#Netzwerk & Sicherheit · 4 Min. Lesezeit · Tim Rinkel

EXCHANGE-SCHOCK! Eine bösartige Mail reicht JETZT für Code-Klau in DEINEM Outlook Web Access — Microsoft warnt SOFORT

EXCHANGE-SCHOCK! Eine bösartige Mail reicht JETZT für Code-Klau in DEINEM Outlook Web Access — Microsoft warnt SOFORT

EXCHANGE-SCHOCK! Eine Mail genügt für DEINEN Datenklau

Microsoft hat am 14. Mai 2026 eine Zero-Day-Lücke in Exchange Server bestätigt: CVE-2026-42897. Microsoft selbst sagt: Die Lücke wird in the wild aktiv ausgenutzt. Auf gut Deutsch: Hacker greifen JETZT echte Firmen an.

Der Trick ist hinterhältig: Eine speziell präparierte E-Mail enthält JavaScript-Code, der ausgeführt wird, sobald das Opfer die Mail im Outlook Web Access (OWA) öffnet. Klassisches Cross-Site-Scripting, CVSS 8.1, fünf Buchstaben — XSS. Klingt nach Anfänger-Lücke. Ist aber gefährlich, weil OWA-Sessions vollen Zugriff auf das Firmen-Postfach haben.

UNGLAUBLICH: Patch-Tuesday war GERADE durch — und JETZT das

Microsoft hat am 13. Mai (Patch-Tuesday) 120 Sicherheitslücken gefixt — Exchange war nicht dabei. Microsoft selbst feierte einen „zero-day-freien“ Patch-Tuesday. Genau 48 Stunden später tauchte CVE-2026-42897 in der freien Wildbahn auf. Pwn2Own Berlin lief parallel — Forscher demonstrierten am 15. Mai eine weitere Exchange-RCE-Kette gegen $200.000 Preisgeld.

Betroffen sind nach Microsoft-Angaben:

  • Exchange Server Subscription Edition (SE)
  • Exchange Server 2019 (mit gültiger ESU-Lizenz)
  • Exchange Server 2016 (mit gültiger ESU-Lizenz)

GEFAHR! Worauf der Angriff abzielt

Sobald das JavaScript in deinem Browser läuft, kann der Angreifer:

  • Session-Cookies klauen und sich als du anmelden,
  • Mails lesen, weiterleiten, löschen — alles, was du in OWA kannst,
  • Anhänge filtern und gezielt nach Rechnungen, Verträgen oder Zugangsdaten suchen,
  • weitere Mails als du verschicken — perfekter Sprungpunkt für interne Phishing-Angriffe.

Besonders unangenehm: Wenn dein OWA-Account Admin-Rechte hat, kann der Angreifer die Mitigation auf dem Server gleich wieder deaktivieren.

So rettest du DEIN Exchange in 10 MINUTEN!

  1. Microsofts Mitigation einspielen — Microsoft hat am 14. Mai temporäre Mitigations veröffentlicht. Direkt im Exchange Admin Center oder via PowerShell-Skript anwenden.
  2. OWA-JavaScript einschränken — In der Übergangsphase JavaScript in OWA mittels OWA-Mailbox-Policy auf das absolute Minimum drehen.
  3. Audit-Logs prüfen — Ungewöhnliche Mail-Forward-Regeln? Massen-Logins aus anderen Ländern? Sofort nachgehen.
  4. Sicherheitspatch abwarten — Microsoft hat einen out-of-band-Patch in Aussicht gestellt. Sobald der draussen ist, ohne Verzögerung einspielen.

EXTRA-TIPP: Mail-Filter für verdächtige HTML-Mails

Ein einfacher Gegenangriff: Aktiviere im Exchange-Edge-Transport bzw. in deiner Anti-Spam-Lösung die Script-Stripping-Regel für eingehende E-Mails. Damit landen Mails mit eingebettetem JavaScript erst gar nicht im Postfach. Das blockt zwar manche legitime Newsletter, ist aber die sicherste Brücke bis zum offiziellen Patch.

FAZIT: Vom zero-day-freien Patch-Tuesday zum Albtraum in 48 Stunden

Microsoft-Admins sollten heute Abend OWA-Logs aufdrehen und die Mitigation einspielen. Patch-Tuesday-Routine reicht 2026 nicht mehr — Out-of-Band-Updates sind die neue Realität.

Quellen

Häufige Fragen

Bin ich betroffen, wenn ich nur Exchange Online nutze?
Nein — die Lücke betrifft nur On-Premises-Installationen von Exchange Server SE, 2019 oder 2016. Wer komplett auf Exchange Online / Microsoft 365 fährt, ist sicher. Hybrid-Setups mit On-Premises-Servern sollten trotzdem prüfen, ob die internen Exchange-Server gepatcht sind.
Reicht es, OWA komplett zu deaktivieren?
Ja, OWA hart auszuschalten schliesst diesen Angriffsvektor sofort. Praktisch ist das aber meistens keine Option, weil viele Nutzer OWA aktiv brauchen. Microsofts Mitigation ist die elegantere Lösung, weil OWA verfügbar bleibt und nur das JavaScript-Loophole geschlossen wird.
Wie wahrscheinlich ist es, dass mein Unternehmen schon angegriffen wurde?
Microsoft spricht aktuell von gezielten Angriffen — also nicht zufälliges Mass-Scanning. Wenn dein Unternehmen ein lohnendes Ziel ist (Finance, Healthcare, Government, Tech-IP), solltest du sofort Audit-Logs prüfen. Achte besonders auf neue Outbound-Mail-Forwarding-Regeln und unbekannte Mailbox-Delegations.
Wann kommt der echte Patch?
Microsoft hat einen Out-of-Band-Patch angekündigt, aber kein konkretes Datum genannt. Erfahrungsgemäss kommen solche Patches innerhalb von ein bis zwei Wochen nach Disclosure. Bis dahin gilt: Mitigation drauflassen, Logs eng beobachten und nichts manuell ‚aufmachen‘.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert