SchwachstellenHackerangriffeCloud-Sicherheit

Microsoft Exchange: Aktive Angriffe auf kritische Zero-Day-Lücke – Admins müssen sofort handeln

Von CyberDeutsch Redaktion
Microsoft Exchange: Aktive Angriffe auf kritische Zero-Day-Lücke – Admins müssen sofort handeln
Zusammenfassung

Microsoft hat eine kritische Sicherheitslücke in seinen Exchange-Servern gewarnt, die bereits aktiv von Angreifern ausgenutzt wird. Die als CVE-2026-42897 bezeichnete Schwachstelle betrifft Exchange Server 2016, 2019 und die Subscription Edition und ermöglicht es Cyberkriminellen, über präparierte E-Mails beliebigen JavaScript-Code im Browser auszuführen, wenn Nutzer diese in Outlook Web Access öffnen. Besonders kritisch ist, dass zum Zeitpunkt der Veröffentlichung noch keine permanenten Patches verfügbar sind. Microsoft hat jedoch die automatisierte Schutzfunktion Exchange Emergency Mitigation Service (EEMS) aktiviert, um betroffene On-Premises-Server zu schützen. Für deutsche Unternehmen und Behörden, die Exchange-Infrastrukturen betreiben, stellt dies eine unmittelbare Bedrohung dar. Sie sollten dringend überprüfen, ob EEMS auf ihren Servern aktiviert ist oder die bereitgestellten Mitigation Tools anwenden. Die Sicherheitslücke ist besonders gefährlich, da Angreifer gezielt Outlook-Web-Access-Nutzer attackieren können, um Zugriff auf sensible E-Mails und Unternehmensdaten zu erlangen. Angesichts der vergangenen Exchange-Kompromittierungen durch ProxyLogon und ProxyShell sollten deutsche IT-Administratoren sofort handeln, um ihre Systeme zu schützen.

Die neu entdeckte Schwachstelle wird von Microsoft als Spoofing-Vulnerability eingestuft und betrifft alle aktuellen und teilweise veralteten Exchange-Versionen im On-Premises-Betrieb. Ein Angreifer kann die Lücke ausnutzen, indem er eine speziell präparierte E-Mail an ein Ziel verschickt. Öffnet der Benutzer diese E-Mail in Outlook Web Access und erfüllen bestimmte Interaktionsbedingungen, wird beliebiger JavaScript-Code im Browser-Kontext ausgeführt – mit gravierenden Folgen für die Sicherheit.

Microsoft empfiehlt als erste Maßnahme die Aktivierung des Exchange Emergency Mitigation Service (EEMS). Dieser automatische Schutzmechanismus wurde 2021 eingeführt und läuft als Windows-Service auf Exchange-Mailbox-Servern. EEMS wurde speziell nach den ProxyLogon- und ProxyShell-Exploits entwickelt, die zu massiven Breaches führten. Der Service ist auf Servern mit Mailbox-Rolle standardmäßig aktiviert und bietet interim Lösungen für kritische Lücken, bis patches verfügbar sind.

Für IT-Administratoren in abgeschotteten Netzwerkumgebungen (Air-Gap) hat Microsoft das Exchange On-Premises Mitigation Tool (EOMT) aktualisiert. Mit einem PowerShell-Befehl über die Exchange Management Shell lässt sich die Schwachstelle gezielt beheben, ohne externe Verbindungen zu benötigen.

Microsoft kündigte an, Patches für Exchange Server SE RTM, Exchange 2016 CU23 sowie Exchange Server 2019 CU14 und CU15 bereitzustellen – allerdings nur für Kunden im Extended Support Updates (ESU)-Programm. Diese Beschränkung verschärft die Situation für Organisationen, deren Exchange-Versionen aus dem Support gelaufen sind.

Die Timing ist kritisch: Im Oktober kündigten CISA und NSA Härtungsmaßnahmen für Exchange-Server an, nachdem Exchange 2016 und 2019 das Supportende erreicht hatten. Diese erneute Zero-Day-Lücke zeigt, dass veraltete Systeme weiterhin attraktive Ziele darstellen. Deutsche Unternehmen und Behörden sollten ihre Exchange-Umgebungen sofort überprüfen, EEMS aktivieren und gegebenenfalls das Mitigations-Tool einsetzen. Eine schnelle Reaktion ist essentiell, um vor dem nächsten koordinierten Angriff geschützt zu sein.

Ähnliche Artikel