Microsoft hat die Schwachstelle CVE-2026-42897 (CVSS 8.1) in lokalen Versionen von Exchange Server offengelegt, die bereits aktiv von Angreifern ausgenutzt wird. Die XSS-Schwachstelle (Cross-Site Scripting) ermöglicht die Ausführung beliebigen JavaScript-Codes im Browser des Opfers über eine speziell präparierte E-Mail, die in Outlook Web Access geöffnet wird. Betroffen sind Exchange Server 2016, 2019 und Subscription Edition auf jedem Update-Stand; die Cloud-Variante Exchange Online ist nicht anfällig. Ein permanenter Patch wurde bislang nicht veröffentlicht – Microsoft bietet vorübergehende Maßnahmen über den Exchange Emergency Mitigation Service und das EOMT-Skript an, die umgehend angewendet werden müssen.

Technische Details der Schwachstelle

Laut dem Advisory des Microsoft Security Response Center wird CVE-2026-42897 als „unzureichende Neutralisierung von Eingabedaten bei der Generierung einer Webseite“ (CWE-79 — XSS) klassifiziert. Microsoft hat der Schwachstelle den Status „Exploitation Detected“ zugewiesen, was den Nachweis aktiver Ausnutzung in realen Angriffen bestätigt.

Der Angriffsvektor sieht wie folgt aus: Ein Angreifer sendet dem Opfer eine speziell präparierte E-Mail. Öffnet der Benutzer diese E-Mail über die Outlook Web Access-Oberfläche und führt bestimmte Aktionen aus (Microsoft beschreibt dies als „certain interaction conditions“), wird im Kontext des Browsers beliebiger JavaScript-Code ausgeführt. Dies ermöglicht es dem Angreifer, ohne vorherige Authentifizierung ein Spoofing über das Netzwerk durchzuführen.

Die CVSS-Bewertung von 8.1 ordnet die Schwachstelle der Kategorie hohe Kritikalität zu. Auch wenn XSS-Schwachstellen häufig als weniger gefährlich angesehen werden als Remote Code Execution, ist die Situation im Kontext von Exchange Server grundsätzlich anders: Die Ausführung von JavaScript innerhalb einer OWA-Sitzung eröffnet potenziell Zugriff auf den Inhalt des Postfachs, Sitzungstoken sowie die Möglichkeit, im Namen des kompromittierten Benutzers zu agieren.

Betroffene Produkte

Die Schwachstelle betrifft alle lokalen Versionen von Exchange Server unabhängig von den installierten Updates:

• Exchange Server 2016 — beliebiger Update-Stand
• Exchange Server 2019 — beliebiger Update-Stand
• Exchange Server Subscription Edition (SE) — beliebiger Update-Stand

Nach Angaben von Microsoft ist Exchange Online nicht von dieser Schwachstelle betroffen. Das bedeutet, dass Organisationen, die vollständig auf die Cloud-Infrastruktur von Microsoft 365 migriert sind, sich außerhalb der Gefahrenzone befinden.

Bekannte Informationen zur Ausnutzung

Zum Zeitpunkt der Veröffentlichung hat Microsoft keine Details dazu offengelegt, welche Gruppen die Schwachstelle ausnutzen, wie groß das Ausmaß der Angriffe ist und ob sie erfolgreich waren. Es liegen keine Informationen zu Zielbranchen oder -regionen vor. Der anonyme Forscher, der das Problem entdeckt und gemeldet hat, wurde ebenfalls nicht öffentlich identifiziert.

Dennoch ist allein die Tatsache, dass Microsoft den Status „Exploitation Detected“ vergeben hat, ein Signal, das nicht ignoriert werden darf. Historisch gesehen gehört Exchange Server zu den bevorzugten Zielen von Angreifern: Man denke nur an die Kampagnen mit ProxyLogon und ProxyShell, die zur massenhaften Kompromittierung Tausender Organisationen weltweit geführt haben.

Einschätzung der Auswirkungen

Am stärksten gefährdet sind Organisationen, die weiterhin lokale Installationen von Exchange Server mit aus dem Internet erreichbarem OWA einsetzen. Dies ist eine typische Konfiguration für Behörden, Finanzinstitute und Unternehmen, die aus regulatorischen oder infrastrukturellen Gründen nicht auf Cloud-Lösungen umgestiegen sind.

Die erfolgreiche Ausnutzung einer XSS-Schwachstelle im Kontext eines Mailservers kann führen zu:

• Abfangen von Sitzungstoken und unbefugtem Zugriff auf Postfächer
• Phishing-Angriffen im Namen kompromittierter Benutzer innerhalb der Organisation
• Diebstahl vertraulicher Daten aus der Kommunikation
• Nutzung des kompromittierten Zugangs als Ausgangsbasis für eine weitere Ausbreitung im Netzwerk

Praktische Empfehlungen zum Schutz

Variante 1: Exchange Emergency Mitigation Service (empfohlen)

Laut der Dokumentation von Microsoft wendet der Exchange Emergency Mitigation Service automatisch eine temporäre Abhilfemaßnahme über eine URL-Rewrite-Konfiguration an. Dieser Dienst ist in den unterstützten Versionen von Exchange Server standardmäßig aktiviert. Wurde der Dienst deaktiviert, muss er umgehend wieder aktiviert werden.

Variante 2: Manuelle Anwendung über EOMT (für isolierte Umgebungen)

Für Server ohne Internetzugang empfiehlt das Exchange-Team die Verwendung des Exchange On-Premises Mitigation Tool (EOMT):

1. Laden Sie die aktuelle Version von EOMT von aka.ms/UnifiedEOMT herunter
2. Zur Anwendung auf einem einzelnen Server führen Sie in der Exchange Management Shell mit erhöhten Rechten aus:
   .\EOMT.ps1 -CVE "CVE-2026-42897"
3. Zur Anwendung auf allen Servern (außer Edge):
   Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"

Bekannter kosmetischer Fehler

Microsoft hat bestätigt, dass nach Anwendung der Abhilfemaßnahme im Feld Description die Meldung „Mitigation invalid for this exchange version“ erscheinen kann. Dabei handelt es sich um einen kosmetischen Fehler — wenn der Status „Applied“ anzeigt, funktioniert der Schutz korrekt. Microsoft arbeitet an der Behebung dieses Darstellungsproblems.

Organisationen, die lokale Versionen von Exchange Server betreiben, sollten die temporären Schutzmaßnahmen gegen CVE-2026-42897 innerhalb der nächsten Stunden implementieren, ohne auf einen permanenten Patch zu warten. Priorität haben Server mit aus dem Internet erreichbarem OWA. Vergewissern Sie sich nach Anwendung der Abhilfemaßnahme, dass der Status als „Applied“ angezeigt wird, und verfolgen Sie das MSRC-Advisory, um Informationen zur Veröffentlichung eines vollständigen Sicherheitsupdates zu erhalten.