Microsoft Exchange Server: Zero-Day-Lücke wird mit manipulierten E-Mails ausgenutzt

CVE-2026-42897 zielt auf die Outlook-Web-Access-Oberfläche lokaler Exchange-Server-Installationen ab

Microsoft bestätigt die aktive Ausnutzung der Exchange-Server-Zero-Day-Lücke CVE-2026-42897 über manipulierte E-Mails, für lokale Installationen steht bislang kein dauerhafter Patch bereit.

Darryl Linington (übersetzt von Enrico Frahn), Veröffentlicht am 17.05.2026 🇺🇸 🇪🇸 ...

Microsoft hat die aktive Ausnutzung von CVE-2026-42897 bestätigt, einer Zero-Day-Lücke in lokalen Exchange-Server-Installationen, durch die Angreifer mit einer präparierten E-Mail beliebiges JavaScript im Browser eines Opfers ausführen können. Ein dauerhafter Patch existiert nicht. Microsoft hat am 14. Mai eine Notfallmaßnahme ausgerollt, CISA hat die Schwachstelle am folgenden Tag in den Known Exploited Vulnerabilities Catalog aufgenommen und verpflichtet Bundesbehörden zur Behebung bis zum 29. Mai. Exchange Online ist nicht betroffen.

Was CVE-2026-42897 bewirkt

CVE-2026-42897 ist eine Cross-Site-Scripting-Schwachstelle in der Outlook-Web-Access-Komponente von lokalen Microsoft-Exchange-Servern und hat eine CVSS-Bewertung von 8,1. Ein Angreifer sendet eine speziell präparierte E-Mail an ein Ziel. Öffnet der Empfänger diese unter bestimmten Interaktionsbedingungen in OWA, wird beliebiges JavaScript innerhalb der Browser-Sitzung ausgeführt.

Microsoft stuft die Schwachstelle als Spoofing-Problem ein, das auf eine fehlerhafte Neutralisierung von Eingaben bei der Erzeugung von Webseiten zurückgeht. Der Angriffsweg erfordert weder Authentifizierung noch Zugriff auf den Server. Er beginnt im Posteingang.

Wer betroffen ist

Die Schwachstelle betrifft lokale Installationen von Exchange Server 2016, Exchange Server 2019 und Exchange Server Subscription Edition auf jedem Update-Stand. Exchange Online ist nicht anfällig.

Lokale Exchange-Installationen stehen bei Behörden, Finanzinstituten und Unternehmen, die noch nicht in die Cloud gewechselt sind, im Zentrum der geschäftlichen E-Mail-Infrastruktur. Der Known Exploited Vulnerabilities Catalog von CISA listet bereits fast zwei Dutzend Exchange-Server-Schwachstellen auf, mehrere davon sind von Ransomware-Gruppen für Angriffe missbraucht worden. CVE-2026-42897 ist nur zwei Tage nach dem Patch Tuesday im Mai aufgetaucht, bei dem 120 Schwachstellen behoben worden sind, laut Release Notes aber keine Zero-Day-Lücken offengelegt worden sind.

Maßnahmen gegen die Schwachstelle

Microsoft hat über den Exchange Emergency Mitigation Service eine temporäre Korrektur mit der Bezeichnung M2.1.x bereitgestellt. EEMS wendet die Maßnahme automatisch per URL-Rewrite-Konfiguration auf Exchange-Mailbox-Servern an, auf denen der Dienst standardmäßig aktiviert ist. Administratoren können den Status mit dem Exchange Health Checker Script unter aka.ms/ExchangeHealthChecker prüfen.

In abgeschotteten oder getrennten Umgebungen, in denen EEMS keine Verbindung zu Microsofts Servern herstellen kann, müssen Administratoren das aktuelle Exchange On-premises Mitigation Tool manuell herunterladen und über eine Exchange Management Shell mit erhöhten Rechten ausführen. Der Befehl richtet sich entweder an einen einzelnen Server oder kann auf die gesamte Exchange-Flotte auf einmal angewendet werden.

Ein kosmetisches Problem ist dabei zu beachten. Einige Server zeigen im Beschreibungsfeld den Mitigationsstatus "Mitigation invalid for this exchange version" an. Microsoft bestätigt, dass die Korrektur in diesen Fällen korrekt angewendet worden ist, wenn in der Statusspalte "Applied" steht. Der angezeigte Text ist ein bekannter kosmetischer Fehler, der derzeit untersucht wird.

Nebenwirkungen der Maßnahme

Die Anwendung der Korrektur hat funktionale Folgen. Die OWA-Funktion zum Drucken des Kalenders funktioniert nach der Maßnahme nicht mehr. Eingebettete Bilder werden im Lesebereich der Empfänger innerhalb von Outlook Web Access nicht mehr korrekt angezeigt.

Auch OWA Light, die alte Oberfläche, die über eine URL mit der Endung /?layout=light aufgerufen wird, funktioniert nach Anwendung der Maßnahme nicht mehr. Microsoft hat die Oberfläche bereits vor Jahren abgekündigt und betrachtet sie nicht als produktionsreif. Organisationen, die sie weiterhin nutzen, müssen ihre Nutzer stattdessen über die standardmäßige OWA-URL leiten.

Noch kein dauerhafter Patch

Microsoft entwickelt eine dauerhafte Korrektur und hat noch keinen Veröffentlichungszeitplan bestätigt. Sobald sie verfügbar ist, erhält Exchange Server Subscription Edition sie über den regulären Update-Kanal. Exchange Server 2016 und 2019 erhalten den dauerhaften Patch nur über Microsofts Period-2-Programm für Extended Security Updates.

Organisationen, die eine der älteren Versionen ohne ESU-Registrierung betreiben, bleiben exponiert, bis sie die Notfallmaßnahme manuell anwenden. CISA hat CVE-2026-42897 am 15. Mai in den Known Exploited Vulnerabilities Catalog aufgenommen und verpflichtet Federal Civilian Executive Branch Agencies zur Behebung bis zum 29. Mai. Microsoft hat die Akteure hinter den aktiven Angriffen nicht identifiziert und auch nicht offengelegt, welche Organisationen von den Angreifern ins Visier genommen worden sind.

Der Zeitpunkt von CVE-2026-42897 steht am anderen Ende des Schwachstellen-Lebenszyklus als eine proaktive Entdeckung. Microsofts KI-Modell MDASH hat vor Kurzem 16 kritische Windows-Schwachstellen identifiziert, bevor Angreifer sie erreichen konnten, ein Erkennungsansatz, den CVE-2026-42897 vollständig umgangen hat.

Quelle(n)

Microsoft Tech Community

The Hacker News

⟨

Ältere News

Lenovo veröffentlicht neues 14-Zoll-ThinkPad mit 64 GB RAM und integriertem Stift

Als bevorzugte Quelle auf Google hinzufügen

Keine Kommentare zum Artikel

Fragen, Anregungen, zusätzliche Informationen zu diesem Artikel? - Uns interessiert Deine Meinung (auch ohne Anmeldung möglich)!

Keine Kommentare zum Artikel / Antworten

Loading Comments

Diesen Artikel kommentieren / Antworten

Verwandte Artikel

Autor des Originals: Darryl Linington - Tech Writer - 273 Artikel auf Notebookcheck veröffentlicht seit 2025

I’m a tech editor and journalist with more than 20 years of experience covering smartphones, AI, gaming hardware, and emerging technology. I’m passionate about making complex topics clear, engaging, and relevant—especially when they shape how we live, work, and play. I’m also an author with a love for psychological thrillers, horror, and honest, emotionally driven storytelling. My books include Drowning, 3:33 a.m., The Midnight Murderer, Keystrokes of Vengeance, and Life’s Too Short For This Sh!t!. Whether I’m writing about technology or fiction, my goal is always to connect with readers, spark thought, and leave a lasting impression. Inspired by my daughters and shaped by years of media experience, I bring curiosity and purpose to everything I write.

Kontakt: @DarrylLinington, Facebook, DarrylLinington, LinkedIn

Übersetzer: Enrico Frahn - Senior Tech Writer - 7596 Artikel auf Notebookcheck veröffentlicht seit 2021

Der Technik-Virus hat mich schon in jungen Jahren befallen, als ich zu Pentium II Zeiten meine ersten Schritte im PC-Bereich wagte. Seither gehören für mich das Modden, Übertakten und die akribische Pflege meiner Hardware einfach dazu. Während meiner Studienzeit entwickelte ich zudem ein spezielles Interesse an mobilen Technologien, die den stressigen Studienalltag erheblich erleichtern können. Nachdem ich bei einer Tätigkeit im Marketing meine Liebe für das Kreieren von Webinhalten gefunden habe, begebe ich mich nun als Redakteur bei Notebookcheck auf die Suche nach den spannendsten Themen aus der faszinierenden Welt der Technik. Außerhalb des Büros hege ich eine besondere Leidenschaft für den Motorsport und das Mountainbiking.

Kontakt: LinkedIn

> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2026-05 > Microsoft Exchange Server: Zero-Day-Lücke wird mit manipulierten E-Mails ausgenutzt

Autor: Darryl Linington, 17.05.2026 (Update: 17.05.2026)