Microsoft hat die kritische Schwachstelle in On-Premises-Versionen von Exchange Server, registriert als CVE-2026-42897 die in realen Umgebungen aktiv genutzt wird. Das ist eine Art Versagen. Cross-Site Scribing (XSS), das Spoofing ermöglicht: Ein Angreifer kann eine speziell gestaltete Mail senden, die, wenn der Empfänger es in Outlook Web Access (OWA) öffnet und bestimmte Interaktionen durchführt, erlaubt, willkürliche JavaScript im Kontext des Browsers des Nutzers auszuführen.
Die Art dieses Ausfalls macht es besonders gefährlich in Kombination mit Social Engineering-Techniken: Der initiale Vektor benötigt keine engagierten Anmeldeinformationen oder vor dem Zugriff auf den Server, es genügt dem Zielbenutzer, die Nachricht in OWA zu visualisieren oder zu interagieren. Obwohl Microsoft einen hohen CVSS (8.1) zugeordnet hat und den Vorfall als "Exploitation Detected" markiert hat, wurden forensische Details zum Schauspieler, Kampagnen oder Ausmaß der Intrusionen noch nicht veröffentlicht, was die Zuschreibung und den tatsächlichen Umfang des Schadens erschwert.
Es ist wichtig zu betonen, dass Exchange Online ist nicht betroffen aber die lokalen Einrichtungen von Exchange Server 2016, 2019 und Subscription Edition sind auf jeder Ebene des Updates. Microsoft hat eine automatische vorübergehende Minderung durch seinen Exchange Emergency Mitigation Service (EEMS) ermöglicht; Administratoren können die offizielle Dokumentation bei Die EEMS-Seite den Status und die Konfiguration dieses Dienstes zu bestätigen.
Für durch Luft-Gap-Richtlinien isolierte Umgebungen oder nicht in der Lage, automatische Minderung zu verwenden, hat Microsoft das Exchange On-Premises Mitigation Tool (EOMT) veröffentlicht. Der offizielle Kurzlink ist https: / aka.ms / UnifiedEOMT, und die typische Ausführung für die Anwendung der Minderung wäre zum Beispiel zu laufen.\ EOMT.ps1 -CVE "CVE-2026-42897" in einem erhöhten Exchange Management Shell oder verwenden Sie einen Befehl, der über Server mit Get-ExchangeServer läuft, um ihn auf alle anzuwenden.
Darüber hinaus sollten Organisationen davon ausgehen, dass die OWA-Exposition das Risiko erhöht: überprüfen und aktivieren Sie automatische Minderung (EEMS) und bestätigen Sie, dass der entsprechende Windows-Service läuft, oder wenden Sie EOMT an, wenn das Netzwerk getrennt ist. Unterdessen reduzieren Sie die Angriffsfläche, indem Sie den externen Zugriff auf OWA durch Zugriffskontrolllisten, virtuelle private Netzwerke oder einen WAF mit Regeln zur Blockierung von verdächtigen Nutzlasten begrenzen und die Multifaktor-Authentifizierung für den Webzugang soweit möglich zwingen.
Zusätzlich zu den Eindämmungsmassnahmen umfasst es Erkennungs- und Antwortaufgaben: Inspizieren Sie Datensätze von OWA und dem Exchange-Server auf der Suche nach ungewöhnlichem Zugriff, Header oder Parametern, die Skripte enthalten, und verschwenken Sie in Postfächern, die verdächtige E-Mails erhalten könnten. Wenn es einen Verdacht auf Ausbeutung gibt, Beweise bewahren, die betroffenen Server isolieren und das interne Support- und Antwortteam oder Microsoft kontaktieren, um die Untersuchung zu koordinieren.
Die längere Belichtung von On-Premises-Servern ohne Patches oder moderne Minderungen macht diese Art der Schwachstelle zu einem unverhältnismäßigen Einfluss. Als Security-Practice planen Sie die Anwendung des letzten Patches, sobald Microsoft es veröffentlicht, überprüfen Sie die Architektur, um kritische Einheiten in exponierten Diensten zu reduzieren und Notfall-Reaktionsprozesse auf webbasierte und spoofing-basierte Angriffe zu aktualisieren.
Um Informationen zu erhalten und konkrete Anweisungen für die Anwendung von Minderungen und Patches zu erhalten, siehe die offiziellen Microsoft-Quellen und die Sicherheitsantwortdokumentation: EEM und EOMT (Einleitungswerkzeug). Es wird auch empfohlen, Sicherheitsbulletins und Vulnerability Intelligence Feeds für zusätzliche Updates und technische Details zu abonnieren.
Wenn Sie einen betroffenen Exchange-Server verwalten, handeln Sie mit Priorität: angemessene Minderung jetzt anwenden, Angriffsnachweise überwachen und vorbereiten, um den dauerhaften Patch bereitzustellen, sobald er verfügbar ist. Die Koordination zwischen IT-, Sicherheits- und internen Kommunikationsteams ist der Schlüssel, um Risiken zu minimieren und mögliche Kampagnen für seine Nutzer zu beinhalten.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
Mini Shai-Hulud: der Angriff, der die Abhängigkeiten in Massenintrusionsvektoren verwandelte
Zusammenfassung des Vorfalls: GitHub untersucht unbefugten Zugriff auf interne Repositories, nachdem der als TeamPCP bekannte Schauspieler den angeblichen Quellcode und interne ...
Fox Temper präsentiert die Fragilität der digitalen Signatur in der Cloud
Microsofts Offenlegung der Operation von "Malware-signing-as-a-Service" bekannt als Fox Temper ersetzt im Zentrum die kritische Schwachstelle des modernen Software-Ökosystems: Z...
Trapdoor: der Maldumping-Betrieb, der Android-Apps in eine automatische illegale Einkommensfabrik verwandelte
Cybersecurity-Forscher haben eine Operation von Maldumping und mobile Werbebetrug als benannt entdeckt Traptüre, die legitime Android-Anwendungseinrichtungen in eine automatisch...
Von der Warnung bis zur Orchestrierung und IA-Aktion zur Beschleunigung der Reaktion auf Netzvorfälle
IT- und Sicherheitsteams leben eine bekannte Realität: eine ständige Flut von Alarmen von Überwachungsplattformen, Infrastruktursystemen, Identitätsdiensten, Ticketing-Tools und...