SchwachstellenHackerangriffeCloud-Sicherheit

Kritische Exchange-Server-Lücke CVE-2026-42897 wird aktiv ausgenutzt

Von CyberDeutsch Redaktion
Kritische Exchange-Server-Lücke CVE-2026-42897 wird aktiv ausgenutzt
Zusammenfassung

Eine neue Sicherheitslücke in lokalen Microsoft Exchange Server-Installationen wird bereits aktiv im Freien ausgenutzt. Die als CVE-2026-42897 katalogisierte Schwachstelle mit einem CVSS-Score von 8,1 basiert auf einem Cross-Site-Scripting-Fehler, der Spoofing-Angriffe ermöglicht. Angreifer können manipulierte E-Mails versenden, die beim Öffnen in Outlook Web Access beliebigen JavaScript-Code im Browser des Nutzers ausführen. Microsoft hat bereits eine vorübergehende Abschwächung über seinen Exchange Emergency Mitigation Service bereitgestellt, während an einer permanenten Lösung gearbeitet wird. Besonders relevant für Deutschland: Unternehmen und Behörden, die on-premises Exchange Server betreiben, sind direkt betroffen. Exchange Online-Nutzer sind nicht gefährdet. Der Mitigation Service ist standardmäßig aktiviert, sollte aber bei luftgestützten Systemen manuell konfiguriert werden. Bislang sind keine Details zu den Angreifern oder dem Umfang der Exploits bekannt. Für deutsche Organisationen ist sofortige Überprüfung und Aktivierung der Microsoft-Mitigationsmaßnahmen dringend empfohlen, um Datenverlust und unbefugten Zugriff zu verhindern.

Die neu entdeckte Sicherheitslücke CVE-2026-42897 stellt eine unmittelbare Bedrohung für Organisationen dar, die auf lokale Microsoft-Exchange-Server setzen. Der Fehler basiert auf einer unzureichenden Eingabeneutralisierung während der Weberzeugung und ermöglicht Cross-Site-Scripting (XSS)-Attacken. Ein anonymer Sicherheitsforscher entdeckte die Schwachstelle und meldete sie Microsoft.

Wie die Attacke funktioniert: Ein Angreifer verschickt eine speziell präparierte E-Mail an ein Opfer. Wenn dieser Benutzer die Nachricht in Outlook Web Access öffnet und bestimmte Interaktionsbedingungen erfüllt sind, kann beliebiger JavaScript-Code im Kontext des Webbrowsers ausgeführt werden. Dies ermöglicht dem Angreifer, Spoofing-Angriffe durchzuführen und möglicherweise an sensitive Daten zuzugreifen.

Microsoft bestätigte, dass Angreifer diese Lücke bereits aktiv ausnutzen. Das Unternehmen bewertete die Schwachstelle daher mit dem Tag “Exploitation Detected” — eine Warnstufe, die auf sofortiges Handeln hinweist. Allerdings gibt es derzeit keine Informationen über die genaue Anzahl betroffener Systeme, die Identität der Angreifer oder die Ziele der Kampagnen.

Als Soforthilfe stellt Microsoft den Exchange Emergency Mitigation Service zur Verfügung, der automatisch eine URL-Rewrite-Konfiguration bereitstellt. Dieser Service ist standardmäßig aktiviert, kann aber manuell aktiviert werden, falls nötig. Für Umgebungen mit Air-Gap-Restrictions hat Microsoft alternative Maßnahmen dokumentiert.

Microsoft arbeitet parallel an einem permanenten Patch, der die Sicherheitslücke vollständig schließt. Allerdings besteht eine bekannte Besonderheit: Einige Systeme zeigen bei der Mitigation eine Fehlermeldung “Mitigation invalid for this exchange version” an. Microsoft versichert, dass dies ein kosmetisches Problem ist und die Mitigation trotzdem erfolgreich angewendet wird, wenn der Status “Applied” anzeigt.

Für deutsche Unternehmen ist schnelles Handeln essentiell. Administratoren sollten prüfen, ob ihre Exchange-Server-Installationen betroffen sind, und umgehend die empfohlenen Mitigationen aktivieren. Bei Verdacht auf erfolgreiche Angriffe sind Meldepflichten nach der DSGVO zu beachten.

Ähnliche Artikel