Es braucht keinen Klick auf einen Anhang, kein erratenes Passwort und keinen Innentaeter. Eine einzige E-Mail, die im Posteingang landet und in Outlook Web Access geoeffnet wird, genuegt - und der Angreifer uebernimmt die Sitzung des Opfers. Genau das ist die unbequeme Realitaet hinter CVE-2026-42897, einer aktiv ausgenutzten Schwachstelle in Microsoft Exchange Server, die seit Mitte Mai 2026 fuer Unruhe in IT-Abteilungen sorgt - besonders im deutschen Mittelstand, wo On-Premises-Exchange nach wie vor das Rueckgrat der Unternehmenskommunikation bildet.
Was genau ist passiert?
Am 14. Mai 2026 machte Microsoft die Schwachstelle CVE-2026-42897 oeffentlich - zu diesem Zeitpunkt wurde sie bereits aktiv ausgenutzt. Es handelt sich also um einen klassischen Zero-Day: Die Angriffe liefen, bevor ein Grossteil der Administratoren ueberhaupt von der Luecke wusste. Bereits einen Tag spaeter, am 15. Mai 2026, nahm die US-Sicherheitsbehoerde CISA die Schwachstelle in ihren Known-Exploited-Vulnerabilities-Katalog (KEV) auf und setzte den US-Bundesbehoerden eine knappe Frist zum Handeln. Wenn eine Behoerde wie die CISA so reagiert, ist das stets ein deutliches Signal: Hier wird nicht ueber ein theoretisches Risiko diskutiert, sondern ueber reale, laufende Angriffe.
Die Schwachstelle im Detail
Technisch betrachtet ist CVE-2026-42897 eine Cross-Site-Scripting-Schwachstelle (XSS) in der Web-Oberflaeche von Exchange, also in Outlook Web Access (OWA). Die Ursache liegt in einer unzureichenden Bereinigung von Eingaben bei der Generierung der Web-Seite - im Fachjargon improper neutralization of input during web page generation. Microsoft bewertet die Luecke mit einem CVSS-Score von 8.1 und stuft sie offiziell als Spoofing-Schwachstelle ein.
Der Angriffsweg ist erschreckend elegant: Ein Angreifer sendet eine praeparierte E-Mail an ein Postfach. Oeffnet das Opfer diese E-Mail unter bestimmten Bedingungen in Outlook Web Access, wird eingebetteter JavaScript-Code im Browser-Kontext des Opfers ausgefuehrt - und zwar innerhalb der bereits authentifizierten OWA-Sitzung. Ab diesem Moment kann der Angreifer im Namen des Opfers handeln: Sitzungs-Token auslesen, heimlich Postfach-Weiterleitungsregeln anlegen, E-Mails abgreifen oder die Sitzung vollstaendig kapern. Sicherheitsforscher beschreiben den moeglichen Folgeschaden unmissverstaendlich als Session-Hijacking und Diebstahl von Anmeldedaten.
Warum gerade OWA so attraktiv fuer Angreifer ist
Outlook Web Access ist per Definition aus dem Internet erreichbar - das ist sein Zweck. Genau das macht es zur idealen Angriffsflaeche: Die Luecke laesst sich aus der Ferne ausnutzen, der Einstiegspunkt (eine E-Mail) ist trivial zuzustellen, und das Ziel (das Postfach einer realen Person) ist hochwertig. Wer ein Postfach kontrolliert, kontrolliert oft den Schluessel zu Passwort-Resets, Finanzfreigaben und internen Vertrauensbeziehungen. E-Mail-Konten sind deshalb seit Jahren das bevorzugte Sprungbrett fuer Business E-Mail Compromise und gezielte Betrugsmaschen. Eine Schwachstelle, die den Zugriff auf das Postfach ohne vorherigen Passwortdiebstahl ermoeglicht, ist fuer Angreifer Gold wert.
Welche Systeme sind betroffen?
CVE-2026-42897 betrifft jede derzeit unterstuetzte On-Premises-Installation von Exchange: Exchange Server 2016 (alle Update-Staende), Exchange Server 2019 (alle Update-Staende) und die Exchange Server Subscription Edition (alle Update-Staende). Exchange Online ist nicht betroffen - wer seine Postfaecher vollstaendig in Microsoft 365 betreibt, muss an dieser Stelle nichts tun.
Doch genau hier liegt der Knackpunkt: Im deutschen Mittelstand laufen aus Datenschutz-, Kosten- oder Souveraenitaetsgruenden noch unzaehlige Exchange-Server im eigenen Haus oder in hybriden Konstellationen. Und hybride Umgebungen sind besonders heikel, weil der lokale Exchange-Server dort oft tiefe Berechtigungen im verbundenen Microsoft-365-Tenant besitzt. Ein kompromittierter Hybrid-Server kann so zum Hebel fuer den gesamten Cloud-Mandanten werden.
Patch vorhanden - aber das allein reicht nicht
Die gute Nachricht: Microsoft hat die Schwachstelle mit den Sicherheitsupdates vom Mai 2026 fuer alle betroffenen Versionen adressiert. Wer die aktuellen kumulativen Updates und das Mai-Sicherheitsupdate eingespielt hat, ist gegen CVE-2026-42897 geschuetzt.
Fuer Server, die noch nicht zeitnah gepatcht werden konnten, hat Microsoft zusaetzlich eine automatische Mitigation ueber den Exchange Emergency Mitigation Service (EEMS) ausgerollt. Diese schiebt eine URL-Rewrite-Regel auf den Server, die das spezifische Anfragemuster des Exploits blockiert. Der Vorteil: EEMS aktiviert sich auf verbundenen Exchange-Servern automatisch, ohne dass ein Administrator eingreifen muss - vorausgesetzt, der Dienst ist aktiviert und der Server kann Microsoft erreichen. Administratoren koennen pruefen, ob die Mitigation mit der Kennung M2.1.x angewendet wurde.
Eine Reihenfolge sollte man dabei fest im Kopf behalten: Die EEMS-Mitigation ist ein Notpflaster, kein Ersatz fuer den Patch. Sie blockiert das aktuell bekannte Angriffsmuster, aber solche Mitigations lassen sich umgehen, sobald Angreifer ihre Methode anpassen. Dauerhafter Schutz kommt ausschliesslich aus dem vollstaendig eingespielten Sicherheitsupdate.
Konkrete Handlungsempfehlungen
Fuer IT-Verantwortliche im Mittelstand ergibt sich eine klare Prioritaetenliste:
1. Inventarisieren. Verschaffen Sie sich sofort Klarheit, ob und wo Sie On-Premises-Exchange betreiben - inklusive vergessener Hybrid-Server, die nur noch zur Verwaltung von Empfaengern laufen. Genau diese stillgelegten Restserver sind die typische blinde Stelle.
2. Patchen. Spielen Sie das Mai-2026-Sicherheitsupdate sowie die zugehoerigen kumulativen Updates ein. Planen Sie das Wartungsfenster nicht fuer irgendwann, sondern fuer sofort - bei aktiv ausgenutzten Luecken zaehlt jeder Tag.
3. Mitigation verifizieren. Pruefen Sie, ob EEMS aktiv ist und die Mitigation M2.1.x tatsaechlich angewendet wurde. Verlassen Sie sich nicht blind darauf - kontrollieren Sie es aktiv.
4. Kompromittierung ausschliessen. Da die Luecke vor der Verfuegbarkeit des Patches ausgenutzt wurde, reicht reines Patchen nicht. Durchsuchen Sie die Protokolle nach verdaechtigen OWA-Aktivitaeten, neu angelegten Postfach-Weiterleitungsregeln und ungewoehnlichen Anmeldungen. Setzen Sie im Zweifel Sitzungen zurueck und erzwingen Sie Passwort- und Token-Erneuerungen.
5. Angriffsflaeche verkleinern. Muss OWA wirklich fuer alle Postfaecher aus dem offenen Internet erreichbar sein? Eine vorgelagerte Authentifizierung, IP-Einschraenkungen oder die Anbindung ueber ein Zero-Trust-Gateway reduzieren das Risiko erheblich.
Diese Massnahmen sind kein einmaliges Projekt, sondern Teil eines kontinuierlichen Schwachstellen- und Patch-Managements. Wie ein belastbarer Prozess dafuer aussieht und wie er sich in eine uebergreifende Sicherheitsstrategie einfuegt, beschreiben wir auf unserer Seite zur Informationssicherheit. Wenn Sie unsicher sind, ob Ihre Exchange-Landschaft sauber abgesichert ist, unterstuetzt Sie unser Team gern - sprechen Sie uns ueber das Kontaktformular an oder werfen Sie einen Blick auf unsere Leistungsuebersicht.
Die groessere Lektion
CVE-2026-42897 ist mehr als nur ein weiterer Eintrag in der Patch-Liste. Die Schwachstelle fuehrt vor Augen, dass moderne Angriffe immer seltener auf rohe Gewalt setzen und immer haeufiger auf das Kapern von Sitzungen und Identitaeten zielen. Der Angreifer muss kein Passwort knacken, wenn er eine bestehende, authentifizierte Sitzung uebernehmen kann. Diese Verschiebung - weg vom Einbruch, hin zur Uebernahme der Identitaet - ist das praegende Sicherheitsthema des Jahres 2026. Warum das so ist und wie sich Unternehmen strukturell dagegen wappnen, vertiefen wir in unserer Analyse zu identitaetsbasierten Angriffen.
Fuer den Moment gilt eine einfache Regel: Wer On-Premises-Exchange betreibt, sollte diesen Tag nicht beenden, ohne den Patch-Status seiner Server zu kennen.