CVE-2026-42897: Exchange-Server-Zero-Day (XSS) ermöglicht OWA-Übernahme
Kurzfazit
Microsoft warnt vor aktiver Ausnutzung einer Cross-Site-Scripting-Lücke in Exchange Server, mit der Angreifer Outlook-Web-Access-Postfächer kompromittieren können. Microsoft hat Mitigationen und inzwischen einen Patch bereitgestellt (KEV).
Was ist passiert?
Microsoft warnt vor der aktiven Ausnutzung von CVE-2026-42897, einer Cross-Site-Scripting-Schwachstelle in Exchange Server. Über die Lücke in Outlook on the Web (OWA) können Angreifer Postfächer kompromittieren und Spoofing über das Netzwerk durchführen. Microsoft stellte zunächst Mitigationen bereit und hat die Schwachstelle inzwischen gepatcht; CISA führt sie im KEV-Katalog.
Warum ist das relevant?
- On-Prem-Exchange ist ein hochwertiges Ziel (E-Mail, Identitäten, Kalender)
- OWA ist typischerweise internet-exponiert
- XSS in OWA ermöglicht Postfach-Übernahme und Phishing aus vertrauenswürdiger Quelle
- Bereits als Zero-Day ausgenutzt, bevor ein Patch verfügbar war
Priorisierungssignale
| Signal | Wert |
|---|---|
| CVSS | 8.1 (High) |
| KEV-Status | aktiv ausgenutzt (Zero-Day) |
| Komponente | Outlook on the Web (OWA) |
| Quellen | 6 Meldungen im Signal-Cluster |
| Exposition | meist internet-erreichbar |
Empfehlung
Aktuelle Exchange-Sicherheitsupdates einspielen und OWA-Zugriffe auf Anomalien überwachen; reine On-Prem-Exchange-Exposition grundsätzlich hinterfragen.
Was Security-Teams jetzt prüfen sollten
- 1Exchange-Server-Versionsstand prüfen und das aktuelle Sicherheitsupdate für CVE-2026-42897 einspielen
- 2Bis zum Patch: von Microsoft empfohlene Mitigationen aktivieren
- 3OWA-Zugriffe und Postfachregeln auf anomale Weiterleitungen/Sessions überwachen
- 4Internet-Exposition von OWA reduzieren (Pre-Auth via Reverse Proxy / Conditional Access)
- 5Verdächtige Postfächer auf bösartige Regeln und Token-Diebstahl untersuchen
Betroffene Technologien
Relevante CVEs