Microsoft hat am Donnerstag eine neue Sicherheitslücke in Exchange Server öffentlich gemacht, die nach Angaben des Unternehmens bereits aktiv ausgenutzt wird. Die Schwachstelle trägt die Kennung CVE-2026-42897 und erreicht im CVSS-3.1-System einen Wert von 8,1 von 10, was der Stufe "High" entspricht. Microsoft bewertet den Schweregrad in seiner eigenen Klassifikation darüber hinaus als kritisch. Entdeckt hat die Lücke ein anonymer Sicherheitsforscher, der den Fund an Microsoft meldete.

Technisch gesehen handelt es sich um einen Cross-Site-Scripting-Fehler, der Angreifern Spoofing-Angriffe über das Netzwerk ermöglicht. Das Angriffsszenario ist dabei vergleichsweise simpel: Ein Angreifer schickt eine präparierte E-Mail an ein Opfer. Öffnet dieses die Nachricht in Outlook Web Access (OWA) und sind bestimmte weitere Interaktionsbedingungen erfüllt, lässt sich beliebiger JavaScript-Code im Browser des Nutzers ausführen. Besondere Rechte braucht der Angreifer dafür nicht – der Angriffsvektor ist das Netzwerk, die Angriffskomplexität gilt als niedrig. Betroffen sind ausschließlich On-Premises-Installationen: Exchange Server 2016, 2019 sowie die Subscription Edition (SE) in allen Update-Ständen. Exchange Online ist nach Microsofts Angaben nicht verwundbar.

Vorübergehende Schutzmaßnahmen

Als temporäre Gegenmaßnahme setzt Microsoft auf den Exchange Emergency Mitigation Service (EEMS), der seit dem September-2021-Kumulativupdate automatisch auf Exchange-Mailbox-Servern installiert wird. Der Dienst lädt stündlich signierte XML-Konfigurationsdateien vom cloudbasierten Office Config Service (OCS) herunter und spielt Mitigationen automatisch ein. Im vorliegenden Fall blockiert eine URL-Rewrite-Konfiguration gezielt schädliche HTTP-Anfragemuster. Diese Mitigation ist in der offiziellen Mitigationsliste als "M2" geführt und gilt für Exchange SE, 2019 und 2016 ab RTM. Der EEMS ist standardmäßig aktiv; Administratoren, die ihn noch nicht aktiviert haben, sollten das schnellstmöglich nachholen.

Wer den EEMS nicht nutzen kann – etwa wegen Air-Gap-Umgebungen ohne Internetzugang – hat eine Alternative: Microsoft empfiehlt, das Exchange On-Premises Mitigation Tool (EOMT) herunterzuladen und per PowerShell-Skript aus einer erhöhten Exchange Management Shell anzuwenden. Dabei lässt sich die Mitigation entweder gezielt auf einzelne Server (.\EOMT.ps1 -CVE "CVE-2026-42897") oder auf alle Server der Organisation gleichzeitig ausrollen. Microsoft weist zudem auf ein kosmetisches Anzeigeproblem hin: Taucht in der Statusbeschreibung "Mitigation invalid for this exchange version" auf, bedeutet das nicht, dass die Mitigation gescheitert ist – zeigt der Status "Applied", greift sie trotzdem korrekt.

Offen bleibt bislang vieles: Microsoft nennt keine Details darüber, wer hinter den laufenden Angriffen steckt, welche Organisationen ins Visier geraten sind und wie erfolgreich die Angriffe bislang waren. Auch ein permanenter Sicherheitspatch ist noch nicht verfügbar – der EEMS-Schutz gilt ausdrücklich als Übergangslösung. Administratoren sollten die Mitigation daher so schnell wie möglich einspielen und die offiziellen Kanäle von Microsoft im Blick behalten, sobald ein Security Update bereitsteht.