Microsoft warnt: Exchange-Lücke wird aktiv ausgenutzt, Patch fehlt

Eine kritische Sicherheitslücke bedroht aktuell zahlreiche lokale Exchange Server. Angreifer können über präparierte E-Mails schadhaften Code ausführen. Ein finaler Patch fehlt noch, was IT-Verantwortliche vor schwierige Entscheidungen stellt.
Microsoft, Cloud, E-Mail, Office 365, microsoft 365, Cloud Computing, Exchange, Exchange online, Exchange Server, Microsoft 365 Business, Microsoft Exchange, Microsoft Cloud, Microsoft 365 für Unternehmen, Mailserver, Cloud Hosting, Exchange Logo, Microsoft Exchange Online, Microsoft Exchange Online Logo, E-Mail Server

Kritische Lücke in Exchange Server

Seit Kurzem ist die Schwachstelle CVE-2026-42897 in lokalen Installationen von Microsoft Exchange Server bekannt. Betroffen sind die Versionen 2016, 2019 sowie die Subscription Edition. Öffnen Nutzer eine speziell präparierte E-Mail über Outlook Web Access (OWA), können Angreifer JavaScript-Code im Browser-Kontext ausführen. Exchange Online ist nicht betroffen.

OWA dient in vielen Unternehmen als zentrale browserbasierte E-Mail-Schnittstelle. Trotz zunehmender Nutzung cloudbasierter Dienste bleibt der lokal betriebene Exchange Server in vielen IT-Infrastrukturen im Einsatz. Ein vollständiges Sicherheitsupdate steht derzeit noch aus, Administratoren müssen kurzfristig reagieren.


Das Risiko durch präparierte E-Mails gilt als hoch. Entsprechend besteht Handlungsdruck, um unbefugten Zugriff auf Unternehmensdaten zu verhindern und Systeme zu schützen.

Temporäre Lösungen mit Nachteilen

Wie Microsoft in einem Blogbeitrag mitteilt, greift zunächst eine automatische Schutzmaßnahme. Der Exchange Emergency Mitigation Service aktiviert die Entschärfung auf aktiven Servern standardmäßig. Für isolierte Systeme steht ein Skript bereit.

Die Maßnahmen führen jedoch zu Einschränkungen im Betrieb. So funktioniert die Druckfunktion für Kalender in OWA nicht mehr zuverlässig, eingebettete Bilder werden fehlerhaft angezeigt, und die reduzierte Ansicht OWA Light steht nicht mehr zur Verfügung.

Nicht jeder erhält das finale Update

Ein dauerhaftes Sicherheitsupdate ist in Arbeit, wird jedoch nicht für alle Systeme bereitgestellt. Nutzer der Subscription Edition sollen den Patch regulär erhalten. Für ältere Versionen gelten hingegen eingeschränkte Support-Regeln.

Kunden mit Exchange Server 2016 und 2019 erhalten das Update nur im Rahmen der kostenpflichtigen zweiten Phase des Extended Security Update Programms. Da die erste Phase im April 2026 endete, bleibt ein Teil der Systeme vorerst ohne dauerhaften Schutz.

Unternehmen müssen damit zwischen den temporären, fehleranfälligen Schutzmaßnahmen, zusätzlichen Kosten oder einer Migration auf neuere Systeme beziehungsweise Exchange Online abwägen.

Wie geht ihr in eurem Unternehmen mit der aktuellen Schwachstelle um? Nehmt ihr die Einschränkungen in Kauf oder plant ihr einen Wechsel? Teilt eure Meinung in den Kommentaren!

Zusammenfassung
  • CVE-2026-42897: Schwachstelle betrifft Exchange Server 2016 und 2019
  • Kritische XSS-Lücke ermöglicht JavaScript-Ausführung in Outlook Web Access
  • Speziell präparierte E-Mails lösen den Angriff über OWA aus
  • Exchange Online ist von der Sicherheitslücke nicht betroffen
  • Emergency Mitigation Service wendet Schutzmaßnahmen automatisch an
  • Temporäre Lösung deaktiviert Kalenderdruckfunktion in OWA
  • OWA Light Ansicht wird durch Schutzmaßnahmen komplett deaktiviert
  • Dauerhafte Patches nur für Subscription Edition oder kostenpflichtiges ESU-Programm

Siehe auch:
Thema:
Windows Server
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Neueste Downloads
Mehr Downloads
Beliebt im Preisvergleich
Windows & Sonstige Preisvergleich
Neue Nachrichten
Themenübersicht
Beliebte Nachrichten
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!