Microsoft warnt: Hacker attackieren Outlook-Nutzer über gefährliche Exchange-Lücke

Microsoft hat zum Juni-Patchday eine aktiv ausgenutzte Sicherheitslücke in mehreren Versionen von Microsoft Exchange Server geschlossen. Angreifer können damit unter bestimmten Umständen bösartigen Javascript-Code in den Webbrowsern von Nutzern zur Ausführung bringen, die über Outlook Web Access (OWA) auf ihre E-Mails zugreifen. Admins sollten zügig die Juni-Patches installieren, um Anwender zu schützen.

Die besagte Sicherheitslücke ist als CVE-2026-42897(öffnet im neuen Fenster) registriert, als Cross-Site-Scripting-Schwachstelle(öffnet im neuen Fenster) klassifiziert und erreicht mit einem CVSS-Wert von 8,1 einen hohen Schweregrad. Microsoft schätzt das Risiko sogar als "kritisch" ein und warnt davor, dass es bereits Hinweise auf eine aktive Ausnutzung der Lücke gibt.

Microsoft hatte erstmals Mitte Mai vor CVE-2026-42897 gewarnt. Damals stellte der Konzern in einem Blogbeitrag(öffnet im neuen Fenster) manuelle Abhilfemaßnahmen sowie eine mögliche automatische Korrektur über den Exchange Emergency Mitigation Service(öffnet im neuen Fenster) bereit. Dabei handelte es sich aber nur um eine "temporäre" Lösung, die Microsoft im Nachhinein noch optimiert sehen wollte.

Aus diesem Grund rät Microsoft Exchange-Admins dazu, möglichst zeitnah die Juni-Updates einzuspielen. Diese enthalten nach Angaben des Konzerns eine "dauerhafte Korrektur", die den "Qualitätsstandards des Unternehmens" entsprechen. Allzu hoch scheinen diese Qualitätsstandards angesichts vergangener Ereignisse zwar nicht zu sein, den Fix nicht anzuwenden ist aber ebenfalls keine empfehlenswerte Option.

Bereitgestellt hat Microsoft die Korrektur mit den Juni-Updates für Microsoft Exchange Server 2016, 2019 und SE (Subscription Edition). Für Exchange Server 2016 und 2019 ist jedoch für die Anwendung dieser Updates eine Teilnahme am ESU-Programm (Extended Security Updates) erforderlich. Der reguläre Support für diese Versionen wurde im Oktober 2025 eingestellt.

CVE-2026-42897 ist nur eine von Hunderten Sicherheitslücken, die Microsoft zum Juni-Patchday schloss. Unter anderem im Windows-Kernel, im Microsoft Defender und im DHCP-Client-Service von Windows wurden ebenfalls sehr gefährliche Lücken gestopft. Es lohnt sich also, Windows und andere Microsoft-Produkte auf den neuesten Stand zu bringen.