Laut Microsofts Sicherheitsmeldung lässt sich die Lücke ausnutzen, indem ein Angreifer eine speziell präparierte E-Mail an einen Nutzer sendet. Öffnet dieser die Nachricht im Outlook Web Access und sind bestimmte Interaktionsbedingungen erfüllt, kann beliebiger JavaScript-Code im Kontext des Browsers ausgeführt werden. Bemerkenswert ist der Zeitpunkt: CVE-2026-42897 wurde zwei Tage nach einem umfangreichen Patchday offengelegt, der ironischerweise keine einzige Zero-Day-Lücke enthielt.
Microsoft machte keine Angaben zum möglichen Ausmaß der Angriffe. Das belgische Centre for Cybersecurity Belgium (CCB) warnte jedoch in einer eigenen Meldung, dass eine erfolgreiche Ausnutzung Angreifern Zugriff auf das Outlook-Postfach und die Sitzungstoken eines Opfers verschaffen kann. Zudem ließen sich unbefugte Änderungen an den Postfacheinstellungen oder am Inhalt von E-Mails vornehmen.
Obwohl es sich um eine Schwachstelle im Exchange Server handelt, liegt das eigentliche Risiko bei den Postfächern der OWA-Nutzer. Bogdan Tiron, Gründer der Penetrationstest-Firma Fortbridge, betonte in einem LinkedIn-Beitrag, es gehe nicht um eine Kompromittierung des Servers, sondern des Postfachs: das Lesen von E-Mails, das Versenden von Nachrichten im Namen des Opfers, das Stehlen von Sitzungstoken und das Anlegen von Weiterleitungsregeln, die selbst ein Zurücksetzen des Passworts überdauern. Solche Übernahmen könnten zu Business E-Mail Compromise (BEC) oder Ransomware-Angriffen führen.
Tiron merkte zudem an, dass XSS „die Unternehmens-E-Mail auch 2026 noch beherrscht". Obwohl die Branche solche Schwachstellen oft als nachrangige Bedrohung abtue, nutzten Angreifer sie weiterhin für einen verlässlichen Erstzugang zu den Netzwerken ihrer Opfer. „Die langweiligen Schwachstellen sind die, die weiter funktionieren", warnte er.
Bis ein Patch erscheint, bietet Microsoft zwei Übergangsmaßnahmen an. Die empfohlene Variante richtet sich an Organisationen mit dem Exchange Emergency Mitigation (EM) Service, der für Instanzen von Exchange Server 2016, 2019 und SE eine automatisch aktivierte Gegenmaßnahme erhalten hat. Der bereits 2021 eingeführte EM Service ist standardmäßig aktiviert; wer ihn deaktiviert hat, solle ihn umgehend wieder einschalten, so Microsoft. Wie viele Exchange-Kunden den Dienst aktuell nutzen, ist unklar.
Als zweite Option nennt Microsoft eine aktualisierte Fassung des Exchange On-premises Mitigation Tool (EOMT), das sich pro Server oder über ein Skript in einer erhöhten Exchange Management Shell (EMS) ausführen lässt. Microsoft wies allerdings auf mehrere durch die Gegenmaßnahme verursachte Probleme hin, darunter Störungen der OWA-Funktionen zum Drucken von Kalendern und der OWA-Light-Ansicht. An einem Sicherheitsupdate werde gearbeitet und für die betroffenen Versionen „in Zukunft" ausgeliefert – einen Zeitplan nannte das Unternehmen nicht.
