Microsoft warnt vor Zero-Day-Lücke in Exchange – Angriffe laufen
L'essentiel
- Microsoft warnt vor einer kritischen Zero-Day-Sicherheitslücke in Exchange Servern, die bereits aktiv ausgenutzt wird.
- Ein Patch ist noch nicht verfügbar, aber Microsoft bietet Notfall-Gegenmaßnahmen an.
Résumé généré par IA
Pourquoi c'est important
Microsoft hat eine kritische Zero-Day-Sicherheitslücke in seinen Exchange Servern identifiziert, die bereits aktiv von Angreifern ausgenutzt wird. Die Lücke, eine Cross-Site-Scripting-Schwachstelle, ermöglicht es nicht authentifizierten Angreifern, Spoofing-Angriffe durchzuführen, indem sie manipulierte E-Mails versenden, die bei Öffnung in Outlook Web Access (OWA) bösartigen JavaScript-Code ausführen.
Microsoft warnt vor einer Zero-Day-Sicherheitslücke in Exchange, die bereits in freier Wildbahn attackiert wird. Aktualisierte Software ist noch nicht verfügbar. Microsoft bietet jedoch Gegenmaßnahmen an, die Admins so schnell wie möglich umsetzen sollten.
Weiterlesen nach der Anzeige
In der Schwachstellenbeschreibung erklärt Microsoft, dass es sich um unzureichende Filterung von Eingaben bei der Generierung von Webseiten handelt, eine Cross-Site-Scripting-Lücke. Dadurch können nicht authentifizierte Angreifer aus dem Netz Spoofing-Angriffe ausführen (CVE-2026-42897, CVSS 8.1, Risiko „hoch“). Den Schweregrad stuft Microsoft jedoch als „kritisch“ ein. Ein Blog-Beitrag von Microsofts Exchange-Team erklärt das sowie die Gegenmaßnahmen etwas ausführlicher.
Angriffsszenario
Die Schwachstelle betrifft im Speziellen offenbar Outlook Web Access (OWA). Microsoft führt aus, dass Angreifer manipulierte E-Mails an Opfer senden können. Wenn Nutzerinnen oder Nutzer die E-Mail in OWA öffnen und bestimmte, nicht näher erläuterte Interaktionsbedingungen erfüllt sind, wird dann beliebiges JavaScript im Browser ausgeführt.
Betroffen sind Exchange Server 2016, 2019 sowie Exchange Server Subscription Edition (SE) jeweils in jedwedem Update-Level. Microsoft stellt jedoch keine Software-Updates zur Verfügung. Jedoch steht ein automatischer Fix über den Exchange Emergency Mitigation (EM) Service zur Verfügung. Wo der Dienst aktiv ist, hat Microsoft die Gegenmaßnahmen bereits angewendet. Der Dienst wird seit September 2021 verteilt und standardmäßig aktiviert. Im Blog-Beitrag zeigt Microsoft zudem eine manuelle Variante.
Die Gegenmaßnahmen zum Eindämmen der Schwachstelle CVE-2026-42897 haben einige Nebenwirkungen, die Admins kennen sollten. Das Drucken von Kalendern in OWA könnte nicht mehr funktionieren. Inline-Bilder werden im Empfänger-Panel nicht mehr korrekt angezeigt. OWA Light könnte nicht mehr ordnungsgemäß funktionieren – das ist jedoch ohnehin Alteisen und „Deprecated“. Die Gegenmaßnahme zeigt zudem in den Mitigation-Details, dass sie für die vorliegende Exchange-Version ungültig sei – rein kosmetisch, versichern die Redmonder. Sofern „Applied“ als Status angezeigt wird, ist sie wirksam angewendet worden.
Das Exchange-Team arbeitet derweil an einem permanenten, ordentlichen Fix. Der soll künftig als Update für Exchange SE RTM, Exchange 2016 CU23 sowie Exchange Server 2019 CU14 und CU15 erscheinen. Wer Exchange 2016 oder 2019 einsetzt, muss dafür jedoch die zweite Stufe der erweiterten Sicherheitsupdates (ESU) abonniert haben. Weitere Details zum Emergency-Mitigation-Service liefert Microsoft auf einer eigenen Webseite.
Weiterlesen nach der Anzeige
À surveiller
Perspective IA — des possibilités, pas des certitudes
Veröffentlichung eines permanenten Fixes als Update für Exchange SE RTM, Exchange 2016 CU23 und Exchange Server 2019 CU14 und CU15.
Probable · Moyen terme
Questions ouvertes
- Wann wird ein permanenter Patch verfügbar sein?
- Wie viele Systeme wurden bereits kompromittiert?
- Welche spezifischen Interaktionsbedingungen sind für die Ausführung des JavaScripts erforderlich?




