Microsoft hat am 14. Mai 2026 die Sicherheitslücke CVE-2026-42897 für lokale Microsoft Exchange Server veröffentlicht. Betroffen sind alle unterstützten On-Premises-Versionen von Exchange 2016, Exchange 2019 sowie Exchange Server Subscription Edition (SE). Exchange Online ist laut Microsoft nicht betroffen. (TECHCOMMUNITY.MICROSOFT.COM)

Die Schwachstelle betrifft Outlook Web Access (OWA). Über eine speziell präparierte E-Mail kann unter bestimmten Bedingungen JavaScript im Browser-Kontext des Benutzers ausgeführt werden, sobald die Nachricht in OWA geöffnet wird. Microsoft bewertet die Schwachstelle mit CVSS 8.1 und bestätigt bereits aktive Ausnutzung.

Welche Systeme sind betroffen?

Betroffen sind:

  • Exchange Server 2016 (alle Update-Stände)
  • Exchange Server 2019 (alle Update-Stände)
  • Exchange Server Subscription Edition (SE)

Nicht betroffen:

  • Exchange Online / Microsoft 365 Exchange Online

Derzeit noch kein Security Update verfügbar

Aktuell stellt Microsoft noch kein klassisches Security Update (SU) bereit. Stattdessen erfolgt die Absicherung zunächst über den Exchange Emergency Mitigation Service (EEMS) bzw. alternativ über das Exchange On-Premises Mitigation Tool (EOMT).

Die bereitgestellte Mitigation trägt aktuell die ID: M.2.1.0

Mitigation über den Exchange Emergency Mitigation Service (EEMS)

Der Exchange Emergency Mitigation Service ist seit September 2021 standardmäßig Bestandteil von Exchange Server und verteilt Mitigations automatisch.

Ob die Mitigation erfolgreich angewendet wurde, lässt sich am einfachsten über den Exchange Health Checker prüfen.

Exchange Health Checker herunterladen und ausführen

1
2

Invoke-WebRequest https://aka.ms/ExchangeHealthChecker -OutFile HealthChecker.ps1
.\HealthChecker.ps1

Im erzeugten HTML-Report findet sich anschließend der Bereich: EEMS Check Results
Dort sollte die Mitigation M.2.1.0 als angewendet erscheinen.

Alternative Prüfung über die Exchange Management Shell

Alternativ kann die Mitigation direkt über die Exchange Scripts geprüft werden:

1
2
3

cd $exinstall
cd .\Scripts\
.\Get-Mitigations.ps1

⚠️ Wichtig:
Server mit einem Patchstand älter als März 2023 erhalten laut Microsoft keine neuen Mitigations mehr über EEMS. Diese Systeme sollten dringend aktualisiert werden.

Mitigation für isolierte Umgebungen

Falls der Exchange Emergency Mitigation Service nicht genutzt werden kann, stellt Microsoft das Exchange On-Premises Mitigation Tool (EOMT) bereit.

EOMT herunterladen

1

Invoke-WebRequest https://aka.ms/UnifiedEOMT -OutFile EOMT.ps1

Mitigation auf einem einzelnen Server anwenden

1

.\EOMT.ps1 -CVE "CVE-2026-42897"

Mitigation auf allen Exchange-Servern anwenden

1

Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"

Bekannte Einschränkungen nach der Mitigation

Microsoft nennt aktuell folgende bekannte Auswirkungen:

  • Die Kalender-Druckfunktion in OWA funktioniert nicht mehr
  • Inline-Bilder werden teilweise nicht korrekt dargestellt
  • In den Mitigation Details kann “Mitigation invalid for this exchange version.” erscheinen

Letzteres ist laut Microsoft rein kosmetisch, solange der Status auf “Applied” steht.

Security Update folgt später

Microsoft arbeitet bereits an einem späteren Security Update für:

  • Exchange Server SE RTM
  • Exchange Server 2019 CU14 und CU15
  • Exchange Server 2016 CU23

⚠️ Wichtig:
Wer noch ältere CUs verwendet, sollte jetzt aktualisieren, da sich das spätere Update sonst nicht installieren lässt.

Achtung bei ESU (Extended Security Updates)

Microsoft hat außerdem bestätigt:

  • Das kommende Update für Exchange SE wird öffentlich bereitgestellt
  • Die Updates für Exchange 2016 und 2019 erhalten ausschließlich Kunden mit Period 2 ESU

Der ältere Period-1-ESU reicht hierfür nicht mehr aus.

Unternehmen mit Exchange 2016 oder 2019 sollten daher kurzfristig prüfen:

  • ob ESU Period 2 vorhanden ist
  • ob eine Migration auf Exchange SE oder Exchange Online geplant werden sollte

⛓️‍💥 Weiterführende Links & Quellen