Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 01.06.2026 · 3 min Lesezeit

Exchange-Zero-Day CVE-2026-42897: Kritische XSS-Lücke in OWA wird aktiv ausgenutzt – nur Mitigation, kein Patch

Microsoft warnt vor der aktiv ausgenutzten Zero-Day-Lücke CVE-2026-42897 in Exchange Server. Über präparierte E-Mails lässt sich JavaScript in OWA ausführen. Ein Patch fehlt noch – nur temporäre Mitigationen stehen bereit.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Symbolbild IT-Sicherheit: Schloss-Symbol vor Programmcode für eine kritische Exchange-Schwachstelle

Microsoft hat am 14. Mai 2026 die Zero-Day-Schwachstelle CVE-2026-42897 in Exchange Server öffentlich gemacht. Die Lücke in Outlook Web Access (OWA) erlaubt es Angreifern, über speziell präparierte E-Mails beliebigen JavaScript-Code im Kontext authentifizierter Benutzer auszuführen. Sie wird mit einem CVSS-Wert von 8.1 als kritisch eingestuft und laut Microsoft bereits aktiv ausgenutzt. Betroffen sind ausschließlich On-Premises-Installationen; ein permanenter Patch existiert zum Zeitpunkt der Veröffentlichung noch nicht – nur temporäre Mitigationen stehen zur Verfügung.

Die Schwachstelle

Technisch handelt es sich um eine Cross-Site-Scripting-Schwachstelle (XSS) in Outlook Web Access. In der offiziellen Microsoft-Klassifizierung wird die Lücke jedoch primär als Spoofing-Schwachstelle geführt, die durch eine unzureichende Bereinigung von Eingaben bei der Generierung von Webseiten ermöglicht wird (Improper neutralization of input during web page generation, leading to spoofing). Die XSS-Beschreibung ist technisch nicht falsch, doch betont Microsoft Spoofing als Auswirkungsklasse.

Für einen Angriff genügt eine speziell gestaltete E-Mail. Öffnet das Opfer die Nachricht in OWA, wird der eingebettete JavaScript-Code im Kontext des Empfängers ausgeführt. Administrationsrechte sind dafür nicht erforderlich. Mögliche Folgen sind Session-Diebstahl, die Kompromittierung kompletter Mailboxen, der Diebstahl von E-Mails sowie die Manipulation von Weiterleitungsregeln. Microsoft zufolge ist CVE-2026-42897 die 19. aktiv ausgenutzte Exchange-Server-Lücke, die in den vergangenen fünf Jahren in den KEV-Katalog der US-Behörde CISA aufgenommen wurde.

Bin ich betroffen?

Betroffen sind ausschließlich On-Premises-Installationen folgender Produkte – inklusive gehosteter beziehungsweise verwalteter Exchange-Instanzen:

  1. Exchange Server 2016 – alle Versionen und Update-Level
  2. Exchange Server 2019 – alle Versionen und Update-Level
  3. Exchange Server Subscription Edition

Exchange Online (Cloud) ist nach Angaben von Microsoft nicht betroffen. Unternehmen, die ausschließlich auf die Cloud-Variante setzen, müssen keine Maßnahmen ergreifen. Wer mindestens einen On-Premises-Exchange mit aktivem OWA betreibt, sollte hingegen umgehend handeln.

Wie behebe ich das?

Da ein permanenter Sicherheits-Patch noch nicht verfügbar ist und Microsoft hierfür keinen Termin angekündigt hat, sind aktuell nur temporäre Mitigationen möglich:

  1. Prüfen, dass der Exchange Emergency Mitigation Service (EEMS) aktiviert ist. Er ist standardmäßig aktiv und führt die erforderliche URL-Rewrite-Konfiguration automatisch durch.
  2. Für Air-Gapped-Umgebungen das Exchange On-premises Mitigation Tool (EOMT) manuell per PowerShell bereitstellen.
  3. Auf den permanenten Microsoft-Security-Patch warten und dessen Verfügbarkeit beobachten.
  4. Den Zugriff auf OWA-Endpunkte überwachen und einschränken sowie die Phishing-Kontrollen verstärken.

Das manuelle Tool für isolierte Umgebungen wird über folgenden Aufruf bezogen:

# Exchange On-premises Mitigation Tool (EOMT) beziehen
# Quelle: aka.ms/UnifiedEOMT
Invoke-WebRequest -Uri https://aka.ms/UnifiedEOMT -OutFile EOMT.ps1
.\EOMT.ps1

Wichtig: Die Mitigation hat Nebenwirkungen. Der Kalender-Druck und Inline-Bilder in OWA können beeinträchtigt werden, und die OWA-Light-Version funktioniert nicht mehr. Administratoren sollten diese Einschränkungen einplanen.

Was bedeutet das für Unternehmen?

Für jedes Unternehmen mit On-Premises-Exchange ist die Lage kritisch. Ohne Mitigation sind sämtliche Mailboxen kompromittierungsgefährdet: Eine Mailbox-Übernahme kann zu Datendiebstahl, Credential-Harvesting via JavaScript, Lateral Movement und im weiteren Verlauf zu Ransomware führen. Die Kombination aus aktiver Ausnutzung und fehlendem Patch vergrößert das Expositionsfenster erheblich.

Die CISA hat die Schwachstelle am 15. Mai 2026 in ihren Known-Exploited-Vulnerabilities-Katalog aufgenommen und US-Bundesbehörden gemäß BOD 22-01 eine Remediation-Frist bis zum 29. Mai 2026 gesetzt. EU-Unternehmen müssen wegen der DSGVO-Meldepflicht bei Sicherheitsverletzungen schnell reagieren. Da die Mitigationen nur temporär sind und teilweise die User-Experience beeinträchtigen, ist zusätzlicher Support-Aufwand einzuplanen, bis Microsoft einen permanenten Patch bereitstellt.

Quellen

Weitere Informationen bei Microsoft Exchange Team Blog, CISA, BleepingComputer, SecurityWeek, The Hacker News und NIST NVD.

Verwandt

Weiter lesen

Alle Artikel →
Server-Rack im Rechenzentrum – Symbolbild für Windows-Server-Domänencontroller
31.05.2026 ·2 min

LiteSpeed cPanel-Plugin: CISA setzt Vier-Tage-Frist gegen aktive Angriffe

Eine kritische Rechteausweitung im LiteSpeed cPanel-Plugin wird laut CISA aktiv ausgenutzt. US-Bundesbehörden bekamen nur vier Tage zum Patchen. Auch europäische Hoster sollten reagieren.
Netzwerk-Storage im Regal – Symbolbild für Synology-NAS
29.05.2026 ·2 min

Drupal-Lücke CVE-2026-9082: Angreifer attackieren PostgreSQL-Setups

Eine als kritisch eingestufte SQL-Injection-Lücke im Drupal-Core wird aktiv ausgenutzt. Betroffen sind ausschließlich Installationen, die PostgreSQL als Datenbank verwenden.
Bürorechner mit Sicherheits-Icon – Symbolbild für SAP-Patchday
28.05.2026 ·2 min

SAP-Patchday Mai 2026: Zwei kritische Lücken erlauben unauthentifizierten Login

SAP schließt im Mai-Patchday 15 Schwachstellen, zwei davon kritisch. Eine erlaubt unauthentifizierten Login, eine zweite SQL-Injection.