Exchange Server On-Premises steht mit aktiv ausgenutztem Zero-Day wieder im Fokus
CVE-2026-42897 ermöglicht die Ausführung von JavaScript über eine im Outlook Web Access geöffneten E-Mail. CISA hat bis zum 29. Mai eine Korrektur gefordert. Die Schwachstelle betrifft Exchange Server 2016, 2019 und Subscription Edition, jedoch nicht Exchange Online.
Microsoft hat diese Woche die aktive Ausnutzung der CVE-2026-42897, einer Cross-Site-Scripting-Schwachstelle im Exchange Server On-Premises, bestätigt, die am 15. Mai veröffentlicht wurde. Die Schwachstelle ermöglicht es einem Angreifer, eine speziell gestaltete E-Mail zu senden, die, wenn sie unter bestimmten Interaktionsbedingungen im Outlook Web Access geöffnet wird, willkürliches JavaScript im Kontext des Browsers des Opfers ausführt.
Die CVSS-Bewertung liegt bei 8.1 und ist als Spoofing eingestuft. Die CISA hat die CVE am Tag nach der Veröffentlichung in den Katalog der bekannten ausgenutzten Schwachstellen aufgenommen, mit einer Frist bis zum 29. Mai, in der Bundesbehörden Abhilfemaßnahmen ergreifen müssen.
Wer ist betroffen
Die Schwachstelle betrifft alle derzeit unterstützten On-Premises-Versionen: Exchange Server 2016, Exchange Server 2019 und die neu veröffentlichte Subscription Edition. Exchange Online, das von Microsoft selbst gehostet wird, ist nicht betroffen. Diese Unterscheidung konzentriert das Risiko auf Organisationen, die E-Mail-Dienste in eigener Infrastruktur betreiben, häufig aus Gründen der Souveränität, Kosten oder regulatorischen Anforderungen.
Ein endgültiger Fix wurde noch nicht veröffentlicht. Microsoft empfiehlt, den Exchange Emergency Mitigation Service zu aktivieren, der standardmäßig in aktualisierten Installationen aktiviert ist, oder das Exchange On-Premises Mitigation Tool manuell über PowerShell anzuwenden. Keine der Optionen beseitigt die Schwachstelle; sie verringern lediglich die Angriffsfläche, bis der offizielle Patch veröffentlicht wird.
Die Fortdauer des Exchange On-Prem-Problems
Der Fall verstärkt ein Muster, das seit der Hafnium-Kampagne im Jahr 2021 zu beobachten ist: On-Premises Exchange-Server bleiben ein priorisiertes Ziel in Spionage- und zielgerichteten Angriffskampagnen. Microsoft hat keine Namen von beteiligten Akteuren oder die Geografie der Opfer veröffentlicht, was die übliche Vorgehensweise ist, solange noch kartierte offensive Aktivitäten bestehen.
Für Sicherheitsteams in Beratungsunternehmen und bei Unternehmenskunden ist die unmittelbare operative Frage, ob temporäre Abhilfemaßnahmen tatsächlich auf allen Servern aktiv sind. Die strategische, ältere Frage bleibt die gleiche: Schließt die Kosten-Nutzen-Rechnung, Exchange On-Prem im Jahr 2026 zu betreiben, weiterhin, wenn man die Geschichte kritischer Zero-Days des Produkts und die Reife der gehosteten Angebote betrachtet? Jede Welle wie diese drängt einen Teil des verbleibenden Marktes zur Migration, und Managed Service Provider haben diese Momente genutzt, um Übergangsprojekte zu beschleunigen.