Microsoft Exchange: Zero-Day-Lücke wird angegriffen

Microsoft warnt vor einer Zero-Day-Sicherheitslücke in Exchange, die bereits in freier Wildbahn attackiert wird. Aktualisierte Software ist noch nicht verfügbar. Microsoft bietet jedoch Gegenmaßnahmen an, die Admins so schnell wie möglich umsetzen sollten.

In der Schwachstellenbeschreibung erklärt Microsoft, dass es sich um unzureichende Filterung von Eingaben bei der Generierung von Webseiten handelt, eine Cross-Site-Scripting-Lücke. Dadurch können nicht authentifizierte Angreifer aus dem Netz Spoofing-Angriffe ausführen (CVE-2026-42897, CVSS 8.1, Risiko „hoch“). Den Schweregrad stuft Microsoft jedoch als „kritisch“ ein. Ein Blog-Beitrag von Microsofts Exchange-Team erklärt das sowie die Gegenmaßnahmen etwas ausführlicher.

Angriffsszenario

Die Schwachstelle betrifft im Speziellen offenbar Outlook Web Access (OWA). Microsoft führt aus, dass Angreifer manipulierte E-Mails an Opfer senden können. Wenn Nutzerinnen oder Nutzer die E-Mail in OWA öffnen und bestimmte, nicht näher erläuterte Interaktionsbedingungen erfüllt sind, wird dann beliebiges JavaScript im Browser ausgeführt.

Betroffen sind Exchange Server 2016, 2019 sowie Exchange Server Subscription Edition (SE) jeweils in jedwedem Update-Level. Microsoft stellt jedoch keine Software-Updates zur Verfügung. Jedoch steht ein automatischer Fix über den Exchange Emergency Mitigation (EM) Service zur Verfügung. Wo der Dienst aktiv ist, hat Microsoft die Gegenmaßnahmen bereits angewendet. Der Dienst wird seit September 2021 verteilt und standardmäßig aktiviert. Im Blog-Beitrag zeigt Microsoft zudem eine manuelle Variante.

Die Gegenmaßnahmen zum Eindämmen der Schwachstelle CVE-2026-42897 haben einige Nebenwirkungen, die Admins kennen sollten. Das Drucken von Kalendern in OWA könnte nicht mehr funktionieren. Inline-Bilder werden im Empfänger-Panel nicht mehr korrekt angezeigt. OWA Light könnte nicht mehr ordnungsgemäß funktionieren – das ist jedoch ohnehin Alteisen und „Deprecated“. Die Gegenmaßnahme zeigt zudem in den Mitigation-Details, dass sie für die vorliegende Exchange-Version ungültig sei – rein kosmetisch, versichern die Redmonder. Sofern „Applied“ als Status angezeigt wird, ist sie wirksam angewendet worden.

Das Exchange-Team arbeitet derweil an einem permanenten, ordentlichen Fix. Der soll künftig als Update für Exchange SE RTM, Exchange 2016 CU23 sowie Exchange Server 2019 CU14 und CU15 erscheinen. Wer Exchange 2016 oder 2019 einsetzt, muss dafür jedoch die zweite Stufe der erweiterten Sicherheitsupdates (ESU) abonniert haben. Weitere Details zum Emergency-Mitigation-Service liefert Microsoft auf einer eigenen Webseite.

(dmk)