Microsoft warnt: Kritische Exchange-Lücke wird aktiv ausgenutzt

Der Zero-Day-Exploit ermöglicht Angreifern, schädlichen Code über die Webmail-Oberfläche einzuschleusen.

REDMOND. Nur zwei Tage nach dem massiven Mai-Update-Patchday schlägt Microsoft Alarm: Eine bislang unbekannte Schwachstelle in Exchange Server wird bereits aktiv von Angreifern genutzt. Die US-Sicherheitsbehörde CISA hat die Lücke in ihren Katalog bekannter Exploits aufgenommen und fordert schnelles Handeln.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Leitfaden jetzt gratis anfordern

Gefährliche XSS-Lücke im Outlook Web Access

Die als CVE-2026-42897 registrierte Schwachstelle erreicht einen CVSS-Score von 8,1 – die zweithöchste Risikostufe. Das Problem liegt in der unzureichenden Bereinigung von Eingabedaten bei der Seitengenerierung. Konkret handelt es sich um eine Cross-Site-Scripting-Lücke (XSS) im Outlook Web Access (OWA) von Exchange Server.

Der Angriffsvektor ist ebenso einfach wie tückisch: Ein Angreifer sendet eine präparierte E-Mail an ein Ziel. Öffnet der Empfänger diese Nachricht im Browser über OWA, kann der Schadcode beliebiges JavaScript im Kontext der Benutzersitzung ausführen. Die Folgen reichen vom Diebstahl sensibler Daten über die Übernahme aktiver Sitzungen bis zur Verteilung weiterer Schadsoftware im Firmennetzwerk.

Brisant: Zeitgleich demonstrierten Sicherheitsforscher auf dem Hacker-Wettbewerb Pwn2Own Berlin weitere Schwachstellen in der E-Mail-Plattform.

Automatische Schutzmaßnahmen als Übergangslösung

Einen permanenten Patch gibt es noch nicht. Microsoft arbeitet nach eigenen Angaben an einem endgültigen Fix, rät Administratoren aber zu sofortigen Zwischenmaßnahmen.

Im Fokus steht der Exchange Emergency Mitigation Service (EEMS). Dieser automatische Dienst wurde vor Jahren eingeführt, um gegen Hochrisiko-Bedrohungen zu schützen. Er legt eine temporäre URL-Umschreibung an, die den Angriffsvektor neutralisiert. Microsoft zufolge ist die Funktion bei den meisten unterstützten Installationen standardmäßig aktiviert und sollte automatisch eingegriffen haben.

Für Unternehmen in abgeschotteten Umgebungen ohne Internetanbindung gibt es eine manuelle Alternative: Das Exchange on-premises Mitigation Tool (EOMT) erlaubt die Installation der Schutzmaßnahmen pro Server. Microsoft warnt allerdings vor möglichen kosmetischen Einschränkungen – etwa beim Drucken von Kalendern oder der Anzeige bestimmter Bilder in OWA.

Betroffene Versionen: Millionen Server gefährdet

Die Lücke betrifft ausschließlich lokale Installationen. Exchange Online und Microsoft-365-Kunden sind nicht gefährdet. Der Kreis der betroffenen Versionen ist jedoch groß:

• Microsoft Exchange Server 2016 (alle Update-Stufen)
• Microsoft Exchange Server 2019 (alle Update-Stufen)
• Microsoft Exchange Server Subscription Edition (SE)

Sicherheitsexperten sehen in lokalen Exchange-Servern ein bevorzugtes Angriffsziel. Der Grund: Viele dieser Server sind für den externen Zugriff freigegeben und bieten Angreifern einen idealen Einstiegspunkt in Unternehmensnetzwerke.

Die Dringlichkeit unterstrich CISA am 15. Mai 2026 mit der Aufnahme in den Katalog bekannter Exploits. Bundesbehörden in den USA müssen die Maßnahmen bis zum 29. Mai umsetzen.

Rekord-Schäden durch Phishing und Exploits zwingen Firmen zum Handeln. In 4 Schritten zeigt dieser kostenlose Ratgeber, wie Sie sich gegen Cyberkriminalität wappnen und Ihre IT-Infrastruktur effektiv absichern. Anti-Phishing-Paket kostenlos herunterladen

Strategischer Hintergrund: Angriffsserie auf Microsofts Mail-Infrastruktur

Der aktuell Vorfall reiht sich in eine Serie gezielter Angriffe auf Microsofts E-Mail-Plattform ein. Erst im Februar hatte der Konzern neue Sicherheitsindikatoren eingeführt – darunter Warnbanner und Fragezeichen statt Profilbildern – um eine andere Spoofing-Lücke (CVE-2024-49040) zu schließen.

Die wiederkehrenden Probleme verdeutlichen die Herausforderungen für Unternehmen, die weiterhin auf eigene Mail-Server setzen. Microsoft hat angekündigt, dass künftige Sicherheitsupdates für ältere Versionen wie Exchange 2016 und 2019 nur noch für Kunden im Extended Security Update (ESU)-Programm verfügbar sein werden.

Sicherheitsfirmen, die die aktuellen Angriffe überwachen, bestätigen aktive Exploits. Die Identität der Täter und das Ausmaß der Kampagne sind noch unklar. Unternehmen sollten das Exchange Health Checker-Skript ausführen, um den Schutzstatus zu prüfen – Voraussetzung ist mindestens das Update vom März 2023.

Bis zum endgültigen Patch gilt: Jede verdächtige E-Mail, die im Browser geöffnet wird, kann zur Gefahr werden. Die „Interaktionsbedingungen“ für einen erfolgreichen Angriff sind bereits mit dem bloßen Öffnen einer Nachricht erfüllt.

de | wissenschaft | 69362660 |