CISA erlässt Notfallrichtlinie zu Microsoft-Exchange-Sicherheitslücke

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat mit der Emergency Directive (ED) 25-02 auf eine kritische Schwachstelle in hybriden Microsoft-Exchange-Umgebungen reagiert. Die Lücke, bekannt als CVE-2025-53786, betrifft insbesondere Organisationen, die Microsoft Exchange sowohl lokal als auch in der Cloud betreiben.

Betroffene Bundesbehörden der zivilen Exekutive (FCEB) sind verpflichtet, die von CISA vorgegebenen Sicherheitsmaßnahmen bis spätestens Montag, 11. August 2025, 9:00 Uhr EDT umzusetzen.

Die Behörde warnt, dass ungepatchte Systeme ein erhebliches Risiko darstellen. Besonders gefährdet seien Organisationen, die die im April 2025 veröffentlichten Sicherheitsupdates bislang nicht eingespielt haben.

Hintergrund

CISA ist eine Schwachstelle nach der Authentifizierung (CVE-2025-53786) in hybriden Microsoft Exchange-Konfigurationen bekannt, die es einem Angreifer ermöglicht, sich lateral von der lokalen Exchange-Umgebung in die M365-Cloud-Umgebung zu bewegen. Diese Schwachstelle stellt ein ernstes Risiko für alle Organisationen dar, die Microsoft Exchange-Hybridkonfigurationen betreiben und die Patch-Richtlinien vom April 2025 noch nicht befolgt haben. Obwohl die Ausnutzung dieser Schwachstelle nur möglich ist, nachdem ein Angreifer Administratorrechte auf dem lokalen Exchange-Server erlangt hat, ist die CISA zutiefst besorgt darüber, wie leicht ein Angreifer seine Berechtigungen erweitern und erhebliche Kontrolle über die M365 Exchange Online-Umgebung eines Opfers erlangen kann.

Erforderliche Maßnahmen

Bis 9:00 Uhr EDT am Montag, 11. August 2025 müssen ALLE Behörden Folgendes tun:

1. Bewerten Sie die aktuelle Microsoft Exchange-Umgebung
   1. Führen Sie das von Microsoft bereitgestellte Exchange Server Health Checker-Skript aus, um alle Exchange-Server zu inventarisieren.
   2. Den aktuellen Stand der kumulativen Updates ermitteln (z. B. CU14, CU15 für Exchange 2019; CU23 für Exchange 2016).
   3. Feststellen, ob die Server für die Hotfix-Updates (HUs) vom April 2025 berechtigt sind.
   4. Wenn Ihre Behörde Microsoft Exchange jemals in einer Hybridkonfiguration ausgeführt hat, ist Schritt 5.b unten erforderlich.
2. End-of-Life-Server trennen
   1. Trennen Sie alle Server, die nicht für die Hotfix-Updates (HUs) vom April 2025 in Frage kommen, einschließlich der vom Exchange Server Health Checker-Skript identifizierten Microsoft Exchange-Server, deren Lebensdauer abgelaufen ist.

Für Behörden, die hybride Microsoft Exchange-Umgebungen implementieren, führen Sie die folgenden Aktionen bis Montag, 11. August 2025, 9:00 Uhr EDT für alle lokalen Exchange-Server aus, die nicht in Schritt 2 getrennt wurden:

1. Aktualisieren Sie auf das neueste kumulative Update (CU).
   1. Verwenden Sie den Exchange-Update-Assistenten, um Ihren Upgradepfad zu planen.
   2. Installieren Sie das neueste von Ihrer Umgebung unterstützte CU:
      1. Exchange 2019: CU14 oder CU15
      2. Exchange 2016: CU23
2. Hotfix-Updates (HUs) für April 2025 anwenden, validieren und überwachen
   1. Diese HUs führen die Unterstützung für die dedizierte Exchange-Hybridanwendung in Entra ID ein.
   2. Stellen Sie sicher, dass das Update auf alle hybriden Exchange-Server angewendet wird.
   3. Führen Sie das Health Checker-Skript nach dem Update erneut aus.
   4. Überwachen Sie bekannte Probleme (z. B. das Verhalten von EdgeTransport.exe mit Azure RMS).
   5. Verwenden Sie SetupAssist und Reparaturtools, wenn Installationsprobleme auftreten.
3. Übergang zur dedizierten Exchange-Hybridanwendung
   1. 1. Ersetzen Sie den alten gemeinsam genutzten Dienstprinzipal durch die neue dedizierte Hybridanwendung in Entra ID.

   Führen Sie .\ConfigureExchangeHybridApplication.ps1 aus. -FullyConfigureExchangeHybridApplicationVerwenden Sie ein Konto mit Anwendungsadministratorrechten in Entra ID (andernfalls befolgen Sie die Anweisungen im Blog für die geteilte Konfiguration). Führen Sie die Bereinigung der Anmeldeinformationen durch

   1. 1. Führen Sie .\ConfigureExchangeHybridApplication.ps1
      2. -ResetFirstPartyServicePrincipalKeyCredential
4. Vorbereitung für die Umstellung auf die Microsoft Graph-API
   1. EWS-Aufrufe von Exchange Server an Exchange Online werden nicht mehr unterstützt.
   2. Beginnen Sie mit der Planung für die Umstellung auf die Microsoft Graph-API für Hybridfunktionen.
   3. Diese Änderung wird ab Oktober 2025 durchgesetzt, weitere Aktualisierungen des Graph-Berechtigungsmodells sind bis Oktober 2026 geplant.

Bis Montag, 11. August 2025, 17:00 Uhr EDT müssen ALLE Behörden Folgendes tun:

1. Melden Sie sich bei der CISA unter Verwendung der von der CISA bereitgestellten Vorlage.

Maßnahmen der CISA

1. Die CISA stellt den Behörden eine Vorlage zur Verfügung, die für die Meldung von Maßnahmen der Behörden nach Erlass dieser Richtlinie verwendet wird.
2. Die CISA wird ihre Bemühungen fortsetzen, Fälle und potenzielle Kompromittierungen im Zusammenhang mit dieser Bedrohungsaktivität zu identifizieren, Partner zu benachrichtigen und gegebenenfalls zusätzliche Leitlinien und Anweisungen herauszugeben.
3. Die CISA wird Behörden, die nicht über ausreichende interne Kapazitäten zur Einhaltung dieser Richtlinie verfügen, technische Unterstützung leisten.
4. Bis zum 1. Dezember 2025 wird die CISA dem Minister für innere Sicherheit, dem National Cyber Director, dem Direktor des Office of Management and Budget und dem Federal Chief Information Security Officer einen Bericht vorlegen, in dem der behördenübergreifende Status und noch offene Fragen dargelegt werden.

Gültigkeitsdauer

Diese Notfallrichtlinie bleibt in Kraft, bis die CISA feststellt, dass alle Behörden mit Microsoft Exchange-Hybridumgebungen alle erforderlichen Maßnahmen aus dieser Richtlinie durchgeführt haben oder die Richtlinie durch andere geeignete Maßnahmen aufgehoben wird.

Zusätzliches

Informationen Zusätzlich zu der Anforderung, die vom Exchange Server Health Checker-Skript identifizierten Microsoft Exchange-Server mit abgelaufener Lebensdauer zu trennen, empfiehlt die CISA den Behörden dringend, den „letzten Exchange-Server” zu trennen, der nach der Umstellung einer Behörde auf M365 Exchange verbleibt. Anleitungen zur Außerbetriebnahme von Exchange-Servern – Wie und wann Sie Ihre lokalen Exchange-Server in einer Hybridbereitstellung außer Betrieb nehmen sollten | Microsoft Learn

Weitere lesenswerte Artikel im Überblick

---