heise PlusAbo
Anzeige
Alert!

Jetzt absichern! Microsoft Exchange ist im hybriden Betrieb verwundbar

Admins, die Exchange in einer Hybridbereitstellung betreiben, sollten ihre Instanzen nach einer Anleitung von Microsoft vor möglichen Attacken schützen.

vorlesen Druckansicht 17 Kommentare lesen
Stark verzerrtes Bild eines Fingers auf einer Tastatur, im Vordergrund ein digitales Ausrufezeichen

(Bild: janews/Shutterstock.com)

Update
Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Wenn Unternehmen Microsoft Exchange hybrid lokal und online nutzen, können Angreifer unter bestimmten Voraussetzungen an einer Sicherheitslücke ansetzen und sich in Exchange Online höhere Rechte verschaffen, um dort Unheil zu stiften. Bislang gibt es keine Berichte zu bereits laufenden Angriffen, Admins sollten gleichwohl Gegenmaßnahmen ergreifen.

Dazu rät nicht nur Microsoft in einer Warnmeldung, sondern auch die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) in einem Beitrag. Die Schwachstelle (CVE-2025-53786) ist mit dem Bedrohungsgrad "hoch" eingestuft.

Davon sind Microsoft zufolge ausschließlich hybride Exchange-Instanzen bedroht. Damit Angreifer überhaupt eine Attacke einleiten können, benötigen sie administrativen Zugriff auf einen lokalen Exchange-Server. Ist das gegeben, können sie der Beschreibung der Lücke zufolge mit erweiterten Rechten auf Exchange Online zugreifen, ohne nennenswerte Spuren zu hinterlassen.

Um die Angriffsgefahr in diesem Kontext einzudämmen, müssen Admins einen im April 2025 veröffentlichten Hotfix auf ihrem lokalen Exchange-Server installieren. Im Anschluss sollten sie die Sicherheitstipps für den hybriden Betrieb befolgen. Weiterführende Informationen zum sichereren hybriden Betrieb führt Microsoft in einem Beitrag aus. Abschließend ist es noch notwendig, die keyCredentials des Erstanbieterdienstprinzipals zu bereinigen.

Videos by heise

Weiterhin weist die CISA darauf hin, dass Admins dringend prĂĽfen mĂĽssen, ob in Unternehmen nicht mehr im Support befindliche Exchange-Versionen und somit verwundbare Instanzen laufen, die aus dem Internet erreichbar sind. FĂĽr Exchange 2016 und 2019 ist das etwa ab 14. Oktober 2025 der Fall. Diese Versionen bekommen ab dann keine Sicherheitsupdates mehr und mĂĽssen aus SicherheitsgrĂĽnden umgehend vom Internet getrennt werden.

Update

Passenderes Beispiel für Supportende im Fließtext erwähnt.

Update

Mittlerweile hat die CISA angeordnet, dass US-Behörden die Schwachstelle über das Wochenende schließen müssen. Sie betonen, dass es aktuell noch keine Hinweise auf laufende Attacken gibt. Im Regierungsumfeld können Angriffe weitreichende Folgen haben.

(des)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten