Ein kritischer Zero-Day-Fehler in Microsofts Exchange Server wird bereits aktiv ausgenutzt. Betroffen sind alle lokalen Installationen.
Der Softwarekonzern hat am Donnerstag eine dringende Sicherheitswarnung herausgegeben. Die als CVE-2026-42897 eingestufte Schwachstelle ermöglicht Angreifern, beliebigen Code auf betroffenen Systemen auszuführen. Mit einem CVSS-Wert von 8,1 gilt sie als hochriskant. Besonders brisant: Microsofts reguläres Mai-Update, das erst vor zwei Tagen erschien und 137 andere Sicherheitslücken schloss, enthielt noch keinen Fix für dieses Problem.
Angriffe auf zentrale Server-Infrastrukturen zeigen, wie gezielt Cyberkriminelle heute Schwachstellen in Unternehmen ausnutzen. Dieses kostenlose E-Book unterstützt Sie dabei, aktuelle Bedrohungen frühzeitig zu erkennen und Ihre IT-Sicherheit auch ohne hohes Budget effektiv zu stärken. Cyber Security E-Book jetzt kostenlos herunterladen
Sofortige Schutzmaßnahmen erforderlich
Betroffen sind alle unterstützten lokalen Versionen der Plattform – Exchange Server 2016, 2019 und die neue Subscription Edition (SE). Die Cloud-Variante Exchange Online ist laut Microsoft nicht gefährdet.
Da ein reguläres Sicherheitsupdate noch nicht bereitsteht, müssen Administratoren sofort zu Notfallmaßnahmen greifen. Microsoft hat dafür seinen Exchange Emergency Mitigation Service (EEMS) aktiviert. Dieser Hintergrunddienst auf Exchange-Mailbox-Servern blockiert automatisch den Angriffsvektor, indem er eine URL-Umschreibungsregel anwendet.
Für Unternehmen in abgeschotteten Netzwerken oder mit deaktiviertem EEMS stellt Microsoft ein aktualisiertes Exchange On-Premises Mitigation Tool (EOMT) bereit. Sicherheitsexperten raten dringend, diese automatischen Schutzmechanismen zu aktivieren.
So funktioniert der Angriff
Die Schwachstelle ist eine Spoofing- und Cross-Site-Scripting-Lücke (XSS). Sie entsteht durch unzureichende Eingabebereinigung bei der Erstellung von Webseiten.
Angreifer nutzen sie, indem sie eine präparierte E-Mail an ein Zielopfer senden. Öffnet der Empfänger die Nachricht in Outlook im Web (OWA) und erfüllen sich bestimmte Interaktionsbedingungen, können Angreifer beliebigen JavaScript-Code im Browserkontext des Nutzers ausführen.
Die Hauptgefahr: Kompromittierung von Benutzersitzungen, die zu unbefugtem Zugriff auf vertrauliche E-Mails oder zur Ausweitung von Berechtigungen im Firmennetz führen kann. Microsoft bestätigt aktive Angriffe, nennt aber keine Details zu den Tätern oder zum Umfang der Kampagne.
Einschränkungen durch Notfall-Maßnahmen
Der Rückgriff auf EEMS zeigt einen Wandel in Microsofts Sicherheitsstrategie. Der Dienst wurde nach den verheerenden ProxyLogon- und ProxyShell-Angriffen im September 2021 eingeführt und soll schnelleren Schutz bieten als ein herkömmliches Update.
Da Cyberkriminelle ihre Methoden ständig verfeinern und verstärkt auf interaktionsbasierte Angriffe setzen, wird ein proaktiver Schutz für Betriebe immer wichtiger. Erfahren Sie in diesem Ratgeber, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen an die IT-Sicherheit ohne teure Investitionen erfüllen. Gratis-Ratgeber zur IT-Sicherheit sichern
Doch die Notlösung hat ihren Preis. Microsoft warnt, dass die URL-Umschreibungsregeln bestimmte OWA-Funktionen beeinträchtigen können. So soll die „Kalender drucken“-Funktion nicht mehr richtig arbeiten, und einige Inline-Bilder werden im OWA-Lesebereich nicht angezeigt. Als Übergangslösung empfiehlt Microsoft die Nutzung des Outlook-Desktop-Clients oder das Senden von Bildern als Anhang.
Ein weiteres Problem: EEMS schützt nur Server mit Updates ab März 2023. Ältere Systeme, die nicht auf dem neuesten Stand sind, bleiben verwundbar.
Reaktionen aus der Sicherheitsbranche
Die Sicherheitslücke hat in der Branche für Aufsehen gesorgt. Das National Cyber Security Operations Centre des britischen Gesundheitswesens hat bereits eine Warnung herausgegeben und bewertet weitere Angriffe als „sehr wahrscheinlich“. Betroffene Organisationen sollen ihren Schutzstatus umgehend prüfen.
Branchenanalysten sehen in dem Vorfall eine Bestätigung dafür, dass Exchange-Server ein bevorzugtes Ziel bleiben – sowohl für staatlich gesteuerte Spionagegruppen als auch für Erpresserbanden. Der Trend zu interaktionsbasierten Angriffen, bei denen Nutzer eine Datei oder E-Mail öffnen müssen, setzt sich fort.
Ausblick: Wann kommt der Patch?
Microsoft arbeitet an einem dauerhaften Sicherheitsupdate. Ein genaues Veröffentlichungsdatum steht noch nicht fest. Experten erwarten den Fix entweder im nächsten kumulativen Update oder als außerplanmäßigen Sicherheitspatch.
Bis dahin rät die Sicherheitsbranche zu erhöhter Wachsamkeit. Administratoren sollten ihre OWA-Protokolle auf ungewöhnliche Aktivitäten überwachen – insbesondere auf unerwartete JavaScript-Ausführungen oder unbefugte Zugriffsversuche. Zudem müssen alle Exchange-Server mindestens den Sicherheitsstand von März 2023 erreicht haben, um von den automatischen Schutzmaßnahmen profitieren zu können.
Die aktuelle Krise zeigt: Automatisierte Notfalldienste wie EEMS werden für die Sicherheit lokaler Infrastrukturen immer wichtiger. Für IT-Abteilungen weltweit steht jetzt die Abwehr der unmittelbaren Bedrohung durch CVE-2026-42897 im Mittelpunkt.
