Microsoft Exchange steht erneut im Fokus der IT-Security-Community. Die Zero-Day-Schwachstelle CVE-2026-42897 wird bereits aktiv ausgenutzt und betrifft lokale Exchange-Server-Installationen.

Für Unternehmen ist das besonders relevant, weil Exchange oft eine zentrale Rolle in der Kommunikation, Authentifizierung, Kalenderorganisation und internen Zusammenarbeit spielt. Ein Sicherheitsproblem in Exchange ist deshalb nie nur ein Mailserver-Thema. Es betrifft häufig die gesamte IT-Sicherheitsarchitektur.

Der wichtigste Punkt vorab: Nach aktuellem Stand betrifft die Schwachstelle on-premises Exchange Server. Exchange Online ist laut öffentlichen Hinweisen nicht betroffen. Unternehmen mit lokalen Exchange-Servern sollten trotzdem sofort prüfen, ob ihre Systeme mitigiert, überwacht und sauber dokumentiert sind.

Was ist passiert?

Microsoft hat die Schwachstelle CVE-2026-42897 veröffentlicht. Es handelt sich um eine Sicherheitslücke in Microsoft Exchange Server im Zusammenhang mit Outlook Web Access, kurz OWA.

Ein Angreifer kann eine speziell präparierte E-Mail an einen Nutzer senden. Wenn der Nutzer diese E-Mail in Outlook Web Access öffnet und bestimmte Bedingungen erfüllt sind, kann JavaScript im Browser-Kontext des Nutzers ausgeführt werden.

Das ist besonders kritisch, weil OWA für viele Unternehmen ein wichtiger Zugriffspunkt auf E-Mails und Kalender ist. Wird JavaScript im Browser-Kontext eines angemeldeten Nutzers ausgeführt, können je nach Situation sensible Aktionen, Sitzungsinformationen oder Benutzerinteraktionen betroffen sein.

Welche Exchange-Versionen sind betroffen?

Nach aktuellem Stand sind diese lokalen Exchange-Server-Versionen betroffen:

  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019
  • Microsoft Exchange Server Subscription Edition

Exchange Online ist nach aktuellen öffentlichen Hinweisen nicht betroffen.

Wichtig: Auch vollständig aktualisierte Exchange-Server können betroffen sein, weil es sich um eine Zero-Day-Schwachstelle handelt. Deshalb reicht die Aussage „Wir haben Exchange aktuell gepatcht“ allein nicht aus. Entscheidend ist, ob die von Microsoft bereitgestellte Mitigation aktiv ist und ob das System überwacht wird.

Warum ist CVE-2026-42897 kritisch?

Die Schwachstelle ist aus mehreren Gründen relevant.

Erstens wird sie bereits aktiv ausgenutzt. Das bedeutet: Es handelt sich nicht nur um ein theoretisches Risiko.

Zweitens betrifft sie Exchange Server, also eine besonders sensible Infrastrukturkomponente.

Drittens erfolgt die Ausnutzung über E-Mail und Outlook Web Access. Damit reicht unter Umständen eine präparierte Nachricht aus, um den Angriffspfad zu starten, wenn ein Nutzer sie in OWA öffnet und die nötigen Bedingungen erfüllt sind.

Viertens gibt es zum Zeitpunkt der ersten öffentlichen Warnungen keinen klassischen permanenten Patch, sondern zunächst eine Mitigation.

Für IT-Teams bedeutet das: schnell handeln, aber strukturiert.

Was bedeutet „Zero-Day“ in diesem Fall?

Ein Zero-Day bedeutet, dass eine Schwachstelle bekannt oder bereits ausgenutzt wird, bevor ein vollständiges Sicherheitsupdate verfügbar ist.

Das ist besonders unangenehm, weil klassische Patch-Prozesse nicht sofort greifen. Admins müssen stattdessen auf Mitigations, Workarounds, Monitoring und Incident Response setzen.

Bei Exchange ist das besonders wichtig, weil viele Server direkt oder indirekt aus dem Internet erreichbar sind. OWA, ECP, Autodiscover, ActiveSync und andere Exchange-Komponenten sind häufig öffentlich erreichbar oder über VPN, Proxy oder Reverse Proxy angebunden.

Was ist der Unterschied zwischen Patch und Mitigation?

Ein Patch behebt die Schwachstelle dauerhaft im Produktcode.

Eine Mitigation reduziert das Risiko, bis ein vollständiger Patch verfügbar ist. Sie kann zum Beispiel durch IIS-Rewrite-Regeln, blockierte Anfragen, veränderte Verarbeitung oder andere Schutzmaßnahmen wirken.

Für CVE-2026-42897 setzt Microsoft zunächst auf Mitigation über Exchange Emergency Mitigation Service und Exchange On-Premises Mitigation Tool.

Wichtig: Eine Mitigation ist kein Ersatz für ein späteres Security Update. Sobald ein offizielles Exchange-Sicherheitsupdate verfügbar ist, sollte es nach Test und Freigabe eingespielt werden.

Was ist der Exchange Emergency Mitigation Service?

Der Exchange Emergency Mitigation Service, kurz EEMS oder EM Service, ist ein Mechanismus, mit dem Microsoft für Exchange Server bestimmte Notfall-Mitigationen bereitstellen kann.

Wenn der Dienst aktiv ist und der Server die notwendigen Voraussetzungen erfüllt, können Schutzmaßnahmen automatisch verteilt werden.

Für Unternehmen ist jetzt entscheidend:

  • Ist EEMS aktiviert?
  • Konnte der Exchange-Server die Mitigation abrufen?
  • Wurde die Mitigation erfolgreich angewendet?
  • Gibt es Server ohne Internetzugriff?
  • Gibt es alte Exchange-Server, die keine Mitigations mehr erhalten?
  • Wurde der Status dokumentiert?

Nur weil EEMS grundsätzlich existiert, heißt das nicht automatisch, dass jeder Server geschützt ist.

Was ist das Exchange On-Premises Mitigation Tool?

Das Exchange On-Premises Mitigation Tool, kurz EOMT, ist ein Microsoft-Tool, mit dem Admins bestimmte Exchange-Mitigationen manuell anwenden können.

Das ist besonders relevant für Umgebungen, in denen EEMS nicht automatisch funktioniert, etwa bei:

  • abgeschotteten Exchange-Servern
  • Air-Gapped-Umgebungen
  • eingeschränktem Internetzugriff
  • deaktiviertem EM Service
  • älteren Wartungsständen
  • streng kontrollierten Produktionsumgebungen

Admins sollten die aktuellen Microsoft-Hinweise prüfen und die passende Mitigation auf allen betroffenen Exchange-Servern anwenden.

Was IT-Teams jetzt sofort prüfen sollten

1. Gibt es lokale Exchange-Server?

Der erste Schritt ist eine vollständige Bestandsaufnahme.

Prüfen Sie:

  • Exchange Server 2016
  • Exchange Server 2019
  • Exchange Server Subscription Edition
  • Hybrid-Exchange-Server
  • alte nicht mehr produktive Exchange-Systeme
  • Test- und Staging-Exchange-Server
  • Exchange-Server in Nebenstandorten
  • Edge-Transport-Server
  • Server hinter Reverse Proxy oder Load Balancer
  • Systeme mit veröffentlichtem OWA

Gerade Hybrid-Umgebungen werden oft unterschätzt. Viele Unternehmen nutzen Microsoft 365, betreiben aber trotzdem noch lokale Exchange-Server für Verwaltung, Relay, Legacy-Anwendungen oder Hybrid-Funktionen.

2. Ist OWA erreichbar?

Da die Schwachstelle im Zusammenhang mit Outlook Web Access relevant ist, sollte geprüft werden, wo OWA erreichbar ist.

Prüffragen:

  • Ist OWA öffentlich aus dem Internet erreichbar?
  • Ist OWA nur über VPN erreichbar?
  • Läuft OWA hinter einem Reverse Proxy?
  • Gibt es Application Gateways oder Web Application Firewalls?
  • Gibt es Geo-Blocking?
  • Gibt es MFA?
  • Gibt es Conditional Access?
  • Gibt es Legacy-Authentifizierung?
  • Sind nicht benötigte virtuelle Verzeichnisse deaktiviert?
  • Gibt es externe Weiterleitungen oder alte URLs?

Wenn OWA nicht benötigt wird, sollte geprüft werden, ob der Zugriff eingeschränkt oder deaktiviert werden kann.

3. Ist die Microsoft-Mitigation aktiv?

Der wichtigste technische Schritt ist die Prüfung der Mitigation.

Prüfen Sie auf jedem Exchange-Server:

  • Ist Exchange Emergency Mitigation Service aktiv?
  • Ist die Mitigation für CVE-2026-42897 angewendet?
  • Gibt es Fehlermeldungen?
  • Gibt es Server ohne erfolgreiche Mitigation?
  • Wurde der Status nach Änderungen erneut geprüft?

Typische Prüfungen können über Exchange Management Shell, Microsoft Health Checker oder die Mitigation-Skripte erfolgen.

Beispielhafte Prüfpunkte:

Get-OrganizationConfig | fl MitigationsEnabled
cd "C:\Program Files\Microsoft\Exchange Server\V15\Scripts"
.\Get-Mitigations.ps1

Zusätzlich sollte der aktuelle Exchange Health Checker genutzt werden, um Konfiguration, Updates, bekannte Risiken und Mitigation-Status zu prüfen.

4. Exchange Health Checker ausführen

Microsoft stellt den Exchange Health Checker bereit, um Exchange-Umgebungen auf bekannte Probleme, Konfigurationsrisiken und Update-Stände zu prüfen.

Für IT-Teams ist der Health Checker besonders nützlich, weil Exchange-Umgebungen oft über Jahre gewachsen sind und alte Konfigurationen enthalten.

Beispiel:

Invoke-WebRequest https://aka.ms/ExchangeHealthChecker -OutFile HealthChecker.ps1
.\HealthChecker.ps1

Der generierte Report sollte archiviert und geprüft werden.

Wichtige Punkte im Report:

  • Exchange-Version
  • Cumulative Update Status
  • Security Update Status
  • EEMS-Status
  • bekannte Schwachstellen
  • Authentifizierungseinstellungen
  • Zertifikate
  • IIS-Konfiguration
  • Health Set Status
  • TLS-Konfiguration

5. Bei Bedarf EOMT einsetzen

Wenn EEMS nicht aktiv ist oder die Mitigation nicht automatisch angewendet wurde, sollte das Exchange On-Premises Mitigation Tool geprüft werden.

Beispiel:

Invoke-WebRequest https://aka.ms/UnifiedEOMT -OutFile EOMT.ps1
.\EOMT.ps1 -CVE CVE-2026-42897

Wichtig: Führen Sie solche Tools nur nach Prüfung der offiziellen Microsoft-Hinweise, mit Administratorrechten und in einem kontrollierten Wartungsfenster aus.

6. Logs auf Anzeichen von Ausnutzung prüfen

Da die Schwachstelle aktiv ausgenutzt wird, reicht Mitigation allein nicht aus. Unternehmen sollten prüfen, ob es bereits Hinweise auf Angriffe gibt.

Relevante Logquellen sind:

  • IIS-Logs
  • Exchange HTTP Proxy Logs
  • OWA-Logs
  • ECP-Logs
  • Windows Event Logs
  • Exchange Admin Audit Logs
  • Defender for Endpoint
  • SIEM
  • Reverse-Proxy-Logs
  • Firewall-Logs
  • Load-Balancer-Logs
  • WAF-Logs
  • Mail-Gateway-Logs

Besonders wichtig ist die zeitliche Korrelation:

  • Wann wurde CVE-2026-42897 öffentlich?
  • Wann wurde die Mitigation angewendet?
  • Gab es davor verdächtige OWA-Zugriffe?
  • Gab es ungewöhnliche E-Mails?
  • Gab es auffällige Nutzerinteraktionen?
  • Gab es neue oder verdächtige Prozesse auf dem Exchange-Server?
  • Gab es verdächtige PowerShell-Aktivität?
  • Gab es neue Dateien in Exchange- oder IIS-Verzeichnissen?

7. Exchange-Server auf Kompromittierung prüfen

Auch wenn CVE-2026-42897 primär OWA und Browser-Kontext betrifft, sollten Exchange-Server nach jeder aktiv ausgenutzten Schwachstelle genauer geprüft werden.

Prüfen Sie:

  • neue lokale Benutzer
  • neue Administratoren
  • ungewöhnliche geplante Tasks
  • verdächtige IIS-Dateien
  • unbekannte Webshells
  • neue oder veränderte virtuelle Verzeichnisse
  • verdächtige PowerShell-Logs
  • ungewöhnliche Mailbox-Regeln
  • verdächtige OAuth- oder App-Berechtigungen
  • neue Connectoren
  • ungewöhnliche Weiterleitungen
  • auffällige Anmeldeversuche
  • unerwartete Prozesse
  • EDR-Alarme

Bei Exchange gilt: Wenn ein Server kompromittiert wurde, reicht ein späterer Patch oder eine Mitigation nicht aus. Dann ist Incident Response notwendig.

8. Benutzerkommunikation vorbereiten

Da der Angriff über präparierte E-Mails und OWA-Szenarien relevant sein kann, sollten Unternehmen Nutzer informieren.

Eine interne Kurzmeldung könnte lauten:

Wir prüfen aktuell eine Microsoft-Exchange-Schwachstelle mit Bezug zu Outlook Web Access. Bitte öffnen Sie verdächtige E-Mails nicht in OWA, melden Sie ungewöhnliche Nachrichten an die IT und führen Sie keine eigenen Workarounds durch. Die IT prüft Mitigation, Logs und betroffene Systeme zentral.

Wichtig ist, keine Panik zu erzeugen, aber klare Handlungsanweisungen zu geben.

9. OWA-Zugriff temporär einschränken

Je nach Risikolage kann es sinnvoll sein, OWA temporär stärker einzuschränken.

Mögliche Maßnahmen:

  • OWA nur über VPN erlauben
  • externe OWA-Veröffentlichung temporär entfernen
  • IP-Restriktionen setzen
  • WAF-Regeln prüfen
  • Reverse Proxy härten
  • MFA erzwingen
  • alte Authentifizierungsmethoden deaktivieren
  • Zugriff auf Admin-Konten blockieren
  • Geo-Blocking aktivieren
  • OWA für nicht benötigte Gruppen deaktivieren

Diese Maßnahmen sollten risikobasiert erfolgen. Nicht jedes Unternehmen kann OWA sofort abschalten. Aber jedes Unternehmen sollte wissen, warum OWA öffentlich erreichbar ist und welche Schutzmaßnahmen davorliegen.

10. Späteres Security Update einplanen

Die aktuelle Mitigation reduziert das Risiko. Sie ersetzt aber kein späteres Exchange-Sicherheitsupdate.

IT-Teams sollten deshalb jetzt schon planen:

  • Wartungsfenster
  • Backup vor Update
  • CU-Stand prüfen
  • Voraussetzungen prüfen
  • Testumgebung nutzen
  • Update-Reihenfolge bei mehreren Servern definieren
  • DAG-Umgebungen berücksichtigen
  • Load Balancer berücksichtigen
  • Reboot einplanen
  • Nachprüfung dokumentieren

Exchange-Updates sind oft aufwendiger als normale Windows-Updates. Deshalb sollte die Vorbereitung sofort beginnen.

Warum Exchange besonders geschützt werden muss

Exchange ist für Angreifer attraktiv, weil der Server oft viel Vertrauen im Unternehmen besitzt.

Ein Exchange-Server kann Zugriff auf oder Nähe zu vielen sensiblen Bereichen haben:

  • E-Mail-Kommunikation
  • Kalenderdaten
  • interne Kontakte
  • Anhänge
  • Authentifizierungsdaten
  • Active Directory
  • Zertifikate
  • Service Accounts
  • Mail-Routing
  • interne Anwendungen
  • Hybrid-Cloud-Kommunikation

Viele frühere Exchange-Vorfälle haben gezeigt: Wenn Exchange kompromittiert wird, kann daraus schnell ein breiter Sicherheitsvorfall entstehen.

Deshalb sollten Exchange-Server nicht wie normale Applikationsserver behandelt werden. Sie brauchen besondere Härtung, Monitoring und Pflege.

Checkliste für Unternehmen

Nutzen Sie diese Checkliste als Sofortmaßnahme:

  • Gibt es lokale Exchange-Server?
  • Welche Versionen laufen?
  • Ist Exchange Online wirklich der einzige Maildienst?
  • Gibt es Hybrid-Exchange?
  • Ist OWA öffentlich erreichbar?
  • Ist EEMS aktiviert?
  • Wurde die CVE-2026-42897-Mitigation angewendet?
  • Wurde der Status auf allen Servern geprüft?
  • Wurde Exchange Health Checker ausgeführt?
  • Gibt es Server ohne aktuelle Cumulative Updates?
  • Gibt es alte Exchange-Server?
  • Wurden IIS- und Exchange-Logs geprüft?
  • Gibt es Anzeichen für Ausnutzung?
  • Wurde EOMT bei Bedarf eingesetzt?
  • Ist OWA mit MFA geschützt?
  • Sind Admin-Konten besonders geschützt?
  • Ist ein späteres Security Update eingeplant?
  • Wurde der Vorfall dokumentiert?
  • Gibt es eine interne Kommunikation?

Wenn mehrere Punkte offen sind, sollte Exchange sofort priorisiert werden.

Typische Fehler bei Exchange-Zero-Days

Bei Exchange-Zero-Days wiederholen sich oft dieselben Fehler:

  • alte Exchange-Server werden vergessen
  • Hybrid-Server werden unterschätzt
  • OWA ist öffentlich erreichbar, aber nicht ausreichend geschützt
  • EEMS ist deaktiviert oder funktioniert nicht
  • Mitigations werden nicht verifiziert
  • Health Checker wird nicht regelmäßig genutzt
  • Logs werden nur kurz geprüft
  • spätere Patches werden verzögert
  • Exchange wird nicht durch EDR überwacht
  • Admin-Konten nutzen OWA
  • keine klare Incident-Response-Routine
  • keine Dokumentation des Mitigation-Status

Der wichtigste Fehler ist: „Wir warten einfach auf den Patch.“

Bei aktiv ausgenutzten Zero-Days ist Warten keine Strategie.

Was bedeutet das für KMU und DACH-Unternehmen?

Gerade kleine und mittlere Unternehmen im DACH-Raum betreiben häufig noch lokale Exchange-Server oder Hybrid-Setups. Oft laufen diese Systeme stabil seit Jahren, werden aber nicht immer aktiv gepflegt.

Typische Risiken:

  • ältere Cumulative Updates
  • unklare Verantwortlichkeiten
  • öffentlich erreichbares OWA
  • kein regelmäßiger Exchange Health Check
  • keine zentrale Log-Auswertung
  • kein EDR auf Exchange-Servern
  • fehlende Dokumentation
  • alte Zertifikate
  • komplexe Hybrid-Konfiguration
  • kein getesteter Update-Prozess

CVE-2026-42897 ist deshalb ein guter Anlass, Exchange-Betrieb grundsätzlich zu prüfen.

Wie FEHMER TECH unterstützen kann

FEHMER TECH unterstützt Unternehmen im DACH-Raum bei stabilem, sicherem und kalkulierbarem IT-Betrieb. Gerade bei Exchange-Sicherheitsvorfällen kommt es nicht nur auf eine einzelne Einstellung an, sondern auf den gesamten Betrieb.

Typische Unterstützungsbereiche sind:

  • Exchange-Server-Review
  • Prüfung von EEMS und EOMT
  • Exchange Health Checker Auswertung
  • OWA- und IIS-Konfigurationsprüfung
  • Microsoft 365 und Hybrid-Exchange-Review
  • Patch- und Update-Management
  • Security-Monitoring
  • Defender for Endpoint Integration
  • Incident-Response-Unterstützung
  • Dokumentation und Runbooks
  • Härtung von Admin-Zugängen
  • Migration oder Reduzierung lokaler Exchange-Abhängigkeiten

Mehr dazu: IT-Sicherheit und Managed Services von FEHMER TECH

Fazit

Die aktiv ausgenutzte Microsoft-Exchange-Schwachstelle CVE-2026-42897 ist ein ernstzunehmender Vorfall für Unternehmen mit lokalen Exchange-Servern.

Auch wenn Exchange Online nach aktuellen Hinweisen nicht betroffen ist, müssen On-Premises- und Hybrid-Umgebungen sofort geprüft werden.

Die wichtigsten Schritte sind:

  1. Exchange-Server inventarisieren
  2. OWA-Erreichbarkeit prüfen
  3. EEMS-Status kontrollieren
  4. CVE-2026-42897-Mitigation verifizieren
  5. EOMT bei Bedarf einsetzen
  6. Exchange Health Checker ausführen
  7. Logs auf Ausnutzung prüfen
  8. OWA-Zugriff risikobasiert einschränken
  9. späteres Security Update vorbereiten
  10. alles dokumentieren

Exchange ist eine kritische Infrastrukturkomponente. Wer hier strukturiert prüft, schützt nicht nur E-Mail-Kommunikation, sondern oft den gesamten Unternehmensbetrieb.

Kostenloses Erstgespräch mit FEHMER TECH buchen

FAQ

Was ist CVE-2026-42897?

CVE-2026-42897 ist eine Microsoft-Exchange-Server-Schwachstelle im Zusammenhang mit Outlook Web Access. Unter bestimmten Bedingungen kann über eine präparierte E-Mail JavaScript im Browser-Kontext eines OWA-Nutzers ausgeführt werden.

Wird CVE-2026-42897 aktiv ausgenutzt?

Ja. Microsoft und öffentliche Sicherheitswarnungen bestätigen aktive Ausnutzung der Schwachstelle.

Welche Exchange-Versionen sind betroffen?

Betroffen sind lokale Microsoft Exchange Server 2016, Exchange Server 2019 und Exchange Server Subscription Edition.

Ist Exchange Online betroffen?

Nach aktuellen öffentlichen Hinweisen ist Exchange Online nicht betroffen.

Gibt es bereits einen Patch?

Zum Zeitpunkt der ersten Warnungen stand zunächst eine Mitigation bereit. Ein späteres Security Update sollte nach Veröffentlichung eingeplant und installiert werden.

Was ist EEMS?

EEMS steht für Exchange Emergency Mitigation Service. Der Dienst kann bestimmte Notfall-Mitigationen für Exchange Server automatisch bereitstellen, wenn er aktiv ist und die Umgebung die Voraussetzungen erfüllt.

Was ist EOMT?

EOMT steht für Exchange On-Premises Mitigation Tool. Es kann genutzt werden, um bestimmte Microsoft-Exchange-Mitigationen manuell anzuwenden, wenn automatische Verteilung nicht möglich ist.

Was sollten Admins zuerst tun?

Admins sollten lokale Exchange-Server identifizieren, OWA-Erreichbarkeit prüfen, den EEMS-Status kontrollieren, die Mitigation für CVE-2026-42897 verifizieren und Logs auf Hinweise einer Ausnutzung prüfen.

Reicht die Mitigation aus?

Die Mitigation reduziert das Risiko, ersetzt aber kein späteres Sicherheitsupdate. Sobald Microsoft ein dauerhaftes Update bereitstellt, sollte es kontrolliert installiert werden.

Warum ist Exchange besonders kritisch?

Exchange verarbeitet E-Mails, Kalender, Anhänge, Authentifizierung und häufig auch Hybrid-Kommunikation mit Microsoft 365. Ein kompromittierter Exchange-Server kann weitreichende Folgen für das gesamte Unternehmen haben.