Microsoft veröffentlicht Leitlinien zu einer schwerwiegenden Sicherheitslücke (CVE-2025-53786) in hybriden Exchange-Bereitstellungen

Update (12.08.2025): Die CISA hat diese Warnmeldung aktualisiert, um Klarstellungen zur Identifizierung von Exchange-Servern in Unternehmensnetzwerken zu geben, und weitere Leitlinien zur Ausführung des Microsoft Exchange Health Checkers bereitgestellt.

Update (07.08.2025): Die CISA hat als Reaktion auf CVE-2025-53786 die Notfallrichtlinie (ED) 25-02: Mitigate Microsoft Exchange Vulnerability herausgegeben.

CISA ist eine neu bekannt gewordene Schwachstelle mit hohem Schweregrad bekannt, CVE-2025-53786, die es einem Cyber-Angreifer mit Administratorrechten auf einem lokalen Microsoft Exchange-Server ermöglicht, durch Ausnutzen einer Schwachstelle in hybriden Konfigurationen seine Rechte zu erweitern. Diese Schwachstelle kann, wenn sie nicht behoben wird, die Identitätsintegrität des Exchange Online-Dienstes eines Unternehmens beeinträchtigen.

Obwohl Microsoft erklärt hat, dass zum Zeitpunkt der Veröffentlichung dieser Warnung keine Ausnutzung beobachtet wurde, fordert die CISA Unternehmen dringend auf, die unten aufgeführten Microsoft-Richtlinien zu Exchange Server Hybrid Deployment Elevation of Privilege Vulnerability zu implementieren, da sonst die Gefahr besteht, dass das Unternehmen durch eine hybride Cloud und lokale Domänenkompromittierung gefährdet wird.

1. Unternehmen sollten zunächst alle Exchange Server in ihren Netzwerken inventarisieren (dazu sollten sie vorhandene Transparenztools oder öffentlich verfügbare Tools wie NMAP oder PowerShell-Skripte verwenden).
2. Wenn Sie Exchange Hybrid verwenden, lesen Sie die Microsoft-Anleitung „Exchange Server Security Changes for Hybrid Deployments“, um festzustellen, ob Ihre Microsoft-Hybridbereitstellungen potenziell betroffen sind und ein kumulatives Update (CU) verfügbar ist.
3. Installieren Sie die April 2025 Exchange Server Hotfix Updates von Microsoft auf dem lokalen Exchange-Server und befolgen Sie die Konfigurationsanweisungen von Microsoft Bereitstellen einer dedizierten Exchange-Hybrid-App.
4. Unternehmen, die Exchange Hybrid verwenden (oder Exchange Hybrid zuvor konfiguriert haben, aber nicht mehr verwenden), sollten den Service Principal Clean-Up Mode von Microsoft lesen, um Anweisungen zum Zurücksetzen der keyCredentialsdes Dienstprinzipals zu erhalten.
5. Führen Sie anschließend den Microsoft Exchange Health Checker mit den entsprechenden Berechtigungen aus, um den CU-Stand jedes identifizierten Exchange Servers zu ermitteln und festzustellen, ob weitere Schritte erforderlich sind.

CISA empfiehlt Unternehmen dringend, öffentlich zugängliche Versionen von Exchange Server oder SharePoint Server, die das Ende ihrer Lebensdauer (EOL) oder den Ende des Supports erreicht haben, vom Internet zu trennen. Beispielsweise sind SharePoint Server 2013 und frühere Versionen EOL und sollten nicht mehr verwendet werden, wenn sie noch im Einsatz sind.

Unternehmen sollten den Microsoft-Blog Dedicated Hybrid App: temporary enforcements, new HCW and possible hybrid functionality disruptions (Dedizierte Hybrid-App: vorübergehende Durchsetzungsmaßnahmen, neue HCW und mögliche Störungen der Hybridfunktionalität) auf weitere Anweisungen überprüfen, sobald diese verfügbar sind.

CVE-2025-53786

CWE-287: CWE-287: Improper Authentication

msrc.microsoft.com: Microsoft Exchange Server Hybrid Deployment Elevation of Privilege Vulnerability