Microsoft hat am 14. Mai 2026 eine neue Schwachstelle in Microsoft Exchange Server veröffentlicht: CVE-2026-42897. Besonders kritisch dabei: Die Schwachstelle wird bereits aktiv angegriffen, ein finales Security Update steht aktuell noch nicht zur Verfügung.
Für viele Administratoren ist das ein unangenehmes Déjà-vu. Wieder betrifft es lokal betriebene Exchange-Server, wieder ist Outlook Web Access (OWA) betroffen und wieder zeigt sich, wie riskant klassische Exchange-Architekturen mit direkter Internetveröffentlichung inzwischen geworden sind.
Was ist passiert?
Bei CVE-2026-42897 handelt es sich um eine Cross-Site-Scripting-/Spoofing-Schwachstelle im OWA-Stack von Microsoft Exchange Server. Microsoft beschreibt die Ursache als „Improper neutralization of input during web page generation“, also eine fehlerhafte Neutralisierung von Eingaben bei der Generierung von Webinhalten.
Der Angriff funktioniert vergleichsweise simpel:
- Ein Angreifer sendet eine speziell präparierte E-Mail.
- Öffnet der Benutzer diese E-Mail über Outlook Web Access (OWA),
- kann JavaScript im Browserkontext des Opfers ausgeführt werden.
Die Schwachstelle benötigt keine vollständige Serverübernahme und keinen klassischen Remote-Code-Execution-Exploit. Genau das macht sie gefährlich: Der Angriff erfolgt direkt im Kontext der Benutzer-Session. Dadurch werden Session-Hijacking, Spoofing und weitere Browser-basierte Angriffe möglich.
Microsoft bewertet die Schwachstelle mit CVSS 8.1 („High“). Die CISA hat CVE-2026-42897 bereits in den „Known Exploited Vulnerabilities Catalog“ aufgenommen. Behörden und Unternehmen sollen die Mitigation bis spätestens 29. Mai 2026 umsetzen.
Wer ist betroffen?
Betroffen sind ausschließlich lokal betriebene Exchange-Installationen:
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
- Microsoft Exchange Server Subscription Edition (SE)
Exchange Online bzw. Microsoft 365 ist nach aktuellem Stand nicht betroffen.
Besonders problematisch ist, dass laut aktuellen Informationen grundsätzlich alle Updatelevel betroffen sind. Microsoft plant spätere Security Updates allerdings nur für unterstützte CUs und ESU-berechtigte Installationen. Wer veraltete CU-Stände betreibt, könnte sich also in einer Situation befinden, in der die spätere Korrektur gar nicht mehr installiert werden kann.
Gibt es bereits einen Patch?
Nein — aktuell gibt es noch kein finales Security Update.
Microsoft stellt derzeit ausschließlich eine temporäre Mitigation über den Exchange Emergency Mitigation Service (EEMS) bereit. Die Mitigation wird über eine URL-Rewrite-Regel angewendet und soll bekannte Angriffsvarianten blockieren.
Die Mitigation trägt die Kennung:
- M.2.1.0
Wichtig:
Die Mitigation reduziert das Risiko, ersetzt aber kein späteres Security Update.
Exchange 2016 und 2019: Gibt es Schutz über EEMS?
Ja — sofern die Systeme EEMS unterstützen und aktiviert haben.
EEMS ist standardmäßig auf unterstützten Exchange-Versionen aktiv. Für viele Unternehmen dürfte das aktuell die wichtigste Schutzmaßnahme überhaupt sein.
Prüfen lässt sich der Status mit:
Get-OrganizationConfig | fl MitigationsEnabledUnd die installierten Mitigations mit:
cd cd $exscripts
.\Get-Mitigations.ps1Laut mehreren Berichten kann dabei teilweise die Meldung erscheinen:
“Mitigation invalid for this exchange version”
Wenn der Status trotzdem „Applied“ lautet, gilt die Mitigation dennoch als aktiv.
Was tun bei isolierten oder abgeschotteten Umgebungen?
Wenn kein EEMS verwendet werden kann — beispielsweise in streng segmentierten oder Offline-Umgebungen — empfiehlt Microsoft das Exchange On-premises Mitigation Tool (EOMT).
Einzelserver:
.\EOMT.ps1 -CVE "CVE-2026-42897"Alle Exchange-Server:
Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"Bekannte Nebenwirkungen der Mitigation
Nach der Mitigation berichten Administratoren aktuell unter anderem über:
- Probleme beim Drucken von Kalendern in OWA
- Einschränkungen bei Inline-Bildern
- kosmetische Fehlermeldungen im Mitigation-Status
Das ist unangenehm, aber angesichts aktiver Angriffe aktuell das deutlich kleinere Problem.
Warum diese Schwachstelle mehr als nur „eine weitere CVE“ ist
CVE-2026-42897 zeigt erneut ein strukturelles Problem vieler Exchange-Umgebungen:
Noch immer werden Exchange-Server direkt ins Internet veröffentlicht.
Trotzdem sieht man auch 2026 noch regelmäßig folgende Architektur:
- OWA direkt per HTTPS veröffentlicht
- Exchange ActiveSync direkt erreichbar
- Keine vorgeschaltete Reverse-Proxy- oder WAF-Lösung
- Keine MFA-Pflicht
- Keine Conditional-Access-Richtlinien
- Keine Device-Compliance-Prüfung
- Teilweise weiterhin Basic Authentication oder Legacy Authentication
- Veraltete Exchange-CUs
- Fehlende Netzwerksegmentierung
Gerade ActiveSync wird massiv unterschätzt. Häufig existieren noch direkte Veröffentlichungen ohne:
- MDM
- Conditional Access
- Reverse Proxy
- Pre-Authentifizierung
- MFA
Damit werden ActiveSync-Endpunkte zu idealen Zielen für:
- Passwort-Spraying
- Credential Stuffing
- Benutzerenumeration
Werkzeuge wie „EAS-Sniper“ demonstrieren seit Jahren, wie einfach sich falsch konfigurierte ActiveSync-Installationen automatisiert analysieren und angreifen lassen.
Ein öffentlich erreichbarer Exchange-Endpunkt ohne moderne Zugriffskontrollen ist heute faktisch ein permanentes Angriffsziel.
Was Administratoren jetzt konkret tun sollten
Sofortmaßnahmen
- Prüfen, ob EEMS aktiv ist
- Prüfen, ob Mitigation M.2.1.0 angewendet wurde
- EOMT verwenden, falls EEMS nicht möglich ist
- OWA-Zugriffe überwachen
- ungewöhnliche Browser- oder Session-Aktivitäten prüfen
- Exchange Health Checker ausführen
- aktuelle CU-Stände prüfen
Architekturmaßnahmen
- OWA niemals direkt veröffentlichen
- Reverse Proxy oder Zero-Trust-Zugang vorschalten
- MFA verpflichtend aktivieren
- Basic Authentication vollständig deaktivieren
- ActiveSync absichern
- Conditional Access einsetzen
- MDM und Device Compliance umsetzen
- Exchange segmentieren und überwachen
Geeignete Lösungen sind beispielsweise:
Fazit
CVE-2026-42897 ist nicht einfach nur die nächste Exchange-Schwachstelle. Sie zeigt erneut, dass klassische Exchange-Architekturen mit direkter Internetveröffentlichung heute nicht mehr zeitgemäß sind.
Die eigentliche Lehre aus diesem Vorfall lautet:
Exchange gehört nicht mehr ohne Reverse Proxy, MFA, moderne Authentifizierung und Zugriffskontrollen direkt ins Internet.
Wer Exchange 2016 oder 2019 weiterhin On-Premises betreibt, sollte diesen Vorfall dringend als Anlass nehmen, die eigene Sicherheitsarchitektur grundlegend zu überprüfen — nicht erst dann, wenn der nächste Zero-Day auftaucht.