Sicherheitsleck bei hybriden Exchange-Installationen

Bei hybriden Installationen von Exchange Online und der On-Premises-Version wurde ein Sicherheitsleck entdeckt. Microsoft empfiehlt, baldmöglichst einen Hotfix einzuspielen, der die Schwachstelle behebt.

8. August 2025

Microsoft warnt die Kunden vor einer Sicherheitslücke bei hybriden Exchange-Installationen, wie "Bleeping Computer" berichtet. Hybride Exchange-Systeme verbinden On-Prem-Server mit Exchange Online und erlauben so die Bereitstellung von geteilten Kalendern, Adresslisten und Mail-Postfächern. Dabei nutzen beide Systeme denselben Service Principal, eine gemeinsam genutzte Identität zur Identifizierung.

Wie Microsoft nun mitteilt, könnte ein Angreifer, der administrativen Zugang zu einem On-Premises-Exchange-Server erlangt, sich auch Zugriff zur gesamten Cloud-Umgebung verschaffen, ohne dass dabei einfach ersichtliche Spuren hinterlassen werden. Das Leck mit der Kennung CVE-2025-53786 betrifft Exchange 2016 und Exchange 2019 ebenso wie die neue Exchanger Server Subscription Edition.

Systemadministratoren wird empfohlen, einen Hotfix einzuspielen, der bereits im April veröffentlicht wurde. Ausserdem wird geraten, bei nicht mehr benötigten Hybrid-Konfigurationen die Key Credentials des Service Principal zurückzusetzen. (rd)

Microsoft bietet ESU für Skype und Exchange bis April 2026

16. Juli 2025 - Microsoft gewährt Extended Security Updates für Skype for Business Server 2015/2019 und Exchange 2016/2019 bis April 2026, die nur kritische und wichtige Sicherheitslücken abdecken und auf individueller Registrierung bei Microsoft basieren.

Microsoft lanciert Exchange Subscription Edition

6. Juli 2025 - Mit der jetzt vorgestellten Exchange Subscription Edition (SE) wird Exchange 2019 abgelöst, dessen Support im kommenden Oktober endet. Exchange SE wird damit ab Herbst die einzige lokal installierbare Version von Exchange sein.

Artikel kommentieren