Dernière minute
CN巴威颱風逼近 農業部啟動萬里溪堰塞湖全面防災應變INHeavy Rains Disrupt Western Railway, Stranding Over 20 Long-Distance TrainsARأزمة مياه حادة تهدد مليون شخص في غزة مع تدمير 85% من الآبار المركزيةFRAvion russe intercepté en mer de Norvège, Zelensky exhorte l'OtanAURussia Strikes Kyiv Apartments Ahead of NATO Summit, Killing 14RUДрагоценности на миллионы евро похищены из музея Рене Лалика на северо-востоке ФранцииKR이란 시민들, 검은 옷 입고 테헤란 시내 메워… "킬 트럼프" 외치며 복수 다짐RURussian Foreign Ministry Summons Swedish Ambassador Over Attacks on EmbassyCRYPTO-ENSouth Korea to Hear Polymarket on Gambling ConcernsCN醫師提醒:夏季中暑不只因陽光,高濕度、人潮擁擠也增風險CN巴威颱風逼近 農業部啟動萬里溪堰塞湖全面防災應變INHeavy Rains Disrupt Western Railway, Stranding Over 20 Long-Distance TrainsARأزمة مياه حادة تهدد مليون شخص في غزة مع تدمير 85% من الآبار المركزيةFRAvion russe intercepté en mer de Norvège, Zelensky exhorte l'OtanAURussia Strikes Kyiv Apartments Ahead of NATO Summit, Killing 14RUДрагоценности на миллионы евро похищены из музея Рене Лалика на северо-востоке ФранцииKR이란 시민들, 검은 옷 입고 테헤란 시내 메워… "킬 트럼프" 외치며 복수 다짐RURussian Foreign Ministry Summons Swedish Ambassador Over Attacks on EmbassyCRYPTO-ENSouth Korea to Hear Polymarket on Gambling ConcernsCN醫師提醒:夏季中暑不只因陽光,高濕度、人潮擁擠也增風險
Newsgather
BackMicrosoft warnt vor Zero-Day-Lücke in Exchange – Angriffe laufen
Microsoft warnt vor Zero-Day-Lücke in Exchange – Angriffe laufen
Urgent
Heise Online15.05.2026Tech2 dk okumaGermany

Microsoft warnt vor Zero-Day-Lücke in Exchange – Angriffe laufen

L'essentiel

  • Microsoft warnt vor einer kritischen Zero-Day-Sicherheitslücke in Exchange Servern, die bereits aktiv ausgenutzt wird.
  • Ein Patch ist noch nicht verfügbar, aber Microsoft bietet Notfall-Gegenmaßnahmen an.

Résumé généré par IA

Pourquoi c'est important

Microsoft hat eine kritische Zero-Day-Sicherheitslücke in seinen Exchange Servern identifiziert, die bereits aktiv von Angreifern ausgenutzt wird. Die Lücke, eine Cross-Site-Scripting-Schwachstelle, ermöglicht es nicht authentifizierten Angreifern, Spoofing-Angriffe durchzuführen, indem sie manipulierte E-Mails versenden, die bei Öffnung in Outlook Web Access (OWA) bösartigen JavaScript-Code ausführen.

Taille de police

Microsoft warnt vor einer Zero-Day-Sicherheitslücke in Exchange, die bereits in freier Wildbahn attackiert wird. Aktualisierte Software ist noch nicht verfügbar. Microsoft bietet jedoch Gegenmaßnahmen an, die Admins so schnell wie möglich umsetzen sollten.

Weiterlesen nach der Anzeige

In der Schwachstellenbeschreibung erklärt Microsoft, dass es sich um unzureichende Filterung von Eingaben bei der Generierung von Webseiten handelt, eine Cross-Site-Scripting-Lücke. Dadurch können nicht authentifizierte Angreifer aus dem Netz Spoofing-Angriffe ausführen (CVE-2026-42897, CVSS 8.1, Risiko „hoch“). Den Schweregrad stuft Microsoft jedoch als „kritisch“ ein. Ein Blog-Beitrag von Microsofts Exchange-Team erklärt das sowie die Gegenmaßnahmen etwas ausführlicher.

Angriffsszenario

Die Schwachstelle betrifft im Speziellen offenbar Outlook Web Access (OWA). Microsoft führt aus, dass Angreifer manipulierte E-Mails an Opfer senden können. Wenn Nutzerinnen oder Nutzer die E-Mail in OWA öffnen und bestimmte, nicht näher erläuterte Interaktionsbedingungen erfüllt sind, wird dann beliebiges JavaScript im Browser ausgeführt.

Betroffen sind Exchange Server 2016, 2019 sowie Exchange Server Subscription Edition (SE) jeweils in jedwedem Update-Level. Microsoft stellt jedoch keine Software-Updates zur Verfügung. Jedoch steht ein automatischer Fix über den Exchange Emergency Mitigation (EM) Service zur Verfügung. Wo der Dienst aktiv ist, hat Microsoft die Gegenmaßnahmen bereits angewendet. Der Dienst wird seit September 2021 verteilt und standardmäßig aktiviert. Im Blog-Beitrag zeigt Microsoft zudem eine manuelle Variante.

Die Gegenmaßnahmen zum Eindämmen der Schwachstelle CVE-2026-42897 haben einige Nebenwirkungen, die Admins kennen sollten. Das Drucken von Kalendern in OWA könnte nicht mehr funktionieren. Inline-Bilder werden im Empfänger-Panel nicht mehr korrekt angezeigt. OWA Light könnte nicht mehr ordnungsgemäß funktionieren – das ist jedoch ohnehin Alteisen und „Deprecated“. Die Gegenmaßnahme zeigt zudem in den Mitigation-Details, dass sie für die vorliegende Exchange-Version ungültig sei – rein kosmetisch, versichern die Redmonder. Sofern „Applied“ als Status angezeigt wird, ist sie wirksam angewendet worden.

Das Exchange-Team arbeitet derweil an einem permanenten, ordentlichen Fix. Der soll künftig als Update für Exchange SE RTM, Exchange 2016 CU23 sowie Exchange Server 2019 CU14 und CU15 erscheinen. Wer Exchange 2016 oder 2019 einsetzt, muss dafür jedoch die zweite Stufe der erweiterten Sicherheitsupdates (ESU) abonniert haben. Weitere Details zum Emergency-Mitigation-Service liefert Microsoft auf einer eigenen Webseite.

Weiterlesen nach der Anzeige

À surveiller

Perspective IA — des possibilités, pas des certitudes

  • Veröffentlichung eines permanenten Fixes als Update für Exchange SE RTM, Exchange 2016 CU23 und Exchange Server 2019 CU14 und CU15.

    Probable · Moyen terme

Questions ouvertes

  • Wann wird ein permanenter Patch verfügbar sein?
  • Wie viele Systeme wurden bereits kompromittiert?
  • Welche spezifischen Interaktionsbedingungen sind für die Ausführung des JavaScripts erforderlich?

Sujets liés

This article was originally published by Heise Online.

Articles liés

Plus sur ce sujetmicrosoft