Microsoft Exchange steht aktuell im Fokus von Angreifern. Eine Zero-Day-Lücke wird bereits aktiv ausgenutzt, ein reguläres Update liegt noch nicht vor. Für IT-Teams zählt jetzt schnelles Handeln, denn betroffene Systeme stehen weiter im Netz und reagieren auf manipulierte E-Mails.
Worum es bei der Lücke geht
Die Schwachstelle liegt in der Verarbeitung von Eingaben bei der Erstellung von Webseiten. Es handelt sich um eine Cross-Site-Scripting-Lücke. Angreifer können damit ohne Anmeldung Spoofing-Angriffe ausführen. Im Kern führt eine präparierte Nachricht dazu, dass schädliches JavaScript im Browser startet.
Welche Exchange-Versionen betroffen sind
Betroffen sind Exchange Server 2016, Exchange Server 2019 und Exchange Server Subscription Edition. Nach aktuellem Stand spielt das Update-Level keine Rolle. Wer diese Systeme betreibt, sollte den Zustand sofort prüfen und die Schutzmaßnahmen anstoßen.
Wie der Angriff abläuft
Das Angriffsszenario zielt vor allem auf Outlook Web Access. Ein Opfer öffnet eine manipulierte E-Mail in OWA und erfüllt bestimmte Interaktionsschritte. Danach läuft Code im Browser des Nutzers. Das reicht aus, um Sitzungen zu manipulieren oder Daten abzugreifen, je nach Umgebung und Rechten.
Welche Sofortmaßnahmen jetzt greifen
Microsoft stellt noch keinen regulären Patch bereit. Stattdessen steht der Exchange Emergency Mitigation Service bereit. In vielen Umgebungen hat dieser Dienst die Abwehr bereits automatisch gesetzt. Er ist seit September 2021 verfügbar und standardmäßig aktiv, sofern er eingerichtet ist.
Wer den Dienst nicht aktiv hat, sollte die manuelle Gegenmaßnahme ausführen. Das senkt das Risiko bis zur Bereitstellung des endgültigen Updates. Aus unserer Erfahrung gilt hier: Jede Stunde zählt, wenn ein System bereits öffentlich angegriffen wird.
Diese Nebenwirkungen sollten Sie kennen
Die Schutzmaßnahme kann einzelne OWA-Funktionen einschränken. Der Druck von Kalendern funktioniert womöglich nicht mehr. Inline-Bilder im Empfängerbereich werden teils nicht korrekt angezeigt. OWA Light kann ebenfalls Probleme machen, ist aber ohnehin nur noch für Altumgebungen relevant.
In den Mitigation-Details kann die Kennzeichnung für die aktuelle Exchange-Version als ungültig erscheinen. Das ist nur ein Anzeigeeffekt. Wenn der Status auf „Applied“ steht, ist die Gegenmaßnahme aktiv.
Was für den dauerhaften Fix geplant ist
Microsoft arbeitet an einer dauerhaften Korrektur für Exchange SE RTM, Exchange 2016 CU23 und Exchange 2019 CU14 sowie CU15. Für Exchange 2016 und 2019 gilt dabei eine klare Bedingung: Die zweite Stufe der erweiterten Sicherheitsupdates muss gebucht sein.
Für den Betrieb heißt das, dass ältere Exchange-Installationen jetzt besonders genau beobachtet werden sollten. Wer OWA produktiv einsetzt, sollte Protokolle prüfen, den Schutzstatus kontrollieren und verdächtige Anmeldungen sofort untersuchen.
Was IT-Verantwortliche jetzt tun sollten
Wir empfehlen eine kurze und klare Reihenfolge. Prüfen Sie zuerst, ob der Emergency Mitigation Service aktiv ist. Kontrollieren Sie dann, ob die Maßnahme auf den Servern angekommen ist. Danach sollten Sie OWA-Zugriffe, Mailverkehr und Authentifizierungsprotokolle auf Auffälligkeiten prüfen.
Wenn Exchange extern erreichbar ist, gehört die Überwachung von Sitzungen und Fehlermeldungen in den nächsten Tagen zur Pflicht. Ein Angriff auf OWA betrifft nicht nur einzelne Postfächer. Er kann den Einstieg in weitere Systeme öffnen, wenn Angreifer Zugangsdaten oder Sitzungsdaten abgreifen.
Wer Exchange betreibt, braucht jetzt einen sauberen Blick auf den Schutzstatus. Die Lücke ist bekannt, die Angriffe laufen bereits, und der endgültige Patch steht noch aus. Mit schnellen Mitigations und enger Kontrolle lässt sich das Risiko deutlich senken.
