🔐Exchange Server Sicherheitslücke im Mai 2026

Eine einzelne E-Mail kann reichen und fremder Code läuft im Browser deiner User.
Genau darum handelt es sich bei der von Microsoft veröffentlichten Sicherheitslücke CVE 2026 42897 in Exchange Server.

Microsoft hat am 14. Mai 2026 eine Schwachstelle in Outlook Web Access (OWA) offengelegt. Angreifer können eine speziell präparierte E-Mail versenden. Wird diese in OWA geöffnet und bestimmte Interaktionen finden statt, kann beliebiger JavaScript Code im Browser ausgeführt werden.

⚠️ Wer ist betroffen?

✅ Betroffen sind alle On Premises Versionen
·        Exchange Server 2016
·        Exchange Server 2019
·        Exchange Server SE

❌ Nicht betroffen ist Exchange Online

🛡️ Die empfohlene Sofortmaßnahme

Microsoft setzt hier klar auf einen Helden im Hintergrund:
✅ Exchange Emergency Mitigation Service

Die empfohlene Sofortmaßnahme von Microsoft
·        ist seit September 2021 aktiv
·        greift automatisch
·        kann über die Mitigation ID M 2.1.0 geprüft werden
Alternativ steht ein Skript für abgeschottete Umgebungen zur Verfügung.

🚧 Bekannte Einschränkungen nach der Mitigation

Nach der Aktivierung kann es zu Einschränkungen kommen, unter anderem:
·        OWA-Kalender drucken kann fehlschlagen
·        Inline-Bilder werden teils nicht angezeigt
·        OWA Light funktioniert nicht korrekt
·        Monitoring kann Warnungen auslösen

💬 Schon geprüft, ob eure Exchange Server die Mitigation aktiv haben?

Wenn du willst, schauen wir gemeinsam drauf