Microsoft bezeichnet den Notfall-Mitigationsdienst EM Service als den derzeit besten Weg, die Schwachstelle unmittelbar zu entschärfen. Organisationen, die den Dienst deaktiviert haben, sollten ihn nach Empfehlung des Exchange-Teams umgehend wieder aktivieren. Wichtig dabei: Der Dienst kann keine neuen Gegenmaßnahmen abrufen, wenn der Server eine Exchange-Version vor März 2023 ausführt.
Der EEMS wurde im September 2021 eingeführt, um lokale Exchange-Server automatisch zu schützen, indem er für besonders gefährdete und wahrscheinlich aktiv ausgenutzte Schwachstellen vorläufige Gegenmaßnahmen anwendet. Der Dienst läuft als Windows-Dienst auf Exchange-Mailbox-Servern und ist auf Servern mit der Mailbox-Rolle automatisch aktiviert. Eingeführt wurde er, nachdem zahlreiche Angreifergruppen die Zero-Day-Lücken ProxyLogon und ProxyShell ausgenutzt hatten, für die es zunächst weder Patches noch Hinweise zu Gegenmaßnahmen gab, um aus dem Internet erreichbare Exchange-Server zu kompromittieren.
Administratoren von Servern in abgeschotteten (air-gapped) Umgebungen können die Lücke ebenfalls entschärfen. Dazu laden sie die aktuelle Version des Exchange on-premises Mitigation Tool (EOMT) herunter und führen das Skript über eine Exchange Management Shell (EMS) mit erhöhten Rechten aus. Für alle Server lautet der Befehl:
Get-ExchangeServer | Where-Object { $_.ServerRole -ne “Edge” } | .\EOMT.ps1 -CVE “CVE-2026-42897”
Patches sind für Exchange SE RTM, Exchange 2016 CU23 sowie Exchange Server 2019 CU14 und CU15 geplant. Microsoft weist jedoch darauf hin, dass Updates für Exchange 2016 und 2019 nur Kunden zur Verfügung stehen, die am Period-2-Programm der Extended Security Updates (ESU) für Exchange Server teilnehmen.
Im Oktober – wenige Wochen nachdem Exchange 2016 und 2019 das Support-Ende erreicht hatten – hatten die US-Behörden CISA und NSA eine Anleitung veröffentlicht, die IT-Administratoren beim Härten von Microsoft-Exchange-Servern gegen Angriffe unterstützen soll.