Microsoft schließt aktiv ausgenutzte Exchange-Server-Lücke in Outlook Web Access

Zusammenfassung

Microsoft hat Sicherheitsupdates für eine aktiv ausgenutzte Zero-Day-Schwachstelle in Exchange Server bereitgestellt. Die als CVE-2026-42897 geführte, als schwerwiegend eingestufte Spoofing-Lücke ermöglicht nach Angaben des Herstellers die Ausführung von beliebigem JavaScript im Rahmen von Cross-Site-Scripting-Angriffen auf Nutzer von Outlook Web Access. Betroffen sind Exchange Server 2016, Exchange Server 2019 und Exchange Server Subscription Edition. Laut Microsoft kann die Schwachstelle aus der Ferne und ohne Berechtigungen ausgenutzt werden. Bereits Mitte Mai hatte das Exchange-Team eine automatische Übergangsmaßnahme über den Exchange Emergency Mitigation Service (EEMS) ausgerollt. Nun fordert Microsoft Administratoren auf, die Juni-2026-Sicherheitsupdates für ihre jeweilige Exchange-Version so schnell wie möglich zu installieren und die bereits aktivierten Schutzmaßnahmen zusätzlich beizubehalten.

Nach Darstellung des Exchange-Teams lässt sich CVE-2026-42897 über eine speziell präparierte E-Mail ausnutzen. Öffnet ein Anwender diese Nachricht in Outlook Web Access und sind bestimmte Interaktionsbedingungen erfüllt, kann im Browser-Kontext beliebiger JavaScript-Code ausgeführt werden. Die Schwachstelle betrifft Exchange Server 2016, Exchange Server 2019 sowie Exchange Server Subscription Edition.

Mitte Mai hatte Microsoft bereits eine automatische temporäre Abwehr über den Exchange Emergency Mitigation Service bereitgestellt. Mit den nun veröffentlichten Sicherheitsupdates für betroffene Exchange-Server-Installationen soll die Lücke endgültig geschlossen werden. In einer Aktualisierung des ursprünglichen Sicherheitshinweises empfiehlt Microsoft, die Juni-2026-Sicherheitsupdates für die eingesetzte Exchange-Version so schnell wie möglich einzuspielen.

Zugleich rät der Hersteller, die zuvor eingerichtete Mitigation weiterhin aktiviert zu lassen. Microsoft begründet das mit fortlaufenden Maßnahmen zur Härtung gegen Cross-Site-Scripting-Angriffe. Die Schutzmaßnahme stelle eine zusätzliche Verteidigungsebene bereit und solle durchgehenden Schutz sicherstellen, während weitere Verbesserungen veröffentlicht werden.

Obwohl Microsoft die Schwachstelle als aktiv ausgenutzt einstuft, blieb eine Nachfrage von BleepingComputer zu den konkreten Angriffen nach eigenen Angaben bislang unbeantwortet. Weitere Details zu den laufenden Angriffen nannte der Hersteller in dem vorliegenden Hinweis nicht.

Auch die Cybersecurity and Infrastructure Security Agency hat reagiert. CISA nahm CVE-2026-42897 am 15. Mai in ihre Liste der Sicherheitslücken auf, die nachweislich in freier Wildbahn ausgenutzt werden, und verpflichtete US-Bundesbehörden, ihre Server innerhalb von zwei Wochen, bis zum 29. Mai, zu patchen.

CISA hat in den vergangenen fünf Jahren insgesamt 20 Microsoft-Exchange-Server-Schwachstellen in diese Liste aufgenommen. Bei 14 davon kamen laut dem Bericht Ransomware-Gruppen als Ausnutzer zum Einsatz.

Bereits im Oktober, wenige Wochen nachdem Exchange 2016 und Exchange 2019 das Supportende erreicht hatten, veröffentlichten CISA und die National Security Agency zudem eine Handreichung zur Härtung von Exchange-Servern gegen Angriffe.

Microsoft schließt aktiv ausgenutzte Exchange-Server-Lücke in Outlook Web Access

Ähnliche Artikel

Neueste Artikel