Microsoft warnt vor einer aktiv ausgenutzten Microsoft Exchange Zero-Day-Schwachstelle, für die derzeit noch kein reguläres Software-Update bereitsteht. Betroffen sind Exchange Server 2016, Exchange Server 2019 sowie Exchange Server Subscription Edition, und zwar jeweils unabhängig vom installierten Update-Stand, die eu-baustoffhandel.de berichtet mit heise.de.
Die Lücke wird unter CVE-2026-42897 geführt und hängt mit einer unzureichenden Filterung von Eingaben bei der Generierung von Webseiten zusammen. Laut der vorliegenden Beschreibung können nicht authentifizierte Angreifer aus dem Netz Spoofing-Angriffe ausführen, wobei Microsoft den Schweregrad als kritisch einordnet. Für Administratoren bedeutet das: Es gibt noch keinen klassischen Patch, aber bereits empfohlene Gegenmaßnahmen, die schnell geprüft und umgesetzt werden sollten.
Was über die neue Exchange-Lücke bekannt ist
Die Schwachstelle betrifft nach den bisher genannten Informationen besonders Outlook Web Access, also OWA. Dabei handelt es sich um die Weboberfläche, über die Nutzerinnen und Nutzer auf ihre Exchange-Postfächer zugreifen können. Der technische Kern des Problems liegt in einer Cross-Site-Scripting-Schwachstelle. Dadurch kann unter bestimmten Bedingungen JavaScript im Browser des Opfers ausgeführt werden.

Besonders kritisch ist, dass die Angriffe nicht nur theoretisch möglich sind. Microsoft warnt ausdrücklich davor, dass die Lücke bereits in freier Wildbahn attackiert wird. Das erhöht den Druck auf Unternehmen, Behörden und Dienstleister, ihre Exchange-Umgebungen schnell zu überprüfen. Der CVSS-Wert liegt bei 8.1, was offiziell ein hohes Risiko beschreibt. Microsoft stuft die Schwachstelle dennoch als kritisch ein, weil die praktische Ausnutzung erhebliche Auswirkungen haben kann.
„Bei Exchange-Schwachstellen zählt oft jede Stunde, weil Mailserver dauerhaft aus dem Internet erreichbar sind und für Angreifer ein besonders attraktives Ziel darstellen“, erklärt ein IT-Sicherheitsberater.
So könnte ein Angriff über Outlook Web Access ablaufen
Das Angriffsszenario beginnt laut Beschreibung mit einer manipulierten E-Mail. Angreifer können demnach präparierte Nachrichten an potenzielle Opfer senden. Öffnen Nutzerinnen oder Nutzer diese Nachricht in OWA und kommen bestimmte, nicht näher beschriebene Interaktionsbedingungen hinzu, kann schädlicher JavaScript-Code im Browser ausgeführt werden. Genau das macht die Situation für Unternehmen unangenehm: Die Attacke setzt nicht zwingend Administratorrechte oder eine bereits kompromittierte Anmeldung voraus.
Für die Praxis bedeutet das, dass besonders Organisationen mit aktiv genutztem Outlook Web Access aufmerksam sein sollten. OWA ist in vielen Umgebungen ein zentraler Zugangspunkt für E-Mails, Kalender und interne Kommunikation. Wird dort Schadcode im Kontext des Nutzers ausgeführt, können Spoofing-Angriffe und weitere Manipulationen möglich werden. Die Details zur Ausnutzung sind zwar nicht vollständig öffentlich beschrieben, doch die Warnung reicht aus, um sofortige Maßnahmen zu rechtfertigen.
Die Gefahr liegt nicht nur in der technischen Lücke. Sie liegt auch darin, dass E-Mails im Arbeitsalltag routinemäßig geöffnet werden. Genau dieser alltägliche Ablauf kann bei einer OWA-Schwachstelle zum Einfallstor werden.
Welche Exchange-Versionen betroffen sind
Nach den vorliegenden Angaben sind mehrere Exchange-Generationen betroffen. Das macht die Schwachstelle besonders relevant, weil viele Unternehmen weiterhin ältere Exchange-Versionen im Einsatz haben. Die Lücke betrifft nicht nur ungepflegte Systeme, sondern auch Server auf unterschiedlichen Update-Ständen. Damit reicht es nicht aus, lediglich auf den eigenen Patchstatus zu verweisen.
| Produkt | Betroffenheit | Wichtiger Hinweis |
|---|---|---|
| Exchange Server 2016 | betroffen | Update-Level spielt laut Beschreibung keine Rolle |
| Exchange Server 2019 | betroffen | betrifft auch verschiedene kumulative Updates |
| Exchange Server Subscription Edition | betroffen | ebenfalls unabhängig vom konkreten Stand |
| Outlook Web Access | besonders relevant | Angriffsszenario bezieht sich auf OWA |
| Exchange Emergency Mitigation Service | Schutzmaßnahme verfügbar | automatische Gegenmaßnahme möglich |
Die Tabelle zeigt, dass Administratoren nicht nur alte Systeme prüfen sollten. Auch Umgebungen, die grundsätzlich gepflegt wirken, können betroffen sein. Entscheidend ist daher, ob die von Microsoft bereitgestellte Mitigation bereits aktiv angewendet wurde. Wer mehrere Exchange-Server betreibt, sollte diese Prüfung für alle Systeme durchführen. Gerade gemischte Umgebungen mit älteren und neueren Servern sind besonders fehleranfällig.
Warum es noch keinen regulären Patch gibt
Zum Zeitpunkt der Warnung stellt Microsoft noch kein vollständiges Software-Update bereit. Stattdessen verweist das Unternehmen auf Gegenmaßnahmen über den Exchange Emergency Mitigation Service. Dieser Dienst wird seit September 2021 verteilt und ist standardmäßig aktiviert. Wo er aktiv ist, hat Microsoft die Schutzmaßnahme laut Beschreibung bereits angewendet. Für Administratoren ist dennoch wichtig, den Status nicht einfach vorauszusetzen, sondern konkret zu prüfen.
Ein dauerhafter Fix soll später als Update erscheinen. Genannt werden Exchange Server Subscription Edition RTM, Exchange 2016 CU23 sowie Exchange Server 2019 CU14 und CU15. Für Exchange 2016 und 2019 gilt dabei eine wichtige Einschränkung: Wer künftig den ordentlichen Fix erhalten will, benötigt offenbar die zweite Stufe der erweiterten Sicherheitsupdates. Das kann für Unternehmen relevant werden, die ältere Exchange-Installationen weiter betreiben.
„Eine automatische Mitigation ist hilfreich, ersetzt aber keine saubere Update-Strategie. Admins sollten kurzfristig absichern und gleichzeitig prüfen, wie sie den späteren Patch einplanen“, sagt ein Exchange-Administrator.
Welche Sofortmaßnahmen Admins jetzt prüfen sollten
Die wichtigste Maßnahme besteht darin, den Status des Exchange Emergency Mitigation Service zu kontrollieren. Wenn der Dienst aktiv ist und die Maßnahme als angewendet angezeigt wird, sollte der Schutz greifen. Microsoft bietet zusätzlich eine manuelle Variante an, falls die automatische Mitigation nicht aktiv ist oder aus anderen Gründen nicht übernommen wurde. Gerade in streng verwalteten Unternehmensumgebungen sind automatische Funktionen manchmal deaktiviert oder eingeschränkt.

Für Administratoren ergibt sich daraus eine klare Reihenfolge:
- Exchange-Server identifizieren, die OWA bereitstellen
- Status des Exchange Emergency Mitigation Service prüfen
- kontrollieren, ob die Mitigation für CVE-2026-42897 als angewendet angezeigt wird
- bei Bedarf die manuelle Gegenmaßnahme einspielen
- OWA-Zugriffe und verdächtige Aktivitäten überwachen
- spätere Sicherheitsupdates für die betroffenen Versionen einplanen
- Nutzer über vorsichtigen Umgang mit ungewöhnlichen E-Mails informieren
Nach diesen Schritten sollte die Umgebung nicht einfach als erledigt betrachtet werden. Eine aktiv ausgenutzte Sicherheitslücke verlangt zusätzliche Beobachtung. Logs, ungewöhnliche OWA-Zugriffe und verdächtige E-Mail-Kampagnen sollten genauer geprüft werden. Auch Helpdesk-Teams sollten wissen, dass ungewöhnliche Meldungen von Nutzern ernst genommen werden müssen. Je schneller technische und organisatorische Maßnahmen zusammenspielen, desto geringer ist das Risiko.
Nebenwirkungen der Gegenmaßnahmen
Die von Microsoft genannten Mitigations können Nebenwirkungen haben. Das ist für Administratoren wichtig, weil nach der Umsetzung möglicherweise Anwenderbeschwerden auftreten. So kann das Drucken von Kalendern in OWA beeinträchtigt sein. Auch Inline-Bilder im Empfänger-Panel werden möglicherweise nicht mehr korrekt angezeigt. Zusätzlich kann OWA Light nicht mehr wie gewohnt funktionieren.
Diese Einschränkungen wirken im Alltag störend, sind aber im Verhältnis zur Sicherheitslage meist vertretbar. OWA Light gilt ohnehin als veraltet. Problematischer können Kalenderdruck oder fehlerhafte Bildanzeigen für einzelne Arbeitsabläufe sein, etwa in Organisationen mit stark standardisierten Prozessen. Trotzdem sollte die Schutzmaßnahme nicht aus Komfortgründen ausgelassen werden. Bei einer aktiv angegriffenen Zero-Day-Lücke hat Absicherung Vorrang vor kleineren Funktionsverlusten.
Ein weiterer Punkt betrifft die Anzeige in den Mitigation-Details. Dort kann erscheinen, dass die Maßnahme für die vorhandene Exchange-Version ungültig sei. Laut Microsoft handelt es sich dabei um eine kosmetische Anzeige. Entscheidend ist der Status „Applied“. Wenn dieser angezeigt wird, gilt die Mitigation als wirksam angewendet.
Was Unternehmen bei OWA besonders beachten sollten
OWA ist für viele Unternehmen unverzichtbar, weil Mitarbeiter darüber auch außerhalb des Firmennetzes auf E-Mails zugreifen. Genau diese Erreichbarkeit macht die Oberfläche aber zu einem attraktiven Angriffsziel. Wenn eine Schwachstelle bereits aktiv ausgenutzt wird, sollten Unternehmen prüfen, ob OWA wirklich in der bisherigen Form erreichbar bleiben muss. In manchen Fällen können temporäre Einschränkungen sinnvoll sein. Das hängt von Risiko, Betriebsmodell und Sicherheitsarchitektur ab.
Zusätzlich sollten Nutzer sensibilisiert werden. Manipulierte E-Mails sind Teil des beschriebenen Angriffsszenarios. Zwar können technische Maßnahmen vieles abfangen, doch ein vorsichtiger Umgang mit unerwarteten Nachrichten bleibt wichtig. Besonders E-Mails mit ungewöhnlichem Inhalt, auffälliger Darstellung oder unerwartetem Absender sollten gemeldet werden. Sicherheitsverantwortliche sollten dafür klare Meldewege bereitstellen.
„Technik allein reicht bei Mailserver-Angriffen selten aus. Gute Protokollauswertung, schnelle Reaktion und aufmerksame Nutzer gehören zusammen“, kommentiert ein Security-Analyst.
Warum Exchange-Lücken für Angreifer besonders interessant sind
Exchange-Server sind für Angreifer seit Jahren ein attraktives Ziel. Sie enthalten sensible Kommunikation, Kalenderdaten, interne Kontakte und oft Hinweise auf Geschäftsprozesse. Außerdem sind sie häufig aus dem Internet erreichbar, damit E-Mail-Dienste und Webzugriffe funktionieren. Eine Schwachstelle in diesem Bereich kann deshalb weitreichende Folgen haben. Selbst wenn der aktuelle Fall als Spoofing-Szenario beschrieben wird, sollten Unternehmen die Lage ernst nehmen.
Hinzu kommt, dass Exchange-Umgebungen oft historisch gewachsen sind. Alte Server, hybride Microsoft-365-Anbindungen, Spezialkonfigurationen und unterschiedliche Update-Stände erschweren die schnelle Absicherung. Gerade deshalb ist ein vollständiges Inventar wichtig. Wer nicht genau weiß, welche Exchange-Server im Einsatz sind, verliert im Ernstfall wertvolle Zeit. Die aktuelle Schwachstelle zeigt erneut, warum Transparenz über die eigene Infrastruktur ein zentraler Teil der IT-Sicherheit ist.
Was bis zum endgültigen Update wichtig bleibt
Bis ein permanenter Patch bereitsteht, sollten die Gegenmaßnahmen konsequent überwacht werden. Admins sollten nicht nur einmal prüfen, sondern den Status nach Änderungen, Neustarts oder Wartungsfenstern erneut kontrollieren. Auch wenn die automatische Mitigation angewendet wurde, bleibt Logging wichtig. Eine bereits angegriffene Schwachstelle kann bedeuten, dass Angreifer vor der Absicherung aktiv waren. Deshalb sollten Unternehmen auch rückblickend nach Auffälligkeiten suchen.
Für Exchange 2016 und 2019 wird zudem die Frage der erweiterten Sicherheitsupdates relevant. Wenn spätere Updates nur unter bestimmten Supportbedingungen verfügbar sind, müssen Unternehmen rechtzeitig planen. Das betrifft Budget, Lizenzierung und mögliche Migrationsentscheidungen. Wer noch auf älteren Exchange-Versionen arbeitet, sollte die aktuelle Warnung als Anlass nehmen, die eigene Roadmap zu überprüfen. Kurzfristige Mitigation und langfristige Modernisierung gehören hier zusammen.
Was Admins jetzt nicht aufschieben sollten
Die neue Exchange-Sicherheitslücke CVE-2026-42897 ist besonders heikel, weil sie bereits angegriffen wird und noch kein reguläres Update verfügbar ist. Betroffen sind Exchange Server 2016, 2019 und die Subscription Edition, während das Angriffsszenario vor allem Outlook Web Access betrifft. Microsoft stellt zwar keinen klassischen Patch bereit, bietet aber Schutzmaßnahmen über den Exchange Emergency Mitigation Service und eine manuelle Variante an. Unternehmen sollten deshalb sofort prüfen, ob die Mitigation aktiv und wirksam angewendet wurde.
Gleichzeitig müssen mögliche Nebenwirkungen eingeplant werden. Einschränkungen beim Kalenderdruck, bei Inline-Bildern oder bei OWA Light sind unangenehm, aber im Vergleich zum Sicherheitsrisiko zweitrangig. Wichtig bleibt, die eigenen Server zu inventarisieren, OWA-Zugriffe zu beobachten und spätere Updates fest einzuplanen. Wer jetzt schnell handelt, reduziert das Risiko deutlich und gewinnt Zeit, bis Microsoft den dauerhaften Fix veröffentlicht.
