Microsoft bestätigt aktiven Zero-Day-Exploit – Notfallmaßnahmen prüfen

Sonntag, 17.05.2026

In Sachen Sicherheitslücken waren es für Microsoft Exchange einige schwierige Tage. Ein Zero-Day-Exploit, der auf der Hacker-Veranstaltung "Pwn2Own Berlin" gezeigt wurde, wurde verantwortungsbewusst gemeldet und nicht öffentlich gemacht. Laut der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) ist ein weiterer Exchange-Zero-Day, der von Microsoft am 14. Mai bestätigt wurde, definitiv bereits im Umlauf und wird aktiv ausgenutzt. Die CISA hat die Schwachstelle CVE-2026-42897 am 15. Mai in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen und alle Organisationen dazu aufgefordert, der zeitnahen Behebung Priorität einzuräumen, da der Angriffsvektor ein erhebliches Risiko darstellt. Hier ist, was Sie wissen müssen.

Der Microsoft Exchange Zero-Day CVE-2026-42897 erklärt

Microsoft hat CVE-2026-42897 am 14. Mai veröffentlicht und den Zero-Day als eine Spoofing-Sicherheitslücke in Microsoft Exchange Server beschrieben. Technisch gesehen tritt die Schwachstelle auf, wenn eine unsachgemäße Neutralisierung von Eingaben während der Webseitenerstellung - oder, wenn Sie so wollen, ein Cross-Site-Scripting-Angriff - es einem Angreifer ermöglicht, Spoofing über das Netzwerk durchzuführen. Um dies auszunutzen, genügt es, eine böswillig gestaltete E-Mail zu versenden, die, wenn sie in Outlook Web Access geöffnet wird, beliebiges JavaScript im Kontext des Browsers ausführen kann.

"Die Offenlegung von CVE-2026-42897 ist eine Erinnerung daran, dass der lokale Exchange-Server nach wie vor das am stärksten ins Visier genommene Element im Unternehmensstack ist", sagte Damon Small, Director bei Xcape, Inc., und fügte hinzu: "Dieser Zero-Day ermöglicht die nicht authentifizierte Remote-Code-Ausführung und gewährt Angreifern damit praktisch einen direkten Weg ins Herz der Unternehmensidentität und -kommunikation."

Exchange Online ist von der Zero-Day-Schwachstelle nicht betroffen, die folgenden lokalen Exchange Server-Versionen hingegen schon:

• Exchange Server 2016 (alle Update-Stände)
• Exchange Server 2019 (alle Update-Stände)
• Exchange Server Subscription Edition (SE) (alle Update-Stände)

Microsoft empfiehlt eine Abhilfe über den Exchange Emergency Mitigation Service, da der Patch bereits über diesen veröffentlicht wurde. "Die Nutzung des EM-Dienstes ist für Ihr Unternehmen der beste Weg, diese Sicherheitslücke sofort zu schließen", so Microsoft; "Wenn Sie den EM-Dienst derzeit deaktiviert haben, empfehlen wir Ihnen, ihn sofort zu aktivieren."

Um den Status des Exchange Emergency Mitigation Service zu überprüfen, sollten Unternehmen das von Microsoft bereitgestellte Exchange Health Checker-Skript ausführen. "Der HTML-Bericht enthält einen Abschnitt zu den EEMS-Prüfergebnissen", bestätigte Microsoft. Dadurch wird auch überprüft, ob Ihre "Server die Abhilfemaßnahme für CVE-2026-42897 angewendet haben", so Microsoft, wobei darauf hingewiesen wird, dass M2.1.x die relevante Abhilfemaßnahmen-ID ist, nach der gesucht werden muss.

"Da ein offizieller Patch noch aussteht", warnte Small, "sind Unternehmen gezwungen, sich auf reine Abhilfemaßnahmen zu beschränken und sich auf den Emergency Mitigation Service zu verlassen, um im Grunde genommen ein virtuelles Pflaster auf eine kritische Wunde zu kleben." Die Priorität muss daher die sofortige Überprüfung sein, ob der EM-Dienst tatsächlich funktionsfähig ist und die erforderlichen URI-Blockierungen anwendet, da "ein einziger falsch konfigurierter Server als Brückenkopf für eine vollständige Kompromittierung der Domäne dienen kann". Small merkte außerdem an, dass dieser Vorfall der Auslöser sein sollte, um den Umstieg von Exchange Server auf Microsoft Exchange Online in Unternehmen zu beschleunigen oder "zumindest diese Server hinter einem Zero-Trust-Gateway zu isolieren".

"Exchange bleibt einer der gefährlichsten Bereiche für die Installation von Remote-Code-Execution-Schwachstellen", sagte Jacob Krell, Senior Director für sichere KI-Lösungen und Cybersicherheit bei Suzu Labs, da es "nahe an der Identitätsverwaltung und innerhalb der Kommunikationsschicht liegt, auf die sich die meisten Unternehmen täglich verlassen." Krell warnte zudem, dass "Angreifer die Richtlinien zur Schadensbegrenzung genauso studieren wie die Verteidiger", was bedeutet, dass solche Schwachstellen "viel schneller in funktionierende Exploits umgewandelt werden können, als die meisten Unternehmen die Gefährdung überprüfen können".

Die Botschaft ist klar, zumal nun sowohl von der CISA als auch von Microsoft selbst bestätigt wurde, dass bereits Angriffe im Gange sind: Die Überprüfung, ob der Exchange Emergency Mitigation Service aktiviert und die entsprechende Mitigation-ID für CVE-2026-42897 angewendet wurde, ist keine Option; es ist eine entscheidende Bestätigung, dass Ihr lokaler Microsoft Exchange Server nicht dem Risiko einer Ausnutzung ausgesetzt ist.