Betroffene Systeme

CVE-2026-42897 betrifft lokale Exchange-Server mit Outlook Web Access. Ein präpariertes E-Mail kann bei OWA-Nutzung JavaScript im Browserkontext ausführen, wenn bestimmte Interaktionsbedingungen erfüllt sind. Exchange Server 2016, Exchange Server 2019 und Exchange Server Subscription Edition sind relevant; Exchange Online ist für diese Schwachstelle nicht betroffen.

Für den Betrieb zählt aktuell nicht nur der allgemeine Patchstand. Die Schutzmaßnahme läuft über den Exchange Emergency Mitigation Service. Wer den Dienst deaktiviert, blockiert oder nicht überwacht, kann trotz aktueller Wartungsstände ohne aktive Mitigation bleiben.

Konkrete Prüfungen

  1. Emergency Mitigation Service prüfen: Auf allen lokalen Exchange-Servern verifizieren, dass der Dienst aktiv ist, Updates abrufen kann und die Mitigation M2.1.x für CVE-2026-42897 angewendet wurde.
  2. OWA-Zugriff eingrenzen: OWA nicht über Internet Explorer oder Edge im Internet Explorer Mode nutzen, da die relevante Browser-Schutzlogik dort nicht greift.
  3. Server getrennt betrachten: Internetnahe Exchange-Server, Hybrid-Server, passive Nodes und Wiederherstellungsumgebungen separat nachweisen, nicht nur den produktiven Primärserver.
  4. Mailbox-Spuren prüfen: Auffällige OWA-Sessions, neue Inbox-Regeln, Weiterleitungen und ungewöhnliche Anmeldeorte gezielt auswerten.
  5. Dauerhafte Nacharbeit planen: Die Mitigation als Sofortmaßnahme behandeln und Exchange-Updates, Health-Checks sowie Change-Freigaben für den späteren Fix vorbereitet halten.

Schneller Nachweis

  • EM-Service-Status und zuletzt angewendete Mitigation je Exchange-Server dokumentieren.
  • OWA-Zugriffe aus Legacy-Browsern oder IE Mode unterbinden.
  • Für Ausnahmen Owner, Ablaufdatum und kompensierende Kontrolle festlegen.

Wenn nur ein Schritt sofort geht: Mitigation M2.1.x auf jedem lokalen Exchange-Server nachweisen und OWA-Zugriffe über IE Mode blockieren.