Microsoft warnt vor einer kritischen Zero-day-lücke in Exchange, die bereits aktiv im Netz angegriffen wird. Für die Schwachstelle gibt es noch kein Sicherheitsupdate, stattdessen rät der Konzern Administratoren zu sofortigen Gegenmaßnahmen.
Betroffen sind Exchange Server 2016, Exchange Server 2019 und Exchange Server Subscription Edition auf allen Update-Ständen. Microsoft ordnete die Lücke unter CVE-2026-42897 ein, vergab einen CVSS-Wert von 8,1 und stufte das Risiko als hoch ein; zugleich bewertet das Unternehmen die Schwachstelle selbst als kritisch.
Im Kern handelt es sich um eine unzureichende Filterung von Eingaben beim Erzeugen von Webseiten, also eine Cross-Site-Scripting-Schwachstelle. Nach Angaben von Microsoft können nicht authentifizierte Angreifer aus dem Netz über CVE-2026-42897 Spoofing-Angriffe ausführen. Besonders betroffen scheint Outlook Web Access, kurz OWA, zu sein. Dort können Angreifer manipulierte E-Mails an Opfer schicken. Öffnen Nutzer die Nachricht in OWA und sind bestimmte Interaktionsbedingungen erfüllt, wird beliebiges JavaScript im Browser ausgeführt.
Genau deshalb drängt Microsoft auf schnelles Handeln. Das Unternehmen bietet Gegenmaßnahmen an, die Administratoren so rasch wie möglich umsetzen sollen, und verweist auf den Exchange Emergency Mitigation Service. Dieser Dienst ist seit September 2021 verfügbar und standardmäßig aktiviert. Microsoft teilte mit, die Mitigation sei dort, wo der Dienst aktiv ist, bereits angewendet worden. In seinem Blog zeigt das Unternehmen außerdem eine manuelle Variante derselben Maßnahme.
Die Notfall-Mitigation hat jedoch einen Preis. Nach ihrer Anwendung können das Drucken von Kalendern in OWA, die Darstellung von Inline-Bildern im Empfängerbereich und auch OWA Light beeinträchtigt sein. Microsoft schreibt zudem, dass der Status in den Mitteilungsdetails mitunter fälschlich als für die aktuelle Exchange-Version ungültig erscheinen kann; das sei nur kosmetisch. Ein Status von „Applied“ bedeute dagegen, dass die Maßnahme wirksam umgesetzt wurde.
Eine dauerhafte Lösung arbeitet das Exchange-Team von Microsoft nach eigenen Angaben bereits aus. Ein späteres Update ist für Exchange SE RTM, Exchange 2016 CU23, Exchange Server 2019 CU14 und Exchange Server 2019 CU15 vorgesehen. Wer Exchange 2016 oder Exchange 2019 nutzt, muss dafür allerdings das zweite Paket der Extended Security Updates abonnieren. Microsoft stellte nach eigenen Angaben weitere Informationen zum Emergency Mitigation Service auf einer separaten Webseite bereit.
Bis der Patch vorliegt, bleibt Verteidigung die einzige Option. Für Unternehmen, die Exchange im Browser einsetzen, ist das mehr als eine technische Zwischenlösung: Es ist der Versuch, eine bereits ausgenutzte Lücke zu schließen, bevor sie sich weiter ausbreitet.
