Kritische Exchange Sicherheitslücke CVE 2026 42897: Jetzt Exchange Server absichern
Microsoft hat eine kritische Sicherheitslücke in Exchange Server veröffentlicht: CVE-2026-42897 betrifft Exchange Server SE, 2019 und 2016 – besonders in Kombination mit Outlook on the Web (OWA). Ein finaler Patch existiert noch nicht. Microsoft empfiehlt die sofortige Aktivierung der Mitigation M2.1.0.
Was passiert ist
Die Schwachstelle ermöglicht es Angreifern, über speziell präparierte E-Mails Schadcode direkt im Browser eines OWA-Nutzers auszuführen. Der Angriff kann bereits beim Öffnen einer Nachricht ausgelöst werden – ohne weitere Nutzerinteraktion, ohne sichtbares Warnsignal.
Besonders heikel: Exchange-Server mit öffentlich erreichbarem OWA stehen regelmäßig im Fokus automatisierter Angriffe. CVE-2026-42897 liefert genau dort einen direkten Einstiegspunkt – für Ransomware, Datendiebstahl, Identitätsmissbrauch oder laterale Bewegungen im Netzwerk.
Da Microsoft noch kein endgültiges Sicherheitsupdate bereitstellt, hat das Unternehmen kurzfristig die Mitigation M2.1.0 veröffentlicht.
Was die Mitigation konkret tut
M2.1.0 fügt eine zusätzliche Sicherheitsregel in IIS bzw. OWA ein, die schädliche Anfragen blockiert, bevor sie im Browser ausgeführt werden können. Es ist keine dauerhafte Lösung – aber eine wirksame Überbrückung, bis Microsoft einen offiziellen Fix liefert.
Microsoft weist darauf hin, dass die Mitigation zu eingeschränkter Funktionalität in OWA führen kann: Inline-Bilder werden teilweise nicht korrekt dargestellt, OWA Light funktioniert nur eingeschränkt, einzelne OWA-Funktionen können beeinträchtigt sein. Diese Einschränkungen sind in nahezu allen Szenarien deutlich weniger kritisch als ein erfolgreicher Angriff auf den Exchange-Server.
Wer betroffen ist
Betroffen sind alle Umgebungen mit:
- Exchange Server Subscription Edition (SE)
- Exchange Server 2019
- Exchange Server 2016
Besonderer Handlungsbedarf besteht überall dort, wo OWA extern erreichbar ist.
Was jetzt zu tun ist
Schritt 1 – Betroffenheit prüfen
Welche Exchange-Version ist im Einsatz? Ist OWA öffentlich erreichbar? Ist der Exchange Emergency Mitigation Service (EEMS) aktiviert, und wurde M2.1.0 bereits automatisch eingespielt?
Schritt 2 – Mitigation aktivieren
Läuft EEMS mit Verbindung zum Microsoft Office Config Service, sollte die Mitigation automatisch eingespielt worden sein – das lässt sich im Exchange Admin Center oder per PowerShell prüfen. Besteht keine Verbindung zum Config Service, muss M2.1.0 manuell über das Exchange On-premises Mitigation Tool (EOMT) eingespielt werden.
Schritt 3 – Exchange-Umgebung härten
Die Schwachstelle ist ein guter Anlass, den allgemeinen Sicherheitszustand der Exchange-Umgebung zu überprüfen: Patch-Stand, Monitoring, Exposition nach außen. Wer das noch nicht regelmäßig tut, sollte damit jetzt anfangen.
Unterstützung durch enthus
enthus unterstützt Unternehmen kurzfristig bei der Bewertung der eigenen Exchange-Sicherheitslage, der Prüfung der Betroffenheit, der Aktivierung und Kontrolle der Mitigation sowie der Härtung bestehender Exchange-Umgebungen. Wo sinnvoll, begleiten wir auch die Planung einer langfristigen Exchange- oder Microsoft 365-Strategie.
Sprechen Sie uns an – wir schauen gemeinsam, ob Ihre Systeme geschützt sind. Jetzt Kontakt aufnehmen → hallo@enthus.de
Schreiben Sie uns
Sie haben Fragen zu diesem Blog-Beitrag oder benötigen einen Expertenrat zu einem anderen Thema,
dann schreiben Sie uns gerne und wir melden uns bei Ihnen zurück.