In Microsofts Exchange klafft eine Zero-Day-Lücke, die Angreifer bereits missbrauchen. Admins sollten rasch handeln.
, die bereits in freier Wildbahn attackiert wird. Aktualisierte Software ist noch nicht verfügbar. Microsoft bietet jedoch Gegenmaßnahmen an, die Admins so schnell wie möglich umsetzen sollten.
, dass es sich um unzureichende Filterung von Eingaben bei der Generierung von Webseiten handelt, eine Cross-Site-Scripting-Lücke. Dadurch können nicht authentifizierte Angreifer aus dem Netz Spoofing-Angriffe ausführen . Microsoft führt aus, dass Angreifer manipulierte E-Mails an Opfer senden können. Wenn Nutzerinnen oder Nutzer die E-Mail in OWA öffnen und bestimmte, nicht näher erläuterte Interaktionsbedingungen erfüllt sind, wird dann beliebiges JavaScript im Browser ausgeführt.
Betroffen sind Exchange Server 2016, 2019 sowie Exchange Server Subscription Edition jeweils in jedwedem Update-Level. Microsoft stellt jedoch keine Software-Updates zur Verfügung.
Jedoch steht ein automatischer Fix über den Exchange Emergency Mitigation Service zur Verfügung. Wo der Dienst aktiv ist, hat Microsoft die Gegenmaßnahmen bereits angewendet. Der Dienst wird seit September 2021 verteilt und standardmäßig aktiviert. Im Blog-Beitrag zeigt Microsoft zudem eine manuelle Variante.
Die Gegenmaßnahmen zum Eindämmen der Schwachstelle CVE-2026-42897 haben einige Nebenwirkungen, die Admins kennen sollten. Das Drucken von Kalendern in OWA könnte nicht mehr funktionieren. Inline-Bilder werden im Empfänger-Panel nicht mehr korrekt angezeigt. OWA Light könnte nicht mehr ordnungsgemäß funktionieren – das ist jedoch ohnehin Alteisen und „Deprecated“.
Die Gegenmaßnahme zeigt zudem in den Mitigation-Details, dass sie für die vorliegende Exchange-Version ungültig sei – rein kosmetisch, versichern die Redmonder. Sofern „Applied“ als Status angezeigt wird, ist sie wirksam angewendet worden. Das Exchange-Team arbeitet derweil an einem permanenten, ordentlichen Fix. Der soll künftig als Update für Exchange SE RTM, Exchange 2016 CU23 sowie Exchange Server 2019 CU14 und CU15 erscheinen.
Wer Exchange 2016 oder 2019 einsetzt, muss dafür jedoch die zweite Stufe der erweiterten Sicherheitsupdates abonniert haben. Weitere Details zum Emergency-Mitigation-Service liefert
Exploit IT Microsoft Microsoft Exchange Security Spoofing XSS
United States Latest News, United States Headlines
Similar News:You can also read news stories similar to this one that we have collected from other news sources.
Gmail: Problems with Exchange ActiveSync againThe Android Gmail app is causing some users increased heart rates again when fetching Exchange Online emails with Exchange ActiveSync.
Read more »
Ihre wichtigsten Termine: Alle Blicke auf: Fraport, Biontech, Nagarro, Freenet & Intercontinental Exchange© Foto: UnsplashGut geplant in den Tag. Mit dem wO-Tagesausblick haben Sie die wichtigsten Termine im Blick und starten bestens vorbereitet in den neuen Handelstag.Unternehmenstermine 07:00 Uhr, Deutschland:
Read more »
Der Google-Traffic bricht ein — doch KI ersetzt ihn nichtGoogle verliert massiv Anteile am Website-Traffic, doch KI füllt die entstehende Lücke bislang kaum.
Read more »
Gute Nachrichten für WhatsApp-Nutzer, die ihr Android-Handy auch wirklich zum Telefonieren benutzenAndroid schließt eine Lücke zu Apple und macht die Anrufliste endlich wirklich übersichtlich.
Read more »