SchwachstellenHackerangriffeCloud-Sicherheit

Microsoft Exchange Server: Zero-Day-Lücke CVE-2026-42897 wird aktiv ausgenutzt

Von CyberDeutsch Redaktion
Microsoft Exchange Server: Zero-Day-Lücke CVE-2026-42897 wird aktiv ausgenutzt
Zusammenfassung

Microsoft warnt vor einer kritischen Zero-Day-Schwachstelle im Exchange Server, die bereits aktiv von Angreifern ausgenutzt wird. Die als CVE-2026-42897 katalogisierte Sicherheitslücke betrifft Exchange Server in den Versionen Subscription Edition, 2016 und 2019 und ermöglicht es Angreifern, Cross-Site-Scripting (XSS) und Spoofing-Angriffe über die Outlook Web Access (OWA) durchzuführen. Besonders problematisch ist, dass die Schwachstelle durch das Versenden speziell manipulierter E-Mails ausgenutzt werden kann – öffnet ein Benutzer die betroffene E-Mail in OWA, kann beliebiger Code im Browser ausgeführt werden. Während Microsoft an einem permanenten Patch arbeitet, hat das Unternehmen vorläufige Mitigationsmaßnahmen veröffentlicht. Die Lücke betrifft potentiell tausende deutsche Unternehmen und Behörden, die Exchange Server für ihre E-Mail-Infrastruktur nutzen. Die unmittelbare Gefahr für Finanzinstitute, Verwaltungseinrichtungen und Konzerne liegt in möglichen Datendiebstählen, Malware-Infektionen und Netzwerkzugriffen durch kompromittierte Mitarbeiterkonten. Unmittelbares Handeln zur Implementierung der Mitigationsmaßnahmen ist erforderlich, um Risiken zu minimieren.

Die Anfälligkeit CVE-2026-42897 wird in Microsofts Sicherheitshinweis als “unzureichende Neutralisierung von Eingaben während der Weberzeugung” beschrieben. Der technische Kern des Problems liegt in der fehlerhaften Validierung von Benutzereingaben in der Web-Schnittstelle von Exchange Server. Ein Angreifer kann diese Lücke ausnutzen, indem er eine manipulierte E-Mail an ein Opfer sendet. Wenn das Opfer diese E-Mail in Outlook Web Access öffnet und bestimmte Interaktionsbedingungen erfüllt sind, wird beliebiger JavaScript-Code im Browser-Kontext des Benutzers ausgeführt. Dies eröffnet Angreifern ein breites Spektrum an Möglichkeiten: vom Diebstahl von Authentifizierungsdaten über Session-Hijacking bis hin zur Manipulation von E-Mail-Inhalten.

Microsoft hat bislang keine detaillierten Informationen zu aktiven Angriffsszenarien veröffentlicht. Allerdings ist bekannt, dass Exchange-Server ein bevorzugtes Angriffsziel im Bereich von Unternehmens- und Behörnennetzwerken darstellen. Das Cybersecurity and Infrastructure Security Agency (CISA) der USA führt derzeit knapp zwei Dutzend bekannte Exchange-Vulnerabilities in ihrem KEV-Katalog auf – CVE-2026-42897 ist dort noch nicht gelistet.

Bis ein permanenter Patch vorliegt, hat Microsoft vorläufige Mitigationsmaßnahmen bereitgestellt, deren Details Administratoren umgehend prüfen sollten. Diese reichen typischerweise von Zugriffsbeschränkungen auf OWA bis hin zu Web Application Firewall-Regeln. Deutsche Unternehmen und öffentliche Verwaltungen sind aufgefordert, ihre Exchange-Umgebungen schnellstmöglich zu überprüfen und entsprechende Schutzmaßnahmen zu implementieren. Für meldepflichtige Vorfälle gemäß DSGVO gilt: Bei erfolgreicher Ausbeutung dieser Lücke zur Datenexfiltration drohen nicht nur Benachrichtigungspflichten gegenüber betroffenen Personen, sondern auch potenzielle Bußgelder bis zu vier Prozent des Jahresumsatzes.

Die Tatsache, dass diese Zero-Day so kurz nach einem großen Patch-Tuesday auftaucht, unterstreicht die kontinuierliche Bedrohungslage im Exchange-Umfeld. Das BSI wird voraussichtlich zeitnah Empfehlungen zur Behebung dieser Sicherheitslücke veröffentlichen.

Ähnliche Artikel