Folgen 
Microsoft hat eine Sicherheitslücke in lokalen Versionen von Exchange Server offengelegt, die bereits aktiv in freier Wildbahn ausgenutzt wird. Verfolgt als CVE-2026-42897, hat das Problem einen CVSS-Score von 8,1 und betrifft Exchange Server 2016, Exchange Server 2019 und Exchange Server Subscription Edition, während Exchange Online nicht betroffen ist. Microsoft beschreibt es als ein Spoofing-Problem, das in Cross-Site-Scripting verwurzelt ist und ausgelöst werden kann, wenn ein Benutzer unter bestimmten Interaktionsbedingungen eine speziell gestaltete E-Mail in Outlook Web Access öffnet.
Aus der Sicht eines Verteidigers ist die CVE-2026-42897-Sicherheitslücke bedeutsam, weil der Exploit-Pfad nicht mit einer Serverübernahme beginnt. Stattdessen sendet der Angreifer eine gestaltete E-Mail, die zur Ausführung von beliebigem JavaScript in der Browsersitzung des Opfers führen kann, wenn diese über OWA angesehen wird, was eine Route zum Spoofing und Missbrauch von Sitzungen im Webclient-Kontext schafft. Zum Zeitpunkt der Offenlegung sagte Microsoft, dass eine Ausnutzung erkannt wurde, jedoch wurde in der öffentlichen Berichterstattung weder der Bedrohungsakteur, die Ziele noch das gesamte Kampagnenausmaß identifiziert.
CVE-2026-42897-Analyse
Die Sicherheitslücke in CVE-2026-42897 ist mit einer unzureichenden Neutralisierung von Eingaben während der Generierung von Webseiten in Microsoft Exchange Server verbunden. Laut Microsofts öffentlicher Erklärung kann ein Angreifer die Schwachstelle ausnutzen, indem er eine speziell gestaltete E-Mail an einen Benutzer sendet, die dann angreifergesteuertes JavaScript im Browser ausführt, wenn die Nachricht in OWA geöffnet wird und die erforderlichen Interaktionsbedingungen erfüllt sind. Praktisch gesehen ist das CVE-2026-42897-Payload der bösartige Inhalt der E-Mail selbst, anstatt eines heruntergeladenen Binaries oder einer serverseitigen Implantation.
Für Sicherheitsteams, die eine CVE-2026-42897-Analyse durchführen, ist eine wesentliche Einschränkung das derzeitige Fehlen detaillierter öffentlicher Exploit-Informationen. Es gibt in den zitierten Quellen keinen öffentlichen CVE-2026-42897 Proof of Concept, und Microsoft hat keine paketbezogenen oder forensischen CVE-2026-42897 IoCs veröffentlicht. Das bedeutet, dass die Erkennung von CVE-2026-42897 eher auf der Identifizierung exponierter lokaler OWA-Bereitstellungen, der Überwachung verdächtiger, e-Mail-gesteuerter Browseraktivitäten und der Überprüfung beruht, ob Microsofts Notfallabwehr auf alle berechtigten Exchange-Server angewendet wurde.
CVE-2026-42897-Minderung
Microsofts sofortige CVE-2026-42897-Minderungsempfehlung besteht darin, auf den Exchange Emergency Mitigation Service zurückzugreifen, der den Schutz automatisch über eine URL-Umschreibekonfiguration anwendet und standardmäßig auf unterstützten lokalen Exchange-Bereitstellungen aktiviert ist. Microsoft erklärt, dass Administratoren sicherstellen sollten, dass der Windows-Dienst aktiviert ist, falls er deaktiviert wurde. Das Unternehmen gibt auch an, dass diese Minderung eine vorübergehende Maßnahme ist, während eine dauerhafte Lösung vorbereitet wird.
Wenn der Exchange Emergency Mitigation Service nicht verwendet werden kann, zum Beispiel in abgeschotteten Umgebungen, weist Microsoft Administratoren an, das neueste Exchange On-premises Mitigation Tool (EOMT) bereitzustellen und die CVE-spezifische Minderung entweder pro Server oder über Exchange Management Shell auf alle Exchange-Server anzuwenden. In der Praxis sollten Organisationen, um die CVE-2026-42897-Auswirkung zu erkennen, alle internetfähigen lokalen Exchange-Systeme inventarisieren, bestätigen, ob die Notfallabwehr erfolgreich angewendet wurde, und OWA-fähige Server priorisieren, die weiterhin extern erreichbar sind, ohne dass die Minderung vorhanden ist.
FAQ
Was ist CVE-2026-42897 und wie funktioniert es?
CVE-2026-42897 ist ein Spoofing-Fehler in lokalem Microsoft Exchange Server, der durch ein Cross-Site-Scripting-Problem in OWA-bezogener Webinhaltsgenerierung verursacht wird. Eine speziell gestaltete E-Mail kann beliebiges JavaScript im Browser des Opfers ausführen, wenn sie unter bestimmten Bedingungen in Outlook Web Access geöffnet wird.
Wann wurde CVE-2026-42897 erstmals entdeckt?
Die öffentlichen Quellen geben kein privates Entdeckungsdatum an. Bestätigt ist, dass Microsoft die Schwachstelle am 14. Mai 2026 öffentlich gemacht hat und The Hacker News berichtet, dass ein anonymer Forscher für die Meldung anerkannt wurde.
Was ist die Auswirkung von CVE-2026-42897 auf Systeme?
Die Hauptauswirkung ist die JavaScript-Ausführung im Browser-Kontext und das Spoofing gegen Benutzer von Outlook Web Access in betroffenen lokalen Exchange-Umgebungen. Es wird in den zitierten Quellen nicht als Exchange Online-Exposition oder direkte serverseitige Remote-Code-Ausführung beschrieben.
Kann CVE-2026-42897 mich 2026 noch betreffen?
Ja. CVE-2026-42897 betrifft lokale Exchange Server 2016, 2019 und Subscription Edition-Systeme im Jahr 2026, wenn sie weiterhin anfällig sind und die Microsoft-Minderung nicht angewendet wurde. Exchange Online ist von den in der Berichterstattung aufgeführten betroffenen Produkten ausgeschlossen.
Wie kann ich mich vor CVE-2026-42897 schützen?
Wenden Sie Microsofts Notfallabwehr über den Exchange Emergency Mitigation Service an oder verwenden Sie das Exchange On-premises Mitigation Tool, wenn eine automatische Minderung nicht möglich ist. Für Verteidiger, die nach weiteren Details zu CVE-2026-42897 suchen, besteht der sicherste aktuelle Ansatz darin, den Minderungstatus auf jedem exponierten Exchange-Server zu überprüfen und unnötige OWA-Exposition zu reduzieren, bis Microsoft die dauerhafte Lösung veröffentlicht.
