Jetzt absichern! Microsoft Exchange ist im hybriden Betrieb verwundbar

Wenn Unternehmen Microsoft Exchange hybrid lokal und online nutzen, können Angreifer unter bestimmten Voraussetzungen an einer Sicherheitslücke ansetzen und sich in Exchange Online höhere Rechte verschaffen, um dort Unheil zu stiften. Bislang gibt es keine Berichte zu bereits laufenden Angriffen, Admins sollten gleichwohl Gegenmaßnahmen ergreifen.

Hintergründe

Dazu rät nicht nur Microsoft in einer Warnmeldung, sondern auch die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) in einem Beitrag. Die Schwachstelle (CVE-2025-53786) ist mit dem Bedrohungsgrad „hoch“ eingestuft.

Davon sind Microsoft zufolge ausschließlich hybride Exchange-Instanzen bedroht. Damit Angreifer überhaupt eine Attacke einleiten können, benötigen sie administrativen Zugriff auf einen lokalen Exchange-Server. Ist das gegeben, können sie der Beschreibung der Lücke zufolge mit erweiterten Rechten auf Exchange Online zugreifen, ohne nennenswerte Spuren zu hinterlassen.

Gegenmaßnahme

Um die Angriffsgefahr in diesem Kontext einzudämmen, müssen Admins einen im April 2025 veröffentlichten Hotfix auf ihrem lokalen Exchange-Server installieren. Im Anschluss sollten sie die Sicherheitstipps für den hybriden Betrieb befolgen. Weiterführende Informationen zum sichereren hybriden Betrieb führt Microsoft in einem Beitrag aus. Abschließend ist es noch notwendig, die keyCredentials des Erstanbieterdienstprinzipals zu bereinigen.

Weiterhin weist die CISA darauf hin, dass Admins dringend prüfen müssen, ob in Unternehmen nicht mehr im Support befindliche Exchange-Versionen und somit verwundbare Instanzen laufen, die aus dem Internet erreichbar sind. Ausgaben wie SharePoint Server 2013 und frühere Versionen bekommen nämlich keine Sicherheitsupdates mehr und müssen aus Sicherheitsgründen umgehend vom Internet getrennt werden.

(des)