(Image: Titima Ongkantong/Shutterstock.com) Eine kritische Zero-Day-Schwachstelle wurde in Microsoft Exchange entdeckt und wird bereits aktiv von Angreifern ausgenutzt. Die Verwalter müssen unverzüglich reagieren. Microsoft hat eine Warnung über eine aktiv ausgenutzte Zero-Day-Schwachstelle in Exchange [1] veröffentlicht. Die neue Software-Version wurde noch nicht veröffentlicht. Microsoft stellt auch Gegenmaßnahmen vor, die die Administratoren unverzüglich anwenden sollten. Gemäß der Schwachstellenbeschreibung [9993] beruht das Problem auf einer unzureichenden Input-Sanitization bei der Generierung von Webseiten, was zu einem Cross-Site Scripting (XSS) -Fehler führt. Nicht authentifizierte Netzwerk-Angreifer können dies ausnutzen, um Spoofing-Angriffe durchzuführen (CVE-2026-42897, CVSS 8.1, Hochrisiko). Microsoft bewertet den Schweregrad jedoch als „kritisch“. In einem Blogbeitrag des Microsoft-Exchange-Teams [242897] wird dieses Problem detailliert erläutert, einschließlich des entsprechenden Angriffsszenarios und der empfohlenen Gegenmaßnahmen.
heise security News