Patch Tuesday schließt Exchange-Schwachstelle, die in der Wildnis ausgenutzt wurde, und SAP behebt kritische SAML-Schwachstelle mit CVSS 9,9
Microsoft liefert endgültige Behebung für CVE-2026-42897, eine XSS-Schwachstelle in Outlook Web Access, die seit Mitte Mai ausgenutzt wird, am selben Tag, an dem SAP eine kritische SAML-Schwachstelle schließt.
Das Expositionsfenster von Exchange dauerte 26 Tage
Microsoft hat am Dienstag das Patch Tuesday im Juni veröffentlicht, wobei das dringendste Element des Pakets die endgültige Behebung für CVE-2026-42897 ist. Die Schwachstelle betrifft Exchange Server 2016, 2019 und Subscription Edition in On-Premises-Installationen und wurde am 14. Mai bekannt gegeben, zwei Tage nach dem Patch Tuesday im Mai. Seitdem wird sie von Angreifern in der Wildnis ausgenutzt.
Die Schwachstelle handelt von Cross-Site-Scripting in Outlook Web Access. Der Angreifer sendet eine E-Mail mit einem spezifischen Payload, und wenn der Empfänger die Nachricht in OWA öffnet, wird der Code im Browser des Opfers mit den Rechten der Exchange-Sitzung ausgeführt. Microsoft 365 und Exchange Online sind nicht betroffen; das Problem ist ausschließlich on-premises. Der Exchange Emergency Mitigation Service, der standardmäßig aktiv ist, hat in den letzten drei Wochen automatischen Schutz geboten, aber das Unternehmen bestätigt, dass nur das Update von Dienstag den Vektor schließt.
Parallel dazu hat SAP seinen eigenen Security Patch Day veröffentlicht, der fünfzehn Notizen umfasst. Die kritischste ist CVE-2026-44748, eine Schwachstelle im Signature Wrapping in XML SAML, die CVSS 9,9 erhalten hat. Ein authentifizierter Angreifer mit ordentlichen Rechten kann eine gültige signierte Nachricht erhalten, was den Weg zur Identitätsanmahnung in Systemen öffnet, die auf SAML-Assertions vertrauen. SAP hat auch CVE-2026-27671 behoben, eine Speicherbeschädigung im ABAP-Kernel des Application Servers, die ohne Authentifizierung durch eine fehlerhafte RFC-Anfrage ausgenutzt werden kann.
Das Ziel ist die Unternehmens-Backbone
Die Kombination der drei CVEs trifft genau dort, wo es wehtut. Exchange on-premises hostet weiterhin E-Mail und Kalender von Banken, Anwaltskanzleien, Krankenhäusern und Regierungen, die die Migration zu Microsoft 365 aus Gründen der Datensouveränität oder aufgrund von Altverträgen aufgeschoben haben. SAP S/4HANA und die traditionellen ECC-Module unterstützen ERPs von fast allen Fortune 500-Unternehmen. Ein Signature Wrapping in SAML untergräbt das Vertrauen zwischen föderierten Modulen, was genau der Vektor ist, den Eindringlinge in Umgebungen suchen, in denen Active Directory und SAP IdP parallel laufen.
Für den CISO gibt es diese Woche zwei parallele Fristen zu verwalten. Der Patch für Exchange muss bereitgestellt werden, bevor die Agenten, die bereits CVE-2026-42897 ausnutzen, das Ende des Mitigationsfensters bemerken und die Kampagne beschleunigen. Der SAP-Patch hingegen erfordert ein längeres Wartungsfenster aufgrund der Auswirkungen auf die Produktion. Die Notizen zum Application Server ABAP erfordern einen Regressionstest, bevor sie in Tier-1-Umgebungen angewendet werden, und die nicht authentifizierte Natur von CVE-2026-27671 drängt auf ein schnelles Deployment.
Zwei Märkte, die eine koordinierte Antwort benötigen
Die Kombination ist in geografischen Regionen mit einer relevanten installierten Basis von Exchange On-Premises und SAP besonders wichtig. Deutschland ist in beiden Bereichen betroffen: Das BSI, die Bundesbehörde für Sicherheit, empfiehlt historisch Vorsicht bei der Migration von E-Mails in die Cloud in Sektoren wie Gesundheit und Bundesbehörden, und die deutsche SAP-Basis ist die größte der Welt nach Umsatz des Anbieters. Japan hat ein ähnliches Profil in der Fertigung und Finanzen, mit Mizuho und MUFG, die S/4HANA in hybriden Umgebungen betreiben, die SAP und Exchange On-Premises für regulatorische Trennung kombinieren.
Brasilien ist über den Bank- und Regierungssektor betroffen. Die SAP-Basis in großen Banken und lokalen Telekommunikationsoperationen ist eine der tiefsten in Lateinamerika, und der Anteil von Exchange On-Premises in Bundesbehörden und Gerichten liegt über dem weltweiten Durchschnitt. Die Kombination der drei CVEs in einem einzigen Patch Tuesday zwingt CIOs und CISOs, das Ranking der Wartungsfenster für die nächsten zwei Wochen neu zu gestalten, wobei Active Directory und SAP IdP ganz oben auf der Liste stehen.
Das Detail, das noch keinen Besitzer hat
Microsoft hat in einer Mitteilung die Ausnutzungskampagne von CVE-2026-42897 keinem bestimmten Akteur zugewiesen. CISA und das britische NCSC haben bis zum Abschluss dieses Berichts ebenfalls keinen Attributionsalarm veröffentlicht. Das Schweigen deutet darauf hin, dass die Untersuchung noch läuft und dass die Agenturen es vorziehen, die Sammlung nicht zu gefährden, bevor der Patch massenhaft bereitgestellt wird. Für das Detection-Team ist es ratsam, die teurere Hypothese anzunehmen: Der Exploit könnte bereits in kommerziellen Frameworks für Offensive Security verpackt sein und wird in den nächsten zehn Tagen in opportunistischen Kampagnen auftauchen.