In Microsoft Exchange Server klafft eine aktiv ausgenutzte Sicherheitslücke, für die noch kein permanenter Patch existiert. Angreifer nutzen sie bereits aus, um über präparierte E-Mails beliebigen JavaScript-Code im Browser von OWA-Nutzern auszuführen. Betroffen sind ausschließlich On-Premises-Installationen. Ein automatischer Notfallschutz steht bereit und sollte sofort aktiviert werden.

Was ist passiert?

Microsoft hat die Schwachstelle CVE-2026-42897 am 14. Mai 2026 veröffentlicht und gleichzeitig bestätigt, dass sie bereits aktiv ausgenutzt wird. Der CVSS-Score liegt bei 8.1 (hoch), Microsoft bewertet den Schweregrad intern als kritisch. Die CISA hat die Lücke am 15. Mai 2026 in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen und US-Bundesbehörden verpflichtet, die Mitigation bis zum 29. Mai 2026 umzusetzen.
Technisch handelt es sich um einen Cross-Site-Scripting-Fehler (XSS) in Outlook Web Access (OWA), der Spoofing-Angriffe über das Netzwerk ermöglicht. Die Ursache liegt in einer fehlerhaften Verarbeitung von Eingaben bei der HTML-Seitengenerierung.

Wie funktioniert der Angriff?

Der Angriff beginnt mit einer präparierten E-Mail. Öffnet ein Nutzer diese Nachricht in OWA und sind dabei bestimmte Interaktionsbedingungen erfüllt, wird beliebiger JavaScript-Code im Browser des Opfers ausgeführt. Der Angreifer braucht dafür keine gültigen Exchange-Zugangsdaten und keine erhöhten Rechte. Der Angriffsvektor ist das Netzwerk, die Angriffskomplexität gilt als niedrig.
Über den ausgeführten JavaScript-Code können Angreifer Sitzungstoken abgreifen, Nutzer imitieren oder Aktionen im Namen des Opfers durchführen. Besonders riskant ist die Lage, wenn OWA aus dem Internet erreichbar ist, was bei vielen On-Premises-Umgebungen der Fall ist.
Details zu den Angreifern, den betroffenen Organisationen oder dem Umfang der bisherigen Angriffe hat Microsoft nicht veröffentlicht.

Wer ist betroffen?

Betroffen sind On-Premises-Installationen von:

Exchange Server 2016 (alle Update-Stände)
Exchange Server 2019 (alle Update-Stände)
Exchange Server Subscription Edition (SE), RTM

Exchange Online ist nicht betroffen.

Was ist jetzt zu tun?

Da ein permanenter Patch noch nicht verfügbar ist, hat Microsoft zwei Wege zur Mitigation bereitgestellt:
Option 1: Exchange Emergency Mitigation Service (EEMS) aktivieren
Der EEMS ist seit dem September-2021-Kumulativupdate standardmäßig auf Exchange-Mailbox-Servern installiert. Er lädt stündlich Konfigurationsdateien vom Microsoft Office Config Service herunter und spielt Mitigationen automatisch ein. Für CVE-2026-42897 blockiert eine URL-Rewrite-Konfiguration (Mitigation-ID M2.1.x) gezielt schädliche HTTP-Anfragemuster. Diese Mitigation wurde bereits automatisch ausgerollt, sofern der EEMS aktiviert ist.
Administratoren können den Status prüfen mit dem Exchange Health Checker Script unter https://aka.ms/ExchangeHealthChecker. Im HTML-Report erscheint ein Abschnitt zu EEMS-Ergebnissen. Taucht dabei die Meldung „Mitigation invalid for this exchange version“ auf, bedeutet das nicht, dass die Mitigation gescheitert ist. Zeigt der Status „Applied“, greift sie korrekt.
Achtung: Server, die älter als der März-2023-Stand sind, können keine neuen EEMS-Mitigationen empfangen. Diese Server müssen auf einen aktuellen Patch-Stand gebracht werden.
Option 2: Exchange On-Premises Mitigation Tool (EOMT) für Air-Gap-Umgebungen
Wer den EEMS nicht nutzen kann, etwa weil kein Internetzugang besteht, kann das EOMT-Script manuell herunterladen und aus einer erhöhten Exchange Management Shell ausführen:

Für einzelne Server: .\EOMT.ps1 -CVE „CVE-2026-42897“
Für alle Server der Organisation gleichzeitig möglich

Unabhängig von der gewählten Option gilt: Exchange Server, deren OWA aus dem Internet erreichbar ist, sollten bis zur Verfügbarkeit eines permanenten Patches besonders engmaschig überwacht werden.