Microsoft hat die kritische Sicherheitslücke in Exchange Server identifiziert als CVE-2026-42897 die die Ausführung von Code im Browser-Kontext durch einen Cross-Site-Scribing (XSS) Angriff auf Outlook-Benutzer im Web (OWA) ermöglicht. Die Operation wird durch eine speziell manipulierte Mail erzeugt, die, wenn der Empfänger sie in OWA öffnet und bestimmte Bedingungen der Interaktion erfüllt sind, willkürliche JavaScript ausführen kann und somit von der Diebstahl von Cookies und Sitzungstoken zu komplexeren Angriffsketten, die innerhalb des Netzwerks schwenken.
Der Ausfall betrifft aktualisierte Versionen von Exchange Server 2016, Exchange Server 2019 und Exchange Server Subscription Edition (SE). Microsoft hat betont, dass, obwohl noch keine endgültigen Patches verfügbar sind, sein Exchange Emergency Mitigation Service (EEMS) wird automatische Minderung bereitstellen, um On-Premises-Server mit Mailbox-Rolle zu schützen. EEMS arbeitet als Windows-Service und wurde speziell entwickelt, um Interim-Lösungen für aktiv genutzte Schwachstellen anzuwenden; wenn es deaktiviert ist, empfiehlt Microsoft, es sofort zu aktivieren. Weitere offizielle Details finden Sie im Blog des Exchange-Teams: Exchange Team - Microsoft Tech Community.
Für isolierte Umgebungen (air-gapped) oder Administratoren, die eine manuelle Steuerung bevorzugen, bietet Microsoft das Exchange on-premises Mitigation Tool (EOMT). Die Minderung wird angewendet, indem das Skript von einer hohen Exchange Management Shell mit Befehlen wie .\ EOMT.ps1 -CVE "CVE-2026-42897" auf einem einzigen Server oder Get-ExchangeServer-124; Wo-Objekt {$_ .ServerRole-ne "Edge" }-124;\ EOMT.ps1-CVE "CVE-2026-42897" für alle Server mit relevanten Rollen. Wenn Sie verstehen müssen, wie EEMS arbeitet und seine Anforderungen, bevor es aktiviert ist, ist Microsofts Dokumentation über den Dienst eine nützliche Referenz: Dokumentation von Exchange Emergency Mitigation Service.
Es ist wichtig, dass Sicherheitsteams zwei operative Realitäten internieren: Microsoft hat zum einen angekündigt, dass es Patches für Exchange SE RTM und für bestimmte kumulative Updates (CU) von 2016 und 2019 starten wird, aber Updates für Exchange 2016 und 2019 werden nur für Kunden verfügbar sein, die im ESU Period 2 Programm registriert sind; zum zweiten, Wenn Ihr Server eine Version vor dem März 2023 läuft, kann EEMS keine neue Minderung herunterladen, die einen manuellen Minderungs- oder Aktualisierungsplan erfordert.
Die praktischen Auswirkungen gehen über das einfache Patching hinaus. Eine effektive XSS-Explosion gegen OWA kann zu einem dauerhaften Zugriff auf Konten, laterale Bewegung und Datenexfiltration führen, wenn der Angreifer gültige Token erhält oder Persistenzmechanismen installiert. Es ist daher kritisch, die Belichtungsfläche zu reduzieren: Betrachten Sie, den externen Zugriff auf OWA aus dem öffentlichen Netz zu blockieren, den Einsatz von VPN für den administrativen Zugriff zu zwingen und die Multi-Faktor-Authentifizierung (MFA) auf der Vorderseite zu ermöglichen, die Identitäten vor der Präsentation der Web-Schnittstelle validiert.
Auf betrieblicher Ebene handeln Sie mit Priorität: Aktive EEMS Wenn verfügbar, wenden Sie EOMT in isolierten Umgebungen an und planen Sie die Installation von offiziellen Patches, sobald sie veröffentlicht werden. Parallel überwachen Sie IIS-Protokolle, OWA-Datensätze und inverse Proxy-Erkennungen auf der Suche nach anormalen Mustern, die Massenpostsendungen mit HTML / JS-Payloads, Sitzungen, die von verdächtigen Standorten oder Änderungen von Session-Cookies initiiert werden. Wenn Ihr Unternehmen Exchange 2016 / 2019 nach seinem Unterstützungszweck aufrechterhält, reasset das Risiko neu und muss auf unterstützte Versionen migrieren oder ein ESU-Abonnement sichern.
Schließlich koordinieren Sie mit Ihrem Notfall-Reaktionsteam für retrospektive Suche (Hunt) für Verpflichtungsindikatoren im Zusammenhang mit OWA-Zugängen und möglichen jüngsten Exfiltrationen. Behalten Sie eine proaktive Haltung und verwenden Sie automatische oder manuelle Minderung jetzt reduziert das Belichtungsfenster, bis die letzten Patches ankommen und verhindert, dass ein einfacher Benutzerklick zu einer größeren Lücke führt.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...