Auf den Punkt: Eine aktiv ausgenutzete XSS-Schwachstelle in Exchange OWA wird für aktuelle Versionen gepatcht, bleibt aber für Exchange 2016/2019 ohne kostenpflichtiges Extended Support nicht behoben.
Eine aktiv ausgenutzete Cross-Site-Scripting-Schwachstelle in Microsoft Exchange OWA ermöglicht Angriffe per E-Mail. Während aktuelle Versionen gepatcht werden, müssen Organisationen mit Exchange 2016 und 2019 für einen Sicherheitsupdate zahlen oder auf Mitigationsmaßnahmen ausweichen.
Eine Sicherheitslücke in der Outlook Web Access (OWA) von Microsoft Exchange ermöglicht Angreifer:innen, bösartige Skripte einzuschleusen, die bei Empfänger:innen ausgeführt werden. Das Sicherheitsteam von Microsoft bestätigte, dass die Schwachstelle bereits im aktiven Einsatz durch Angreifer exploitiert wird und stuft sie als Zero-Day ein.
Das Update wurde für aktuelle Exchange-Versionen bereitgestellt. Für Organisationen, die Exchange Server 2016 oder 2019 betreiben, bietet Microsoft den Patch jedoch nicht automatisch über Standard-Supportwege an. Stattdessen wird ein kostenpflichtiges Extended Support Arrangement erforderlich, um die Behebung zu erhalten. Dies trifft insbesondere Unternehmen, deren Supportverträge auslaufen oder die nicht auf neuere Versionen migriert haben.
Als unmittelbare Gegenmaßnahmen empfiehlt Microsoft, OWA-Zugriff auf notwendige IP-Adressen zu beschränken und strikte Authentifizierungsmechanismen zu verstärken. Die Lücke nutzt einen XSS-Vektor aus, der Angreifer:innen ermöglicht, Session-Tokens zu kapern oder Malware in den E-Mail-Workflow einzuschleusen. CISOs sollten in Kürze prüfen, welche Exchange-Versionen in ihrer Infrastruktur laufen, und die erforderlichen Updates einplanen oder – falls nicht möglich – die empfohlenen Mitigationsmaßnahmen sofort implementieren.
Die Situation verdeutlicht ein verbreitetes Risiko: Viele Organisationen betreiben ältere Exchange-Versionen über ihre Standardsupportphase hinaus. NIS2-Anforderungen zur Verwundbarkeitsmanagement und Incidenz-Bereitschaft machen schnelle Patch-Prozesse zur Pflicht, nicht nur aus Sicherheit, sondern auch aus Compliance-Perspektive.
Quelle: www.golem.de · Erschienen 20. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.