Exchange-Zero-Day CVE-2026-42897: OWA-Spoofing zwingt DACH-CISOs zum Sofort-Patch
7 Min. Lesezeit
CVE-2026-42897 trifft Microsoft Exchange Server an der empfindlichsten Stelle: Outlook Web Access. Eine präparierte Mail reicht aus, um im Browser-Kontext des Opfers JavaScript auszuführen – ohne Klick auf einen Anhang, ohne Makro-Bestätigung. Das macht den Zero-Day für jeden Mittelständler relevant, der Exchange noch on-prem fährt – und das sind in DACH deutlich mehr als die Cloud-Migrations-Statistiken vermuten lassen.
Das Wichtigste in Kürze
- CVE-2026-42897 (CVSS 8.1). Spoofing- und XSS-Schwachstelle in Exchange Server OWA, von Microsoft am 14.05.2026 disclosed – aktiv ausgenutzt laut MSRC und CISA.
- Betroffen sind. Exchange Server Subscription Edition, Exchange Server 2016, Exchange Server 2019. Wer eine dieser Versionen ohne aktuellen Patch fährt, ist exponiert.
- Angriffsvektor. präparierte Mail an OWA-Postfach – bei bestimmten Interaktionsbedingungen wird JavaScript im Browser-Kontext ausgeführt. Kein Anhang-Klick nötig.
- CISA-KEV seit 15.05.2026. Federal-Deadline für US-Behörden ist der 29.05.2026 – für DACH-CISOs ein 14-Tage-Indikator, an dem sich Patch-Cycles orientieren sollten.
- Sofort-Maßnahmen. Exchange Emergency Mitigation Service (EM Service) prüfen – Auto-Mitigation läuft auf unterstützten Systemen automatisch. Wo nicht, EOMT-Tool (Exchange On-Premises Mitigation Tool) manuell starten. SOC auf OWA-Sessions und neue Auto-Forwarding-Regeln einstellen. Ein klassisches Cumulative Update bereitet Microsoft noch vor.
Verwandt:DORA und NIS2: Warum Banken-Audits jetzt kollidieren / Adaptive MFA: die Werkseinstellung reicht nicht
Was ist CVE-2026-42897? CVE-2026-42897 ist eine kombinierte Spoofing- und Cross-Site-Scripting-Schwachstelle in Microsoft Exchange Server. Über eine präparierte Mail im Outlook Web Access (OWA) lässt sich JavaScript im Browser-Kontext des Opfers ausführen, ohne Anhang-Klick. Microsoft bestätigt aktive Ausnutzung, CISA-KEV-Listing liegt vor. Betroffen sind Exchange Server Subscription Edition, 2016 und 2019.
Warum dieser Zero-Day für den DACH-Mittelstand kritisch ist
Exchange on-prem ist in DACH-Mittelständischen Umgebungen längst nicht abgeschafft – viele Häuser betreiben gemischte Setups, in denen die Outlook-Web-Komponente als Fallback für Außendienst oder Home-Office offen im Netz hängt. Genau diese Konstellation ist das Angriffsziel: ein OWA-Endpunkt, der über HTTPS erreichbar ist, eine Phishing-Mail mit präparierten Inhalten und die Auslösung erfolgt im Browser des Opfers – mit allen Rechten, die die OWA-Session hat. In der Praxis heißt das: Zugriff auf den Posteingang, das Adressbuch und in vielen Konfigurationen auch auf die Kalenderfreigaben und Outlook-Regeln.
Die Microsoft-Advisory-Texte sind in solchen Fällen bewusst neutral formuliert. „Spoofing“ klingt in der Übersetzung nach Fälschung – in Verbindung mit „XSS in OWA“ ist es de facto Code-Ausführung im Browser eines vertrauenswürdigen Mail-Frontends. Wer den Begriff „Spoofing“ als harmlos abtut, unterschätzt das Schadenspotenzial. Genau das ist der Punkt, an dem aus einer CVE-Nummer ein echtes Incident-Risiko wird.
Der typische Angriffsablauf im Sechs-Schritte-Modell
Schritt 1 – OWA-Discovery: Der Angreifer scannt nach OWA-Endpunkten – typischerweise unter mail.unternehmen.de/owa oder Subdomain-Varianten. Diese sind über Shodan-ähnliche Dienste meist schnell auffindbar.
Schritt 2 – Versionsabgleich: Aus den HTTP-Response-Headern oder OWA-Login-Page-Markern lässt sich die Exchange-Version oft auf das Cumulative-Update genau ableiten. Nicht-gepatchte Versionen werden in eine Ziel-Liste übernommen.
Schritt 3 – Phishing-Mail mit Trigger-Payload: Eine Mail wird so aufgebaut, dass beim Öffnen in OWA bestimmte HTML-Elemente vom Renderer falsch geparst werden. Das löst die XSS-Bedingung aus.
Schritt 4 – JavaScript-Execution im OWA-Context: Der ausgeführte Code läuft mit der Session des Opfers. Er kann lesen, was OWA lesen darf – inklusive Mail-Drafts, Anhängen und Auto-Forwarding-Regeln.
Schritt 5 – Persistenz über Outlook-Regeln: Über die kompromittierte Session lassen sich Auto-Forwarding-Regeln setzen, die eingehende Mails an externe Adressen kopieren. Diese Regeln überleben Session-Endes und sind in vielen Standard-Audits unsichtbar.
Schritt 6 – Lateral Movement: Aus dem Postfach werden Adressbuch-Einträge geerntet, gezielte Folge-Mails an Vorstandsebene oder Finance-Funktionen vorbereitet. Das ist der Übergang vom Initial Access zur Business-Email-Compromise-Phase.
Was bis Montag operativ stehen muss
Sofort – Inventur und Mitigation aktivieren: alle Exchange-Server-Instanzen identifizieren, Cumulative-Update-Stand prüfen und den Status des Exchange Emergency Mitigation Service kontrollieren. Auf unterstützten Systemen aktiviert Microsoft die Mitigation automatisch, ein permanenter Patch ist noch in Vorbereitung. Wo der EM Service nicht greift, das Exchange On-Premises Mitigation Tool (EOMT) manuell ausrollen. Bei verteilten Setups (Mailbox-, Edge- und Hub-Transport-Rollen) jede Rolle einzeln behandeln und Service-Neustart einplanen.
Kurzfristig – OWA-Exposure prüfen: Welche OWA-Endpunkte sind aus dem Internet erreichbar? Lassen sich nicht-erforderliche Endpunkte hinter VPN oder Zero-Trust-Gateway verbergen? Conditional Access Policies prüfen, falls Hybrid-Setup mit Entra ID besteht.
Detection – SOC-Sweep der letzten 30 Tage: Mail-Server-Logs auf ungewöhnliche OWA-Sessions und Auto-Forwarding-Regel-Änderungen prüfen. Microsoft hat zu diesem Zeitpunkt noch keine Packet-Level- oder forensischen IOCs veröffentlicht, eigene SOC-Detection muss auf abweichendes OWA-Session-Verhalten, neue Inbox-Rules mit Auto-Forwarding und ungewöhnliche User-Agent-Pattern aufgebaut werden.
Hardening danach: Content-Security-Policy-Header für OWA verschärfen, JavaScript-Execution für nicht-vertrauenswürdige Mail-Inhalte limitieren, Mail-Filter-Regeln für die in den IOCs beschriebenen Trigger-Patterns anpassen.
„Spoofing in OWA ist die freundliche Microsoft-Übersetzung für ‚JavaScript läuft in eurem Mail-Frontend‘. Wer das in einer Patch-Priorisierung als mittel einstuft, hat das CVE-Tag nicht gelesen – oder die Konsequenzen nicht.“
BSI-Empfehlungen und DACH-Update-Disziplin
Das BSI hat in der Vergangenheit bei vergleichbaren Exchange-Vulnerabilities (etwa der ProxyLogon-Welle 2021) klare Sofort-Empfehlungen ausgesprochen – und gleichzeitig dokumentiert, wie schwer es vielen DACH-Mittelständlern fällt, einen Patch-Zyklus für Exchange in unter 14 Tagen zu schließen. Die Hauptgründe haben sich nicht geändert: gemischte Cumulative-Update-Stände, Skript-Inkompatibilitäten mit Drittanbieter-Tools, Wartungsfenster-Verfügbarkeit am Wochenende.
Für CVE-2026-42897 ist die Erwartungshaltung klar: Within 48 Hours patchen oder einen kompensierenden Workaround vorhalten. Wer das nicht schafft, sollte zumindest die OWA-Komponente aus dem Internet nehmen, bis der Patch sauber durchläuft. Das ist operativ unpopulär – aber spürbar weniger schlimm als ein Incident-Bericht in der Vorstandssitzung.
Häufige Fragen
Reicht ein Cumulative Update aus, um die Lücke zu schließen?
Aktuell nein. Microsoft hat zum Zeitpunkt der Disclosure am 14.05.2026 keinen klassischen Sicherheits-Patch ausgerollt, sondern eine Auto-Mitigation über den Exchange Emergency Mitigation Service. Diese läuft auf unterstützten On-Prem-Systemen automatisch, der permanente Patch ist in Vorbereitung. Erste Priorität ist daher der Mitigation-Status, nicht das Cumulative-Update-Level.
Was tun, wenn das Mitigation-Fenster nicht in 48 Stunden machbar ist?
Die CISA-KEV-Deadline für US-Bundesbehörden ist der 29.05.2026 – ein realistischer Anker für DACH-CISOs. Wenn die Mitigation nicht innerhalb von 48 Stunden steht: OWA-Endpunkt vorübergehend aus dem Internet nehmen (Webserver-Konfiguration oder Firewall-Regel) und Mail-Zugriff über Outlook-Desktop oder Mobile-App lenken. Zusätzlich Mail-Filter auf abweichende OWA-Session-Muster und neu angelegte Inbox-Rules scharf stellen.
Sind Exchange Online und Microsoft 365 betroffen?
Nach aktuellem Stand der Microsoft-Advisory betrifft CVE-2026-42897 die on-prem-Versionen Exchange Server Subscription Edition, 2016 und 2019. Microsoft 365 wird vom Cloud-Anbieter zentral gepatcht – dort besteht aus Anwendersicht kein Handlungsbedarf, abgesehen von der allgemeinen Wachsamkeit gegenüber Phishing-Wellen.
Wie zeigt sich ein erfolgreicher Angriff im SOC?
Typische Indikatoren: ungewöhnliche OWA-Session aus geographisch auffälliger IP-Range, neu angelegte Outlook-Regeln mit Auto-Forwarding auf externe Adressen, ungewöhnliche Anhangsdownloads in OWA-Sessions, Mail-Drafts mit untypischen Empfängern. Microsoft hat im Advisory konkrete IOC-Signaturen veröffentlicht – in SIEM-Regeln einbauen.
Welche offiziellen Referenzen sind maßgeblich?
Primärquellen sind die Microsoft Security Response Center-Advisory zu CVE-2026-42897 und der entsprechende CISA-KEV-Eintrag. Das BSI verweist in seinen Lagebild-Updates üblicherweise auf solche Microsoft-Advisories, KRITIS-Betreiber sollten zusätzlich den eigenen UP-KRITIS-Verteiler und die einschlägigen CERT-Bund-Warnungen im Auge behalten.
Mehr aus dem MBF Media Netzwerk
- cloudmagazin: Platform Engineering für Compliance: IDPs erzwingen NIS2 und DORA
- MyBusinessFuture: Krisenplan statt Krisen-PR: vier Entscheidungen für KMU
- Digital Chiefs: Tech-Mandate im Aufsichtsrat: NIS2, EU AI Act und der Skill-Gap
Quelle Titelbild: Pexels / Sergei Starostin (px:6466141)
