Netzwerkzugriff wider, der keine Berechtigungen auf Seiten des Angreifers erfordert und lediglich eine grundlegende Benutzerinteraktion – das Öffnen einer E-Mail in OWA – voraussetzt. Bei erfolgreicher Ausnutzung kann der Angreifer JavaScript im Browser-Sitzung des Opfers ausführen.

Dies ermöglicht E-Mail-Spoofing, den Diebstahl, Session-Hijacking sowie Handlungen im Namen des kompromittierten Benutzers.

Da der Angriff per E-Mail erfolgt und ausgelöst wird, sobald Inhalte in OWA gerendert werden, kann er herkömmliche Sicherheitskontrollen, die sich primär auf Anhänge oder Links konzentrieren, umgehen und sich in den normalen Mailbox-Aktivitäten tarnen. Microsoft weist darauf hin, dass Ausnutzungen bisher ausschließlich über das Rendern in OWA innerhalb.

Technischer Hintergrund

Nicht-OWA-Zugriffspfade sind derzeit nicht als betroffen bekannt. Die primäre kurzfristige Abwehrmaßnahme Emergency Mitigation (EM) Service. Dieser ist standardmäßig auf unterstützten Exchange-Servern im On-Premises-Betrieb aktiviert und stellt automatisch die Abwehrmaßnahme M2.1.x für CVE‑2026‑42897 bereit.

Organisationen können den Status der Abwehrmaßnahmen mithilfe der EM-Richtlinie „Viewing Applied Mitigations" oder des Exchange Health Checker-Skripts überprüfen. Im HTML-Bericht zeigt dieses Skript einen Abschnitt für die EEMS-Prüfung an. Für getrennte oder luftgetrennte Umgebungen stellt Microsoft das Exchange On‑Premises Mitigation Tool (EOMT) bereit.

Dieses wendet serverbezogene, spezifische Abwehrmaßnahmen für CVEs über ein PowerShell-Skript namens PowerShell.ps1 mit dem entsprechenden CVE-Parameter an.

Diese Abwehrmaßnahmen basieren auf der Content

Diese Abwehrmaßnahmen basieren auf der Content Security Policy (CSP) ützen daher keine Benutzer, die OWA über Internet Explorer oder Edge im Internet Explorer-Modus zugreifen, da letzterer keine CSP-Unterstützung bietet. Am 9.

Juni 2026 veröffentlichte Microsoft Sicherheitsupdates (SUs) für Exchange SE RTM, Exchange Server 2019 CU14/CU15 sowie Exchange Server 2016 CU23. Diese enthalten eine dauerhafte Behebung für CVE‑2026‑42897. Die Updates für die Versionen 2016 und 2019 stehen ausschließlich Kunden im Rahmen des Period 2 Extended Security Update (ESU)-Programms zur Verfügung.

Microsoft empfiehlt, die Juni‑2026‑Sicherheitsupdates so schnell wie möglich zu installieren und die Abhilfe für CVE‑2026‑42897 auch nach dem Patchen als zusätzliche Schutzschicht beizubehalten. Das Unternehmen warnt jedoch davor, dass die Anwendung der Abhilfe (über EM Service oder EOMT) bestimmte OWA-Funktionen beeinträchtigen oder deaktivieren kann.

Dazu gehören Kalenderdruck, die Anzeige, OWA

Dazu gehören Kalenderdruck, die Anzeige, OWA Light, veröffentlichte Kalender und der OWACalendar-Proxy-Health-Set. In Überwachungssystemen können diese Einschränkungen zu Fehlalarmen führen. Diese Probleme sollten sich auflösen, sobald Organisationen das Juni‑2026-Update installiert und die Abhilfe bei Bedarf manuell entfernt haben.

Der Blogbeitrag 2026 betont zudem, dass EM- und Feature-Flighting-Dienste ab Juli 2026 keine neuen Konfigurationsdateien mehr verarbeiten werden, es sei denn, Exchange-Server werden mindestens auf den Stand 2026 aktualisiert. Dies unterstreicht die Notwendigkeit, auf aktuelle Builds umzusteigen.

Für Organisationen, die weiterhin Exchange 2016 oder 2019 ohne ESU-Abonnement für den zweiten Zeitraum betreiben, empfiehlt Microsoft den Wechsel zu Exchange SE, um weiterhin auf zukünftige Sicherheitsupdates zugreifen zu können.

Sicherheitslage und Risiko

SvyTech-Einordnung Die Schwachstelle CVE-2026-42897 stellt ein kritisches Risiko für Betreiber, da sie eine direkte Ausnutzung durch nicht authentifizierte Angreifer ermöglicht. Die Tatsache, dass die Lücke bereits aktiv ausgenutzt wird, unterstreicht die Dringlichkeit der Installation der Sicherheitsupdates.

Zudem zeigt sich, dass temporäre Abwehrmaßnahmen wie der EM Service zwar effektiv sind, aber mit Einschränkungen bestimmter OWA-Funktionen einhergehen, was die Planung äumen für die endgültige Behebung notwendig macht.

Was Leser daraus mitnehmen Administratoren üglich die Sicherheitsupdates für ihre spezifischen Versionen installieren, wobei zu beachten ist, dass Updates für Exchange 2016 und 2019 nur über das ESU-Programm verfügbar sind.

Bis zur vollständigen Behebung durch die Updates sollte der Emergency Mitigation Service aktiviert bleiben, um einen Schutz vor der aktiven Ausnutzung zu gewährleisten. Organisationen müssen jedoch mit potenziellen Fehlalarmen in ihren Monitoring-Systemen rechnen, solange die temporären Abwehrmaßnahmen aktiv sind.