Security Updates für Exchange Server 2016, 2019 & SE / Juni 2026

Hallo Leser, 

heute mal wieder mit einigen Infos zum aktuellen Exchange SU. 

Microsoft hat am 9. Juni 2026 (Patch Tuesday) Sicherheitsupdates für alle aktuell unterstützten Exchange Server Versionen veröffentlicht. Die Updates beheben insgesamt acht CVEs – darunter Schwachstellen für Spoofing, Information Disclosure, Elevation of Privilege und Remote Code Execution. Besondere Aufmerksamkeit verdient CVE-2026-42897, eine XSS-Lücke in OWA, für die bereits seit Mai 2026 eine aktive Mitigation ausgerollt wird.

Betroffene Versionen & KB-Nummern

Die Updates stehen für folgende Versionen bereit:

Wichtig für Exchange 2016 & 2019: Die Updates sind ausschließlich über das Period 2 Extended Security Update (ESU) Programm verfügbar (gültig Mai–Oktober 2026). Nach Oktober 2026 endet jeglicher Microsoft-Support für diese Versionen. Wer noch nicht eingeschrieben ist, sollte die Migration auf Exchange SE priorisieren.

Behobene Sicherheitslücken

Das Update schließt acht Schwachstellen aus folgenden Kategorien:

• Spoofing
• Information Disclosure
• Elevation of Privilege (EoP)
• Remote Code Execution (RCE)

Details zu allen CVEs sind im Microsoft Security Update Guide unter dem Filter „Server Software“ (Exchange SE) bzw. „ESU“ (Exchange 2016/2019) abrufbar. Eine unabhängige Bewertung liefert zudem der Zero Day Initiative Review.

CVE-2026-42897 – XSS in Outlook Web Access

Die kritischste Schwachstelle dieses Updates ist CVE-2026-42897, eine Cross-Site-Scripting-Lücke in OWA. Ein Angreifer kann eine speziell präparierte E-Mail versenden; öffnet das Opfer diese in OWA und erfüllt bestimmte Interaktionsbedingungen, wird beliebiger JavaScript-Code im Browser-Kontext des Nutzers ausgeführt. Exchange Online ist nicht betroffen.

Als Mitigation wurde über den Exchange Emergency Mitigation Service die Mitigation M2.1.x ausgerollt, die Content Security Policy (CSP) Restrictions implementiert. Diese Mitigation ist seit Mai 2026 aktiv und wird durch das Juni 2026 Update nicht automatisch entfernt (Quelle: Microsoft Tech Community).

Bekannte Probleme

OWA-Einschränkungen durch CVE-2026-42897 Mitigation (M2.1.x)

Da die CSP-Mitigation nach der Update-Installation aktiv bleibt, treten weiterhin folgende OWA-Einschränkungen auf (Quelle: Microsoft Tech Community – CVE-2026-42897):

• Kalender drucken funktioniert nicht → Workaround: Screenshot oder Outlook Desktop Client
• Inline-Bilder werden im Lesebereich nicht korrekt dargestellt → Workaround: Bild als Anhang oder Outlook Desktop
• OWA Light (?layout=light) ist nicht funktionsfähig (seit Jahren deprecated)
• OWACalendar.Proxy Healthset zeigt in Monitoring-Systemen einen „Unhealthy“-Status
• Veröffentlichte Kalender geben HTTP 500 zurück
• Internet Explorer / Edge im IE-Modus: CSP wird nicht unterstützt, Mitigation greift hier nicht

Die Einschränkungen lassen sich durch manuelles Entfernen der Mitigation aufheben – über den Exchange Emergency Mitigation Service oder das EOMT-Skript. Microsoft empfiehlt dies jedoch erst nach sorgfältiger Abwägung des Sicherheitsrisikos.

CVE-2026-45583 nicht im Update enthalten

Der Fix für CVE-2026-45583 ist explizit nicht Bestandteil dieses Security Updates. Microsoft verweist auf die separate CVE-Dokumentation im Security Update Guide. Der ZDI Review geht ebenfalls auf diese Lücke ein.

Office Online Server (OOS) Integration

In Umgebungen mit Office Online Server kann die Integration vorübergehend nicht korrekt funktionieren, solange nicht alle Exchange-Server in der Organisation aktualisiert wurden. Bei gestaffelten Rollouts sollte der Zeitraum zwischen erstem und letztem Server daher möglichst kurz gehalten werden (Quelle: Microsoft Tech Community).

Exchange Emergency Mitigation & Feature Flighting

Ab Konfigurationsdateien aus Juli 2026 werden der Exchange Emergency Mitigation Service und der Feature Flighting Service nicht mehr korrekt funktionieren, wenn das System nicht mindestens das Juni 2026 Update installiert hat. Betroffene Systeme erhalten einen „Unknown Issuer“-Fehler. Umgebungen, die auf diese Dienste angewiesen sind, sollten daher priorisiert aktualisiert werden.

Installationsanleitung

Vor der Installation:

• Vollständiges Backup der Exchange-Datenbanken und des Systems erstellen
• Sicherstellen, dass das aktuell unterstützte Cumulative Update installiert ist (SE RTM, 2019 CU14/CU15, 2016 CU23)
• Aktuellen Updatestatus mit dem Exchange Server Health Checker prüfen

Installation für Exchange Server SE (KB5094139):

1. Updatepaket herunterladen
2. Setup als Administrator ausführen
3. Nach Abschluss: Server neu starten
4. Mit dem Health Checker prüfen, ob alle Dienste korrekt gestartet sind

Für Exchange 2016/2019: Download und Installation erfolgen ausschließlich über den ESU-Kanal.

Quellen:
Microsoft Tech Community – Released: June 2026 Exchange Server Security Updates
Microsoft Support – KB5094139 (Exchange SE RTM, Juni 2026)
Microsoft Tech Community – Addressing CVE-2026-42897
Zero Day Initiative – The June 2026 Security Update Review
Sysnative Forums – Microsoft June 2026 Security Updates