Microsoft Exchange

Exchange Server CVE-2026-42897, OWA-Schwachstelle vorerst über Mitigation entschärft

Indeno GmbH

15 Mai 2026 — 3 Min. Lesezeit

Microsoft hat am 14. Mai 2026 die Schwachstelle CVE-2026-42897 für Microsoft Exchange Server offengelegt. Sie liegt im Outlook-Web-Access-Stack und erlaubt einem unauthentifizierten Angreifer, über eine speziell präparierte E-Mail JavaScript im Browser-Kontext des Empfängers auszuführen. Der CVSS-Basisscore liegt bei 8.1, eingestuft als High, der Temporal Score bei 7.5. Ein klassisches Security Update ist noch nicht verfügbar. Microsoft stellt zunächst eine Mitigation bereit, die über den Exchange Emergency Mitigation Service automatisch ausgerollt wird oder per Skript nachgezogen werden kann. Ein dedizierter Patch ist angekündigt, aber zum jetzigen Zeitpunkt noch nicht freigegeben. [1][2][3]

Was die Schwachstelle technisch macht

CVE-2026-42897 ist im Kern eine Cross-Site-Scripting-Lücke nach CWE-79. Die ungenügende Filterung von Eingaben bei der Generierung einer Webseite ermöglicht es, dass aus den Inhalten einer E-Mail JavaScript-Code in der OWA-Sitzung des Opfers ausgeführt wird. Der vollständige CVSS-Vektor lautet CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N/E:F/RL:O/RC:C. Der Angriff läuft über das Netzwerk und ist ohne Vorabauthentifizierung möglich, erfordert aber Nutzerinteraktion. Microsoft beschreibt sie im MSRC-Eintrag als das Öffnen der präparierten E-Mail in OWA durch den Empfänger, kombiniert mit weiteren Interaktionsbedingungen, die Microsoft nicht im Detail offenlegt. Vertraulichkeit und Integrität sind jeweils mit hoher Stufe betroffen, die Verfügbarkeit wird nicht beeinträchtigt. [2][3]

Microsoft führt die Schwachstelle als "Spoofing Vulnerability". Im konkreten Fall heißt das, dass sich Inhalte oder Aktionen aus Sicht des Empfängers manipulieren lassen, sobald der JavaScript-Kontext der OWA-Sitzung übernommen ist. Eine öffentliche Veröffentlichung der Schwachstellendetails vor dem Advisory ist laut MSRC nicht erfolgt. [2][3]

Welche Versionen betroffen sind

Auf On-premises-Seite konkret betroffen sind Exchange Server 2016 Cumulative Update 23, Exchange Server 2019 Cumulative Updates 14 und 15 sowie Exchange Server Subscription Edition RTM. Exchange Online ist von der Schwachstelle nicht betroffen und benötigt keine Aktion auf Kundenseite. [1][2][3]

Wie die Mitigation greift

Microsoft rollt die Mitigation über den Exchange Emergency Mitigation Service aus, kurz EM Service oder EEMS. Der Dienst ist auf den unterstützten Exchange-Versionen standardmäßig aktiv. Solange er nicht explizit deaktiviert wurde, wird die Mitigation für CVE-2026-42897 automatisch eingespielt. Die zugehörige Mitigation-ID lautet M2.1.x. EEMS-Mitigationen sind generell keine Codepatches im klassischen Sinn, sondern Konfigurationsänderungen, die der lokal laufende MSExchangeMitigation-Dienst auf Anweisung des Cloud-Endpoints anwendet. [1][2]

Für Organisationen, die EEMS deaktiviert haben oder in einem disconnected oder air-gapped Setup arbeiten, bleibt das Exchange On-premises Mitigation Tool (EOMT) als Alternative. Das Skript wird aus einer elevated Exchange Management Shell ausgeführt und kann die Mitigation entweder auf einen einzelnen Server oder auf alle Exchange-Server einer Organisation anwenden, mit Ausnahme von Edge-Servern. Microsoft pflegt EOMT.ps1 im offiziellen CSS-Exchange-Repository auf GitHub. [1][4]

Wie sich die Mitigation verifizieren lässt

Für die Kontrolle, ob die Mitigation tatsächlich greift, ist der Exchange Health Checker der pragmatische Standardweg. Das Skript prüft den Zustand des MSExchangeMitigation-Dienstes (Startup Automatic, Status Running), die Erreichbarkeit des Office Config Endpoints unter officeclient.microsoft.com/GetExchangeMitigations und listet die aktuell angewendeten und blockierten Mitigationen im HTML-Report auf. Wer pro Server prüfen möchte, findet in der Microsoft-Doku "Viewing Applied Mitigations" einen eigenen Pfad mit den passenden Cmdlets. [5]

Ein optisches Detail führt in der Praxis zu Rückfragen. In den Mitigation Details kann der Text "Mitigation invalid for this exchange version." erscheinen, obwohl die Mitigation korrekt eingespielt wurde. Microsoft bestätigt das als rein kosmetischen Effekt. Solange der Status "Applied" steht, ist die Mitigation aktiv. [1]

Bekannte Einschränkungen nach der Mitigation

Mit der Mitigation gehen zwei dokumentierte OWA-Einschränkungen einher. Die "Print Calendar"-Funktion in OWA funktioniert möglicherweise nicht mehr, als Workaround nennt Microsoft das Kopieren der Kalenderdaten, einen Screenshot oder den Wechsel auf den Outlook-Desktop-Client. Außerdem werden Inline-Bilder im Reading Pane des Empfängers nicht zuverlässig dargestellt, hier hilft es, Bilder als Anhang zu versenden oder ebenfalls Outlook Desktop zu verwenden. [1][4]

Beide Einschränkungen sind dokumentierte Nebenwirkungen der Mitigation und verschwinden, sobald Microsoft das eigentliche Security Update veröffentlicht und der Patch eingespielt ist.