mac it Illustration

Microsoft Exchange Zero-Day CVE-2026-42897: Warum Unternehmen jetzt handeln müssen

Microsoft Exchange Server steht erneut im Fokus aktiver Angriffe. Die Schwachstelle CVE-2026-42897 betrifft lokale Exchange-Installationen und wird bereits ausgenutzt. Für den Angriff kann eine präparierte E-Mail ausreichen, wenn sie in Outlook Web Access geöffnet wird. Es handele sich um eine aktiv ausgenutzte Sicherheitslücke mit CVSS 8,1, die von Microsoft als kritisch bewertet wird.

Für Unternehmen mit eigenem Exchange Server ist das kein theoretisches Risiko. Exchange ist oft direkt aus dem Internet erreichbar und in Identitäten, E-Mail-Kommunikation, Kalendern und internen Prozessen verankert. Wird OWA gehackt, kann das weit über eine einzelne Mailbox hinausgehen.

Was ist CVE-2026-42897?

CVE-2026-42897 ist eine Schwachstelle in Microsoft Exchange Outlook Web Access (OWA).
Technisch handelt es sich um ein Cross-Site-Scripting-Problem durch unzureichende Neutralisierung von Eingaben bei der Generierung von Webseiten. Dadurch kann ein Angreifer manipulierte Mails an potenzielle Opfer senden und dadurch unter bestimmten Bedingungen schädliches JavaScript im Browser des OWA-Nutzers ausführen.

  1. Der Angreifer sendet eine speziell präparierte E-Mail.
  2. Wenn der Empfänger diese Nachricht in OWA öffnet und von Microsoft nicht näher beschriebene Interaktionsbedinungen erfüllt, wird ein beliebiges Javascript im Browser des Nutzers im Nutzerkontext ausgeführt.
zero-day-microsoft

Welche Exchange-Versionen sind betroffen?

Betroffen sind lokale Exchange-Server, also On-Premises-Installationen.
Dazu zählen:

  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019
  • Microsoft Exchange Server Subscription Edition 

 
Exchange Online ist laut Microsoft-Angaben nicht betroffen.
Für Unternehmen, die vollständig auf Exchange Online setzen, besteht daher nach aktuellem Stand kein Handlungsbedarf auf Serverebene.
Unternehmen mit Hybrid-Umgebungen sollten trotzdem prüfen, ob noch lokale Exchange-Komponenten betrieben werden.

Zeitdruck und schnelle Reaktionsfähigkeit in der ITIllustration einer Person, die vor einer großen Stoppuhr läuft, umgeben von Dokumenten. Das Bild steht für Zeitdruck, schnelle Reaktionszeiten, effiziente Prozesse und die Bedeutung zügiger Entscheidungen im IT- und Projektumfeld.

Warum ist eine XSS-Lücke in OWA so gefährlich?

Cross-Site Scripting klingt zunächst weniger dramatisch als Remote Code Execution auf dem Server – im Exchange-Kontext ist es das aber.

OWA läuft in einer authentifizierten Sitzung. Wenn Angreifer JavaScript im Browserkontext dieser Sitzung ausführen können, agiert der Code nicht als beliebiges Skript im Internet, sondern innerhalb einer legitimen Exchange-Websession. Dadurch entstehen Risiken wie:

  • Manipulation dargestellter Inhalte in OWA
  • Auslesen oder Verändern von Informationen im Browserkontext
  • Missbrauch der aktiven Sitzung
  • Phishing innerhalb einer vertrauenswürdigen Oberfläche
  • Vorbereitung weiterer Angriffe auf Identitäten und Mailboxen 

Microsofts Sofortmaßnahme: Exchange Emergency Mitigation Service

Microsoft stellt derzeit eine Übergangsabsicherung über den Exchange Emergency Mitigation Service, kurz EEMS oder EM Service, bereit.
Dieser Dienst wurde mit dem September 2021 Cumulative Update für Exchange Server 2016 und 2019 eingeführt und wird auf Mailbox-Servern automatisch installiert. Edge-Transport-Server sind davon ausgenommen.

Der Dienst prüft stündlich beim cloudbasierten Office Config Service, ob neue Mitigationen vorliegen. 

Ob der EEMS läuft, können IT-Admins mit dem Befehl prüfen:

  • Get-Service |where name -Match „msexchangemiti*“ 

 
Damit alles automatisch angewendet wird, muss bei beiden Befehlen „True“ als Ergebnis kommen:

  • Get-OrganizationConfig |fl MitigationsEnabled
  • Get-ExchangeServer |fl MitigationsEnabled

 
Angewendete Mitigations können mit dem Befehl geprüft werden, die aktuelle Lücke wäre „M2.1.0“

  • Get-ExchangeServer |fl Name,MitigationsApplied,MitigationsBlocked

 
Aus dem Skripts Ordner kann man die Konnektivität zur EMS Cloud prüfen, nur notwendig wenn „M2.1.0“ nicht in der Liste der angewendeten Mitigations steht:

  • cd „C:\Program Files\Microsoft\Exchange Server\V15\Scripts“
  • .\Test-MitigationServiceConnectivity.ps1

 

Weitere Informationen zu den angewendeten Mitigations bekommt man mit diesem Skript:

  • .\Get-Mitigations.ps1

   

Sollte die Konnektivität fehlschlagen, sollte man in der Firewall prüfen ob folgendes erreichbar ist:

  • Certificate Trust List Download ctldl.windowsupdate.com/* 80 Certificate Trust List download
  • Office Config Service officeclient.microsoft.com/* 443 Required endpoint for the Exchange EM service

 

Wichtige How-to's für Zero-Day

Für Unternehmen mit lokalem Exchange Server sollte CVE-2026-42897 als akuter Security-Fall behandelt werden.
Hier sind die wichtigsten Schritte festgehalten:

  1. Alle lokalen Exchange-Server inventarisieren, inklusive Hybrid- und Alt-Systeme.
  2. Prüfen, ob OWA extern erreichbar ist.
  3. EEMS-Status und angewendete Mitigationen kontrollieren.
  4. Verbindung zu officeclient.microsoft.com und Zertifikatsprüfungen sicherstellen.
  5. In isolierten Umgebungen EOMT einsetzen.
  6. Exchange Health Checker ausführen.
  7. Logs auf Auffälligkeiten prüfen.
  8. Update-Stand für spätere Security Updates vorbereiten.
  9. Externe OWA-Veröffentlichung restriktiv bewerten.
  10. Mitarbeiter sensibilisieren, OWA bei verdächtigen E-Mails nicht als sicheren „Umweg“ zu betrachten.


Gerade der letzte Punkt ist wichtig: Viele Unternehmen schulen Mitarbeiter darauf, keine Anhänge zu öffnen und keine verdächtigen Links anzuklicken.
Security Awareness muss deshalb auch Webmail-Szenarien berücksichtigen.

Fazit

Zero-Day CVE-2026-42897 zeigt erneut, warum lokale Exchange-Server dauerhaft eng überwacht werden müssen. Die Schwachstelle sitzt nicht irgendwo am Rand, sondern in einer zentralen Kommunikationsplattform. Da sie bereits aktiv ausgenutzt wird und der dauerhafte Patch noch aussteht, zählt jetzt vor allem dass Admins schnell reagieren und die schnelle und überprüfbare Umsetzung der Microsoft-Mitigation.

Für IT-Abteilungen bedeutet das: Nicht nur darauf vertrauen, dass EEMS standardmäßig aktiv ist, sondern den Status auf jedem Exchange-Server nachweisen. Wer EEMS nicht nutzen kann, sollte EOMT kontrolliert ausrollen. Und sobald Microsoft ein Security Update bereitstellt, muss die temporäre Maßnahme durch den regulären Patch-Prozess ergänzt werden.

Weitere interessante Beiträge

Schwarzes Schild mit Umriss, Schrift „CyberRisiko Check“ und zwei stilisierten Schaltkreisen mit roten und gelben Endpunkten.
IT-News
CyberRisikoCheck: Ein Schritt Richtung mehr IT-Sicherheit
7. Mai 2025
Zum Blogbeitrag
Hand hält einen Notizblock mit handschriftlichem sicheren Passwort, während ein Laptop im Hintergrund liegt und Zahlen/Symbole erkennbar sind.
IT-News
Sichere Passwörter: So schützen Unternehmen ihre Zugänge wirksam
31. März 2026
Zum Blogbeitrag
Zwei Männer stehen zusammen, einer hält eine Auszeichnung und der andere eine Trophäe in einem modernen Raum.
mars-News
Wir sind Sophos EMEA MSP Partner of the Year
27. September 2024
Zum Blogbeitrag

Verpassen Sie keine IT-News mehr!

Abonnieren Sie unseren Newsletter und erhalten Sie regelmäßig aktuelle Updates aus der IT-Welt.