Die Schwachstelle hat erhebliche praktische Konsequenzen: Angreifer können speziell präparierte E-Mails verschicken, die beim Öffnen in Outlook Web Access (OWA) willkürlichen JavaScript-Code im Browser-Kontext ausführen. Laut dem belgischen Cybersecurity-Zentrum (CCB) können erfolgreiche Exploits Angreifern Zugang zu Session-Tokens verschaffen und es ihnen ermöglichen, Mailbox-Einstellungen zu verändern oder Inhalte zu manipulieren. Dies geht weit über eine bloße Malware-Infektion hinaus.
Das Risiko wird durch eine Warnung des Penetrationstesters Bogdan Tiron (Fortbridge) unterstrichen: Die Kompromittierung von Mailboxen ermöglicht es Angreifern, im Namen der Opfer E-Mails zu versenden, Weiterleitungsregeln zu etablieren – die sogar nach Passwort-Änderungen bestehen bleiben – oder Session-Tokens zu stehlen. Dies schafft ideale Bedingungen für Business-Email-Compromise-Attacken (BEC) oder Ransomware-Kampagnen.
Microsoft hat der Lücke einen CVSS-Score von 8.1 zugewiesen – ein kritischer Wert. Bemerkenswert ist die Diskrepanz zur Bewertung des National Vulnerability Database (NVD), das die Schwachstelle mit 6.1 als mittelschwer einstuft.
Während auf den Patch gewartet wird, stellt Microsoft zwei Notlösungen bereit: Erstens das Exchange Emergency Mitigation (EM) Service, das seit 2021 verfügbar ist und standardmäßig aktiviert sein sollte. Unternehmen, die diesen Service deaktiviert haben, sollten ihn sofort reaktivieren. Zweitens gibt es das aktualisierte Exchange On-premises Mitigation Tool (EOMT), das manuell auf Servern installiert werden kann.
Allerdings bringt die erste Lösung auch Nebenwirkungen mit sich: OWA-Funktionen wie Kalenderdrucke und die Light-Version funktionieren nicht mehr. Microsoft arbeitet an einem permanenten Patch, nennt aber keinen konkreten Zeitplan. Dies ist besonders frustrierend, da Exchange – gerade in deutschen Unternehmen – noch weit verbreitet ist. Organisationen sollten die Mitigationen umgehend implementieren und ihre Exchange-Infrastruktur überwachen.