Zero-Day-Lücke in Microsoft Exchange wird angegriffen

Laut Microsoft liegt hier eine unzureichende Filterung von Eingaben bei der Generierung von Webseiten vor. Dadurch können Angreifer Netz-Spoofing-Angriffe aus dem Netz ausführen (CVE-2026-42897, CVSS 8.1, Risiko „hoch”). Microsoft stuft dies als „kritisch“ ein.

Betroffen ist speziell der Outlook Web Access (OWA). Angreifer können manipulierte E-Mails an Opfer senden. Wenn Nutzer mit dieser E-Mail in OWA interagieren und die Interaktionsbedingungen erfüllt sind, wird ein beliebiges JavaScript im Browser ausgeführt.

Betroffen sind die Exchange Server 2016, 2019 und die Subscription Edition (SE). Microsoft hat noch keine Updates bereitgestellt. Es steht jedoch ein automatischer Fix über den „Exchange Emergency Mitigation Service” zur Verfügung. Bei den bereits aktiven Diensten hat Microsoft bereits Gegenmaßnahmen angewendet; dieser wird seit September 2021 standardmäßig aktiviert.

Die Folgen zur Eindämmung der Schwachstelle CVE-2026-42897 sind, dass das Drucken von Kalendern in OWA nicht funktioniert, Inline Bilder im Empfänger Panel nicht mehr richtig angezeigt werden und OWA Light möglicherweise nicht mehr ordnungsgemäß funktioniert. In den Mitigation Details wird die Gegenmaßnahme außerdem als „ungültig“ für die verwendete Exchange Version angezeigt. Laut Microsoft handelt es sich dabei jedoch lediglich um ein kosmetisches Problem. Wird der Status „Applied” angezeigt, wurde die Maßnahme erfolgreich und wirksam umgesetzt.

Das Exchange Team arbeitet an ordentlichen Fixes, die zukünftig als Update für Exchange SE RTM, Exchange 2016 CU23 sowie Exchange Server 2019 CU14 und CU15 erscheinen sollen. Nutzer von Exchange 2016 oder 2019 müssen jedoch die zweite Stufe des erweiterten Sicherheitsupdates abonniert haben.