Exchange Server OWA Zero-Day CVE‑2026‑42897 aktiv ausgenutzt – CISA-Pflichtpatch bis 29. Mai
Eine kritische XSS-Schwachstelle in Outlook Web Access von Exchange Server (2016, 2019, SE) wird aktiv ausgenutzt. Microsoft liefert eine automatische Notfall-Mitigation, der dauerhafte Patch folgt am 10. Juni 2026. CISA hat US-Bundesbehörden eine Frist bis 29. Mai gesetzt.
Eine kritische Cross-Site-Scripting-Schwachstelle in der Outlook Web Access (OWA)-Komponente von Microsoft Exchange Server wird aktiv in freier Wildbahn ausgenutzt. Die mit CVSS 8.1 bewertete Lücke CVE-2026-42897 betrifft alle On-Premises-Installationen von Exchange Server 2016, 2019 und der Subscription Edition (SE). Microsoft hat die aktive Ausnutzung bestätigt und am 15. Mai 2026 eine automatische Notfall-Mitigation bereitgestellt. Ein dauerhafter Patch ist erst zum Patchday am 10. Juni 2026 geplant. Die US-Behörde CISA hat die Schwachstelle in ihren Known Exploited Vulnerabilities Catalog aufgenommen und US-Bundesbehörden eine Umsetzungsfrist bis zum 29. Mai 2026 gesetzt.
Die Schwachstelle im Detail
CVE-2026-42897 wurde am 14. Mai 2026 öffentlich bekannt gemacht und ist als Critical mit einem CVSS-Score von 8.1 eingestuft. Der Angriff erfolgt über eine speziell präparierte E-Mail: Öffnet ein Benutzer die Nachricht in Outlook Web Access, wird schadhafter JavaScript-Code im Browser des Opfers ausgeführt. Auf diesem Weg können Angreifer Sitzungsinformationen stehlen und eine vollständige Account-Übernahme durchführen – ohne dass dafür weitere Nutzerinteraktion nötig ist.
Der Angriffsvektor ist damit besonders gefährlich, da OWA in vielen Unternehmen über das Internet erreichbar ist und E-Mails als Einfallstor häufig unterschätzt werden. Microsoft hat bestätigt, dass die Schwachstelle bereits aktiv für Angriffe genutzt wird.
Bin ich betroffen?
Betroffen sind ausschließlich On-Premises-Installationen der folgenden Exchange-Server-Versionen – unabhängig vom aktuellen Patch-Level:
| Produkt | Betroffen |
|---|---|
| Exchange Server 2016 (alle CUs) | Ja |
| Exchange Server 2019 (alle CUs) | Ja |
| Exchange Server Subscription Edition (SE) | Ja |
| Exchange Online (Microsoft 365) | Nein |
Wer ausschließlich Exchange Online nutzt, ist nicht betroffen. Organisationen mit hybriden Umgebungen sollten prüfen, ob On-Premises-Exchange-Server im Einsatz sind, da diese gefährdet sind. Zur Prüfung, ob der Exchange Emergency Mitigation Service aktiv ist, kann in der Exchange Management Shell folgender Befehl ausgeführt werden:
Get-ExchangeDiagnosticInfo -Server <Servername> -Process EdgeTransport -Component MitigationService -Settings MitigationServiceStateWie behebe ich das?
Microsoft hat am 15. Mai 2026 eine automatische Notfall-Mitigation über den Exchange Emergency Mitigation Service (EEMS) veröffentlicht. Auf mit dem Internet verbundenen Exchange-Servern wird diese Mitigation in der Regel automatisch eingespielt – vorausgesetzt, der EEMS ist aktiviert (Standardeinstellung).
Für Air-Gapped-Umgebungen ohne Internetzugang muss die Mitigation manuell angewendet werden. Microsoft stellt hierfür das Exchange On-Premises Mitigation Tool bereit, das manuell heruntergeladen und ausgeführt werden muss.
Der dauerhafte Patch ist für den Patchday am 10. Juni 2026 geplant und wird für folgende Versionen bereitgestellt:
- Exchange Server SE RTM
- Exchange Server 2016 CU23
- Exchange Server 2019 CU14 und CU15
Administratoren sollten das kumulative Update unmittelbar nach Veröffentlichung am 10. Juni einspielen. Wie Windows-Updates und Exchange-Patches grundsätzlich verwaltet werden, erläutert die Anleitung Windows-Updates mit WSUS und Update for Business auf s-edv.com. Wer OWA über das Internet exponiert, sollte zusätzlich prüfen, ob eine vorgelagerte Web Application Firewall oder ein Reverse Proxy sinnvoll ist.
Was bedeutet das für Unternehmen?
Die Kombination aus aktivem Exploit, fehlendem dauerhaftem Patch und der Verbreitung von OWA als Web-Oberfläche macht CVE-2026-42897 zu einer ernstzunehmenden Bedrohung für alle Organisationen mit Exchange On-Premises. Besonders kritisch ist die Lage für Unternehmen, bei denen OWA direkt über das Internet erreichbar ist – hier ist die Angriffsfläche maximal.
Erfolgreiche Ausnutzung ermöglicht Session-Hijacking und die vollständige Übernahme von E-Mail-Konten. Für Unternehmen ohne Cloud-Migration stellt dies ein unmittelbares Sicherheitsrisiko dar, das nicht bis zum Patchday aufgeschoben werden sollte. Die EEMS-Mitigation bietet zwar einen temporären Schutz, ist jedoch kein Ersatz für den dauerhaften Patch.
Organisationen sollten den Status des Exchange Emergency Mitigation Service unverzüglich prüfen und sicherstellen, dass die automatische Mitigation aktiv ist. Air-Gapped-Systeme erfordern besondere Aufmerksamkeit, da diese die Mitigation nicht automatisch erhalten. Zusätzlich empfiehlt sich eine Überprüfung der OWA-Zugriffsberechtigungen sowie der Aktivierung von Multi-Faktor-Authentifizierung – wie sie die Anleitung Zwei-Faktor-Authentifizierung einführen beschreibt. Damit lässt sich das Schadenspotenzial im Falle einer erfolgreichen Sitzungsübernahme deutlich reduzieren.
Für den Fall, dass es dennoch zu einem Sicherheitsvorfall kommt, liefert die Anleitung Ransomware-Notfallplan: Die ersten 60 Minuten eine strukturierte Vorgehensweise für die ersten Schritte nach einem Angriff.
