Aktiv ausgenutzte XSS-Lücke in lokalem Microsoft Exchange Server

Zusammenfassung

Microsoft hat eine neue Sicherheitslücke in lokal betriebenen Versionen des Exchange Servers offengelegt, die nach Angaben des Unternehmens bereits aktiv ausgenutzt wird. Die unter CVE-2026-42897 geführte Schwachstelle erreicht einen CVSS-Wert von 8.1 und wird als Spoofing-Fehler beschrieben, der auf einer Cross-Site-Scripting-Schwäche beruht. Entdeckt und gemeldet wurde sie nach Angaben von Microsoft von einem anonym bleibenden Forscher. In einer Mitteilung erläutert der Konzern, dass eine unzureichende Filterung von Eingaben bei der Erzeugung von Webseiten einem nicht autorisierten Angreifer Spoofing über das Netzwerk ermögliche. Microsoft hat die Lücke mit dem Hinweis „Exploitation Detected" versehen, also einem bestätigten Ausnutzungsstatus. Ein Angreifer könnte sie durch eine speziell präparierte E-Mail an einen Nutzer ausnutzen: Wird diese in Outlook Web Access geöffnet und treten zusätzliche „bestimmte Interaktionsbedingungen" ein, lässt sich beliebiger JavaScript-Code im Kontext des Webbrowsers ausführen. Während ein dauerhafter Patch noch in Vorbereitung ist, stellt Microsoft über den Exchange Emergency Mitigation Service vorübergehend eine Schutzmaßnahme bereit. Exchange Online ist laut Microsoft nicht betroffen.

Die Schwachstelle betrifft ausschließlich lokal betriebene Installationen des Exchange Servers. Exchange Online ist nach Angaben von Microsoft nicht verwundbar. Welche genauen Versionsstände betroffen sind, führt der Hersteller in seiner Mitteilung auf.

Der Angriffsweg setzt an einer manipulierten E-Mail an: Öffnet ein Nutzer diese in Outlook Web Access und liegen weitere, von Microsoft als „bestimmte Interaktionsbedingungen" bezeichnete Umstände vor, kann beliebiger JavaScript-Code im Kontext des Browsers ausgeführt werden. Microsoft stuft den Fehler als Spoofing-Problem ein, das aus einer Cross-Site-Scripting-Schwäche resultiert. Die Bewertung „Exploitation Detected" zeigt an, dass eine Ausnutzung in freier Wildbahn bereits beobachtet wurde.

Einen vollständigen Patch bereitet Microsoft nach eigenen Angaben vor. Übergangsweise liefert das Unternehmen eine Schutzmaßnahme über den Exchange Emergency Mitigation Service aus. Dieser greift automatisch über eine URL-Rewrite-Konfiguration und ist standardmäßig aktiviert; wo der Dienst deaktiviert ist, empfiehlt Microsoft, ihn einzuschalten.

Für Umgebungen, in denen der Emergency Mitigation Service wegen Air-Gap-Beschränkungen nicht infrage kommt, hat Microsoft eine alternative Abfolge von Maßnahmen beschrieben.

Zudem weist der Hersteller auf ein bekanntes Anzeigeproblem hin: Im Beschreibungsfeld kann die Meldung „Mitigation invalid for this exchange version" erscheinen. Laut dem Exchange-Team handelt es sich dabei um einen rein kosmetischen Fehler — die Schutzmaßnahme werde erfolgreich angewendet, sofern der Status als „Applied" ausgewiesen sei. Man untersuche, wie sich das Problem beheben lasse.

Wie die Lücke konkret ausgenutzt wird, wer hinter den Angriffen steht und in welchem Umfang sie stattfinden, ist bislang nicht bekannt. Ebenso offen bleibt, gegen wen sich die Angriffe richten und ob sie erfolgreich waren. Bis auf Weiteres rät Microsoft, die empfohlenen Schutzmaßnahmen umzusetzen.

Aktiv ausgenutzte XSS-Lücke in lokalem Microsoft Exchange Server

Ähnliche Artikel

Neueste Artikel