Microsoft Exchange: Neue Zero-Day-Lücke wird aktiv ausgenutzt

Sicherheitsverantwortliche und IT-Abteilungen stehen vor einer kritischen Herausforderung: Eine neu entdeckte Schwachstelle in Microsoft Exchange Server wird bereits aktiv von Angreifern genutzt.

Die als CVE-2026-42897 klassifizierte Sicherheitslücke betrifft vor allem die Weboberfläche des weit verbreiteten Mailservers. Microsoft legte die Schwachstelle am 14. Mai 2026 offen. Es handelt sich um eine Cross-Site-Scripting-Lücke (XSS) im Outlook Web Access (OWA), die es Angreifern ermöglicht, über eine präparierte E-Mail Schadcode einzuschleusen.

Während IT-Abteilungen unter Hochdruck an der Schließung akuter Lücken arbeiten, rüsten Cyberkriminelle ihre Angriffsmethoden stetig weiter auf. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Ihre Firma ohne teure Investitionen vor aktuellen Bedrohungen schützen und Sicherheitslücken proaktiv schließen. Kostenlosen Cyber-Security-Leitfaden jetzt herunterladen

Die US-amerikanische Cybersicherheitsbehörde CISA reagierte bereits am 15. Mai und nahm die Schwachstelle in ihren Katalog bekannter ausgenutzter Sicherheitslücken auf. Bundesbehörden müssen nun bis zum 29. Mai Gegenmaßnahmen ergreifen.

Wie die Angriffe funktionieren

Die Sicherheitslücke entsteht durch eine unzureichende Bereinigung von Eingaben bei der Erzeugung von Webseiten. Öffnet ein Nutzer die manipulierte E-Mail in Outlook Web Access, kann beliebiger JavaScript-Code im Kontext seiner Browsersitzung ausgeführt werden.

Die Angreifer benötigen dabei nur minimale Interaktion des Opfers. Zwar handelt es sich nicht um eine vollständige Serverübernahme, doch die Angreifer können Sitzungstoken stehlen, Mailbox-Einstellungen ändern oder E-Mail-Inhalte manipulieren.

Betroffene Versionen und die Übergangsphase

Die Schwachstelle betrifft eine breite Palette von Exchange-Servern:
- Exchange Server 2016
- Exchange Server 2019
- Exchange Server Subscription Edition (SE)

Exchange-Online-Kunden sind nicht betroffen und müssen nichts unternehmen. Für Betreiber lokaler Server wird die Situation jedoch durch den aktuellen Support-Lebenszyklus verkompliziert.

Der Mainstream-Support für Exchange 2016 und 2019 endete am 14. Oktober 2025. Microsoft führte daraufhin ein gestaffeltes Programm für erweiterte Sicherheitsupdates (ESU) ein. Die erste Phase endete im April 2026. Seit Anfang Mai läuft nun Phase 2, die bis Oktober 2026 andauert.

Wichtig: Sicherheitsupdates für die älteren Versionen erhalten nur Kunden, die sich für die zweite ESU-Phase angemeldet und bezahlt haben. Organisationen, die nur Phase 1 gebucht haben, bekommen keinen dauerhaften Patch für CVE-2026-42897.

Notfallmaßnahmen und bekannte Nebenwirkungen

Einen permanenten Sicherheitspatch gibt es noch nicht. Microsoft arbeitet daran – er wird für Exchange SE, Exchange 2019 CU14 und CU15 sowie Exchange 2016 CU23 erscheinen. Bis dahin setzt der Konzern auf den Exchange Emergency Mitigation Service (EM Service).

Dieser Dienst, ursprünglich im September 2021 eingeführt, wendet automatisch temporäre Schutzmaßnahmen an. Die entsprechende Absicherung (ID M2.1.x) wurde bereits veröffentlicht. Microsoft empfiehlt allen Organisationen, den Dienst sofort zu aktivieren, falls er deaktiviert wurde.

Doch die Notfallmaßnahmen haben Nebenwirkungen:
- Die OWA-Funktion „Kalender drucken“ funktioniert möglicherweise nicht mehr
- Inline-Bilder im Lesefenster von OWA werden nicht angezeigt
- Die OWA-Light-Oberfläche könnte gestört sein
- Interne Überwachungstools melden möglicherweise falsche Alarme

Microsoft bezeichnet einige dieser Meldungen als kosmetisch – der Schutz sei dennoch wirksam.

On-Premises unter Druck

Die Sicherheitslücke zeigt einen anhaltenden Trend: Lokale E-Mail-Infrastruktur bleibt eines der Hauptangriffsziele in Unternehmen. Da Exchange-Server oft zwischen Identitätsmanagement und interner Kommunikation stehen, können selbst Spoofing- oder Session-Hijacking-Lücken als Einfallstor für komplexere Angriffe dienen.

Die zeitliche Nähe zum Pwn2Own Berlin 2026, wo Forscher weitere Exchange-Schwachstellen demonstrierten, erhöht den Druck zusätzlich. Zwar wurden diese Lücken verantwortungsvoll offengelegt, doch die Häufung von Zero-Day-Entdeckungen unterstreicht die Risiken veralteter Infrastruktur.

Da Angreifer für Infektionen oft auf menschliche Interaktion und präparierte E-Mails setzen, ist die Sensibilisierung der Mitarbeiter der wichtigste Schutzwall. Dieser Gratis-Report enthüllt die psychologischen Tricks der Hacker und zeigt Ihnen in 4 Schritten, wie Sie Phishing-Angriffe effektiv unterbinden. Anti-Phishing-Paket für Unternehmen gratis anfordern

Exchange Server Subscription Edition (SE) sollte diese Risiken durch eine Modern-Lifecycle-Policy mindern. Doch die aktuelle Sicherheitslücke, die selbst die neueste Edition betrifft, zeigt: Auch ein Abo-Modell beseitigt nicht die grundlegenden Sicherheitsherausforderungen lokaler, webbasierter Dienste.

Ausblick und nächste Schritte

Die oberste Priorität für IT-Abteilungen ist die Überprüfung des Mitigationsstatus vor der CISA-Frist Ende Mai. Microsoft arbeitet an einem permanenten Update, doch dessen Auslieferung wird die schrumpfende Support-Zeitspanne für ältere Systeme deutlich machen.

Die ESU-Phase 2 läuft nur bis Herbst 2026. Organisationen, die noch Exchange 2016 oder 2019 betreiben, haben kaum noch Zeit. Microsoft drängt auf eine vollständige Migration zu Exchange Online oder Exchange Server SE. Für den Umstieg auf SE ist mindestens Exchange 2019 CU14 oder CU15 als Basis erforderlich.

In den kommenden Wochen wird die Sicherheitsgemeinschaft beobachten, ob CVE-2026-42897 in größere Ransomware-Kampagnen oder APT-Angriffswellen eingebaut wird. Zwar beschränkt sich die aktuelle Bedrohung auf OWA-Session-Hijacking, doch die Erfahrung zeigt: Angreifer finden oft Wege, solche Lücken mit anderen Exploits zu kombinieren.

de | wissenschaft | 69380593 |