Exchange Zero-Day CVE-2026-42897 wird aktiv ausgenutzt – kein Patch in Sicht

Stellen Sie sich eine mittelalterliche Stadt vor, die ein Vermögen für Steinmauern, Eisentore und einen Burggraben ausgegeben hat – und dann die Seitentür des Briefträgers mit einem Ziegelstein offen stehen ließ. Genau das ist Exchange-OWA-Kunden letzten Donnerstag passiert. Die Mauern haben gehalten. Der Briefschlitz nicht.

Microsoft hat am Donnerstag, dem 18. Mai, CVE-2026-42897 offengelegt – einen aktiv ausgenutzten Zero-Day in Outlook Web Access, und vier Tage später gibt es immer noch keinen Patch. Der Fix kommt, so Microsoft wörtlich, „in the future".

Was passiert ist

Kurz zusammengefasst: Eine Cross-Site-Scripting-Lücke in OWA ermöglicht es einem nicht authentifizierten Angreifer, Spoofing-Angriffe über das Netzwerk durchzuführen. Wie Dark Reading berichtete, wird die Schwachstelle bereits aktiv in freier Wildbahn ausgenutzt. CISA hat die CVE am Freitag in den KEV-Katalog aufgenommen – das bundesbehördliche Äquivalent zum Auslösen eines Feueralarms.

Das Timing ist fast komisch. Die Lücke tauchte zwei Tage nach einem umfangreichen Patch-Tuesday-Release auf, das ironischerweise gar keine Zero-Days enthielt. Verteidiger hatten kaum die Tickets des Vormonats abgearbeitet, als dieser hier ohne beigefügten Fix in die Warteschlange rutschte.

Betroffen sind drei On-Premises-Produkte: Exchange Server 2016, Exchange Server 2019 und Exchange Server Subscription Edition. Microsoft hat einen CVSS-Wert von 8,1 vergeben. Die National Vulnerability Database des NIST war anderer Meinung und stufte die Schwachstelle mit einem mittleren Schweregrad von 6,1 ein. Diese Diskrepanz ist bedeutsam, denn wer in seiner Patch-Pipeline auf automatisches Severity-Gating setzt, bekommt je nach genutztem Feed unterschiedliche Ergebnisse.

Das Centre for Cybersecurity Belgium veröffentlichte am Montag ein eigenes Advisory, und die Belgier machten keine halben Sachen. Erfolgreiche Ausnutzung, warnte das CCB, kann einem Angreifer Zugang zum Outlook-Postfach und den Sitzungstoken des Opfers verschaffen, außerdem die Möglichkeit geben, unbefugte Änderungen an Postfacheinstellungen oder am E-Mail-Inhalt vorzunehmen. Mit anderen Worten: Der Briefschlitz ist nicht nur offen. Der Angreifer kann auch hineingreifen und die Briefe umverteilen.

Technische Analyse

Abseits des Brandings ist das eine Lehrbuch-XSS-Kette. Microsofts eigene Beschreibung spricht eine klare Sprache: „An attacker could exploit this issue by sending a specially crafted email to a user. If the user opens the email in Outlook Web Access and certain interaction conditions are met, arbitrary JavaScript can be executed in the browser context." Das war's. Eine präparierte E-Mail, ein Opfer, das sie in OWA öffnet – und das JavaScript des Angreifers läuft mit der Benutzersitzung.

XSS ist, falls das jemand vergessen hat, eine der häufigsten Schwachstellenklassen der Welt und ein fester Bestandteil der OWASP Top 10. Bogdan Tiron, Gründer des Penetrationstestunternehmens Fortbridge, brachte es auf LinkedIn auf den Punkt: XSS „beherrscht Enterprise-Mail noch 2026" und „die langweiligen Schwachstellen sind die, die immer weiter funktionieren". Er hat recht, und wer jemals ein Webmail-Produkt triagiert hat, kennt die Ursache: reichhaltiges HTML-Rendering, jahrzehntelange Abwärtskompatibilität bei Markup und ein Sanitizer, der jedes Mal perfekt sein muss – während ein Angreifer nur einmal gewinnen muss.

Tirons Beschreibung der Auswirkungen ist das, was man sich irgendwo an die Wand schreiben sollte. Das Risiko, schrieb er, „ist keine Server-Kompromittierung. Es ist Postfach-Kompromittierung, E-Mails lesen, E-Mails als Opfer senden, Sitzungstoken stehlen, Weiterleitungsregeln einpflanzen, die Passwort-Resets überleben." Dieses letzte Detail ist das unscheinbare, das Quartale ruiniert. Eine Weiterleitungsregel, die still im Postfach eines CFO sitzt, interessiert es nicht, dass die IT-Abteilung gerade das Passwort geändert hat. Sie leitet weiterhin Rechnungen ab.

Von dort ist der Weg zu Business Email Compromise oder Ransomware-Staging kurz und gut ausgetreten. Man braucht kein RCE auf dem Exchange-Host, um ein Beschaffungsteam per Überweisungsbetrug zu schädigen oder eine interne Phishing-Kampagne zu starten, die jeden externen E-Mail-Filter der Organisation umgeht. Man braucht nur eine glaubwürdig intern aussehende Nachricht.

Wer betroffen ist

On-Premises-Exchange-Betreiber sind die offensichtlichen Leidtragenden, und das ist keine kleine Gruppe. Regulierte Branchen, Sovereign-Cloud-Nutzer und alle, deren Compliance-Team vor der Verlagerung von Postfächern zu M365 zurückgeschreckt ist, betreiben noch Exchange 2016, 2019 oder SE irgendwo in einem Rechenzentrum. Dazu gehören Teile von Fintech-Back-Offices, Zahlungsdienstleister mit strengen Datenhaltungsanforderungen und iGaming-Betreiber, die betriebliche Kommunikation auf physisch kontrollierbarer Infrastruktur halten möchten.

Die Branchen, um die ich mir in den nächsten 90 Tagen am meisten Sorgen machen würde, sind jene, bei denen eine Postfach-Kompromittierung direkt zu Geldtransfers führt. Zahlungsabwicklungsteams genehmigen Lieferantenänderungen per E-Mail. Treasury-Abteilungen bestätigen Überweisungsdetails per E-Mail. Sportwettenanbieter koordinieren mit Zahlungsanbietern und KYC-Dienstleistern per E-Mail. Eine Weiterleitungsregel im richtigen Posteingang ist mehr wert als jede Ransomware-Payload.

Krypto- und DeFi-Unternehmen mit irgendeiner Art von Exchange-Infrastruktur sollten besonders nervös sein. Wer schon einmal einen Bridge-Exploit beobachtet hat, weiß: Der Angreifer bricht selten die Kryptographie. Er manipuliert einen Operator per Social Engineering. Ein dauerhafter Postfach-Brückenkopf ist genau die Art von Vorpositionierung, die sechs Wochen später in einem Post-Mortem endet mit der Frage: „Wie wussten die den Zeitplan unserer Multisig-Unterzeichner?"

Ad-Tech- und Enterprise-Infra-Unternehmen, die bereits zu Exchange Online migriert sind, sind ebenfalls nicht aus dem Schneider. Zahlreiche übernommene Tochtergesellschaften betreiben noch ihr eigenes On-Premises-Exchange, weil das Integrationsprojekt drei Jahre lang auf das nächste Quartal verschoben wurde. Diese vergessenen Server sind jetzt CISA-gelistete Verbindlichkeiten in Ihrem CMDB unter „Legacy, nicht anfassen".

Maßnahmen für Sicherheitsteams

Zuerst das Unspektakuläre, um das Microsoft Kunden dringend bittet. Sicherstellen, dass der Exchange Emergency Mitigation Service aktiviert ist. Er wurde 2021 eingeführt, ist standardmäßig aktiviert, und Microsoft hat darüber automatisch eine Mitigation für 2016, 2019 und SE ausgerollt. Microsofts genaue Aussage ist es wert, zitiert zu werden: „Using EM Service is the best way for your organization to mitigate this vulnerability right away. If you have EM Service currently disabled, we recommend you enable it right away." Das sollte man ernst nehmen.

Ist der EM Service deaktiviert, ist der Fallback das aktualisierte Exchange On-premises Mitigation Tool (EOMT), das pro Server oder über eine erhöhte Exchange Management Shell angewendet wird. Achtung: Die bekannten Mitigationen beeinträchtigen OWA Print Calendar und die OWA-Light-Funktionalität. Das ist ein Helpdesk-Ticket-Sturm, den man in Kauf nehmen muss.

Über die offiziellen Mitigationen hinaus sollte man nach den Persistenzmustern suchen, auf die Tiron hingewiesen hat. Alle Postfächer auf Posteingangsregeln prüfen, insbesondere Weiterleitungs- und Umleitungsregeln, die in den letzten zwei Wochen erstellt wurden. OWA-Sitzungstoken massenhaft invalidieren, wenn der Tenant das unterstützt. Gesendete Objekte auf Nachrichten prüfen, die wie internes Phishing oder Rechnungsumleitungsversuche aussehen. Die Aktivitäten den relevanten ATT&CK-Techniken rund um E-Mail-Sammlung und Regelmanipulation zuordnen, damit die Erkennungen auch bei der nächsten Variante dieser Lücke greifen.

Und das Patch-Management-Runbook jetzt aktualisieren, solange es ruhig ist – denn Microsoft hat keinerlei Zeitplan für den eigentlichen Fix genannt. Ein Wartungsfenster vorab buchen für den Moment, wenn er erscheint.

Wichtigste Erkenntnisse

• Kein Patch, aktive Ausnutzung, KEV-gelistet. CVE-2026-42897 wird in freier Wildbahn genutzt, und Microsofts ETA lautet „in the future".
• Exchange EM Service heute aktivieren. Er ist die empfohlene Mitigation, seit 2021 standardmäßig aktiviert, und schiebt den Fix automatisch an 2016, 2019 und SE.
• Das Risiko ist Postfach-Kompromittierung, kein Server-Takeover. BEC, Weiterleitungsregel-Persistenz und Sitzungstoken-Diebstahl sind zu erwarten, keine Ransomware auf dem Exchange-Host.
• CVSS 8,1 vs. NIST 6,1. Automatisches Severity-Gating liefert inkonsistente Ergebnisse. Manuell übersteuern und als kritisch behandeln.
• Langweilige Lücken gewinnen immer noch. XSS in Webmail im Jahr 2026 ist keine Pointe. Es ist der Ziegelstein, der die Tür des Briefträgers aufhält, während die Burg dahinter stolz steht.