Exchange Server OWA Zero-Day:
Zeit, das On-Premises zu verlassen

Was ist passiert

Am 14. Mai 2026 hat Microsoft die CVE-2026-42897 offengelegt, eine XSS-/Spoofing-Schwachstelle, die Outlook Web Access (OWA) in den On-Premises-Versionen Exchange Server 2016, 2019 und Subscription Edition betrifft. Die Schwere wird auf der CVSS-Skala mit 8.1 bewertet. Die Ausnutzung erfolgt über speziell gestaltete E-Mails, wird bereits durch das einfache Rendern der Nachricht in der OWA-Oberfläche ausgelöst und ist in freier Wildbahn aktiv.

Am 18. Mai 2026 hat die CISA (Cybersecurity and Infrastructure Security Agency) die CVE-2026-42897 in ihren Katalog Known Exploited Vulnerabilities (KEV) aufgenommen und US-Bundesbehörden Behebungsfristen auferlegt. Das ist das offizielle Signal, dass die Ausnutzung bereits im Gange ist. Microsoft hat noch keinen endgültigen Patch veröffentlicht: Es ist lediglich ein Mitigation Guide im Tech Community verfügbar.

Wer ist betroffen (und wer nicht)

Verwundbar sind alle On-Premises-Installationen von Exchange Server 2016, 2019 und Subscription Edition. Exchange Online — der in Microsoft 365 enthaltene E-Mail-Dienst — ist nicht betroffen: Für Cloud-Tenants wurden die Schutzmaßnahmen von Microsoft bereits auf Service-Ebene angewendet.

Das Bild ist für viele italienische KMU relevant: Ein Exchange Server on-prem stammt häufig aus früheren Jahren, ist eng mit dem unternehmensweiten Active Directory integriert, wird nur mühsam aktualisiert und bleibt — gerade wegen dieser infrastrukturellen Trägheit — auch dann in Betrieb, wenn der Hersteller nicht mehr dieselbe Servicequalität wie in der Cloud garantiert. Eine Schwachstelle wie CVE-2026-42897 trifft genau diese Szenarien.

Was jetzt zu tun ist

Wenn Ihr Unternehmen noch einen Exchange Server on-prem betreibt, sollten heute folgende Maßnahmen eingeleitet werden:

• 1Microsoft-Mitigation-Guide anwenden— den im Tech Community veröffentlichten Anweisungen für CVE-2026-42897 folgen und prüfen, ob die neuesten Cumulative Updates installiert sind. Die Mitigation ist die Mindestbasis, um das Expositionsfenster zu reduzieren.
• 2OWA-Logs und jüngste Zugriffe prüfen— nach Anomalien bei Webmail-Logins suchen, nach Versuchen, verdächtige Nachrichten zu rendern, und nach unerwartetem Verhalten von Administratorkonten. Eine mögliche Kompromittierung könnte bereits stattgefunden haben.
• 3Anmeldedaten und Secrets privilegierter Konten rotieren— im Zweifelsfall Passwörter und Secrets der Exchange- und Domänen-Administratorkonten ändern, aktive Sitzungen widerrufen und kürzlich erstellte automatische Weiterleitungsregeln überprüfen.
• 4Modernen E-Mail-Schutz vorschalten— die Wahrscheinlichkeit zu reduzieren, dass eine bösartige E-Mail überhaupt den Anwender erreicht, ist die erste Verteidigungslinie: unser Service ATWS Email Security Gateway, zertifiziert nach ACN QC1 (Agenzia per la Cybersicurezza Nazionale, italienische nationale Cybersicherheitsbehörde), filtert Spam, Phishing und gefährliche Payloads, bevor sie ins Unternehmen gelangen.
• 5Migration zu Microsoft 365 planen— die strukturelle Lösung besteht darin, das On-Premises hinter sich zu lassen. Im Folgenden finden Sie den Ansatz von ATWS.

Warum Exchange on-prem heute nicht mehr tragbar ist

Jeder Exchange Server on-premises bedeutet, die gesamte Angriffsfläche selbst zu verantworten: monatliche Updates, Mitigations für Zero-Days wie diese, OWA-Hardening, Log-Monitoring, Zertifikatsverwaltung und Active-Directory-Integrationen. In KMU ohne strukturiertes IT-Team führt diese Arbeit oft zu verspäteten Patches, veralteten Konfigurationen und Diensten, die bekannten Schwachstellen ausgesetzt sind. Die tatsächlichen TCO (Lizenzen, Hardware, Wartung, Personal, Incident Response) übersteigen fast immer die Kosten einer Microsoft 365-Lizenz.

In der Cloud liegt die Verantwortung für die Plattform bei Microsoft: Updates, Schutzmaßnahmen und Schutz der Infrastruktur sind Teil des Dienstes. KMU können sich auf ihre eigene Sicherheitskonfiguration konzentrieren (Conditional Access, MFA, Defender) und müssen nicht jeder CVE-Meldung hinterherlaufen. Genau das verdeutlicht CVE-2026-42897: Wer auf Exchange Online ist, musste nichts tun; wer on-prem ist, muss eilen.

Wie ATWS die Migration zu Microsoft 365 begleitet

AtWorkStudio unterstützt KMU beim Wechsel von Exchange on-prem zu Microsoft 365 mit einem operativen Ansatz. Wir starten mit einem Assessment der aktuellen Umgebung (Anzahl der Postfächer, historische Archive, Mail-Regeln, Anwendungsintegrationen, AD-Abhängigkeiten), definieren die Migrationsstrategie (schneller Cut-over für kleine Szenarien, progressive hybride Migration für komplexe Umgebungen) und begleiten den Kunden bis zur Außerbetriebnahme des On-Premises-Servers. Bei kleinen Migrationen kann der Wechsel an einem einzigen Tag abgeschlossen werden; bei komplexeren Umgebungen wird der Zeitraum in Wochen oder Monaten gemessen und umfasst eine kontrollierte hybride Koexistenzphase.

Auf der Sicherheitsseite ergänzen wir die Migration mit zwei ACN-QC1-zertifizierten Services: ATWS Email Security Gateway für den perimetralen E-Mail-Schutz und ATWS Secure Backup Microsoft 365 für die unabhängige Sicherung von Postfächern, OneDrive und SharePoint — zwei Verteidigungsebenen, die das Microsoft-365-Standard-Tenant nicht enthält. Wir arbeiten seit 2000 aus Piacenza, sind nach ISO/IEC 27001, 27017, 27018 und ISO 9001 zertifiziert, Mitglied von Clusit (Italienischer Verband für Informationssicherheit) und Confindustria Piacenza im RICT-Cluster.