Microsoft warnt vor aktiv ausgenutzter Zero-Day-Lücke in Exchange Server

Zusammenfassung

Microsoft fordert Betreiber von Exchange Server auf, eine neu offengelegte Zero-Day-Schwachstelle umgehend einzudämmen, die bereits aktiv für Angriffe missbraucht wird. Bemerkenswert ist der Zeitpunkt: Erst in dieser Woche hatte Microsoft mit seinen monatlichen Patch-Tuesday-Updates 137 Schwachstellen geschlossen, ohne dass dabei eine einzige Zero-Day-Lücke adressiert wurde — was in der Sicherheitsbranche für Überraschung sorgte. Lediglich 48 Stunden später, am 14. Mai, wurde dann die nun unter CVE-2026-42897 geführte Lücke öffentlich. Die Schwachstelle betrifft Exchange Server Subscription Edition sowie die Versionen 2016 und 2019 und wird als Spoofing- und Cross-Site-Scripting-Problem (XSS) im Outlook Web Access (OWA) beschrieben. Angreifer können sie laut Microsoft ausnutzen, indem sie dem Ziel eine speziell präparierte E-Mail senden. Einen vollständigen Patch gibt es bislang nicht; das Unternehmen hat stattdessen mehrere Übergangsmaßnahmen veröffentlicht, mit denen sich das Risiko bis zur Bereitstellung eines dauerhaften Updates senken lässt. Zu den konkreten Angriffen, in denen die Lücke ausgenutzt wird, hat Microsoft bisher keine Details genannt.

Die Schwachstelle wird in Microsofts Sicherheitsmeldung als XSS-Problem eingestuft: Eine unzureichende Bereinigung von Eingaben bei der Erzeugung von Webseiten in Exchange Server erlaube es einem nicht autorisierten Angreifer, Spoofing über ein Netzwerk durchzuführen. Betroffen ist der Webzugang Outlook Web Access.

Der Angriffsweg führt über eine manipulierte E-Mail an den Zielnutzer. Öffnet dieser die Nachricht im Outlook Web Access und treffen bestimmte Interaktionsbedingungen zu, kann nach Angaben von Microsoft beliebiger JavaScript-Code im Kontext des Browsers ausgeführt werden.

Solange kein dauerhafter Patch verfügbar ist, hat Microsoft mehrere Übergangsmaßnahmen bereitgestellt, mit denen sich die Lücke bis zur Veröffentlichung eines endgültigen Updates entschärfen lässt. Zu den laufenden Angriffen hat das Unternehmen bislang keine Informationen veröffentlicht. SecurityWeek hat Microsoft um Klarstellung gebeten und will den Bericht bei einer Antwort aktualisieren. Gemeldet wurde die Schwachstelle nach Angaben des Unternehmens von einem anonym bleibenden Forscher.

Angriffe auf Exchange-Server sind keine Seltenheit: Im KEV-Katalog der US-Behörde CISA, der bekanntermaßen ausgenutzte Schwachstellen auflistet, finden sich derzeit knapp zwei Dutzend solcher Lücken. Anders als bei CVE-2026-42897 gibt es jedoch offenbar keine weiteren Berichte über in den Jahren 2025 und 2026 entdeckte Exchange-Schwachstellen, die aktiv ausgenutzt werden.

In den KEV-Katalog der CISA wurde CVE-2026-42897 bislang noch nicht aufgenommen.

Microsoft warnt vor aktiv ausgenutzter Zero-Day-Lücke in Exchange Server

Ähnliche Artikel

Neueste Artikel