AlertGegenmaßnahmen möglichMicrosoft Exchange: Zero-Day-Lücke wird angegriffenIn Microsofts Exchange klafft eine Zero-Day-Lücke, die Angreifer bereits missbrauchen. Admins sollten 15.05.2026

Microsoft hat eine kritische Zero-Day-Sicherheitslücke in seinen Exchange Servern aufgedeckt, die bereits von Angreifern aktiv ausgenutzt wird. Diese Schwachstelle, eine Cross-Site-Scripting-Lücke mit der Kennung CVE-2026-42897 und einem CVSS-Score von 8.1, betrifft speziell Outlook Web Access (OWA) und ermöglicht nicht authentifizierten Angreifern das Ausführen von beliebigem JavaScript im Browser des Opfers, typischerweise durch manipulierte E-Mails. Betroffen sind Exchange Server 2016, 2019 und die Subscription Edition (SE) unabhängig vom Update-Level. Microsoft bietet zwar keine sofortigen Software-Updates, stellt aber automatische Gegenmaßnahmen über den Exchange Emergency Mitigation (EM) Service bereit, der seit September 2021 verteilt wird und standardmäßig aktiviert ist. Diese temporären Abhilfen können jedoch Nebenwirkungen haben, wie eingeschränkte Kalenderdruckfunktionen oder Probleme bei der Anzeige von Inline-Bildern. Ein permanenter Fix wird derzeit entwickelt und soll als Update für die genannten Exchange-Versionen erscheinen, wobei für ältere Versionen möglicherweise erweiterte Sicherheitsupdates (ESU) erforderlich sind.














