[English]Microsoft Exchange Server Hybrid-Konfigurationen sind durch die Elevation of Privilege-Schwachstelle Schwachstelle CVE-2025-53786 gefährdet. Über 28.000 Instanzen sind noch ungepatcht. Die US-CISA gibt den Behörden bis Montag, den 11. August 2025 Zeit zum Patchen. Was ist mit Deutschland?
28.000 hybride Exchange-Instanzen angreifbar
Die Shadow Server Foundation hat die Erkennung von Microsoft Exchange Schwachstelle CVE-2025-53786 in Hybrid-Instanzen (versionsbasiert) zu deren täglichen Scans hinzugefügt.
Laut obigem Tweet sind über 28.000 IPs ohne Patch (Stand 07.08.2025) gefunden worden. Am stärksten betroffen sind die USA (7.300), Deutschland (6.500) und Russland (2.500). Vom BSI habe ich bisher noch nichts an Warnungen vernommen.
Darum geht es bei CVE-2025-53786
In einer hybriden Exchange-Umgebung könnte ein Angreifer, der zunächst nur auf einem lokalen Exchange-Server Administratorrechte erlangt, möglicherweise seine Berechtigungen innerhalb der verbundenen Cloud-Umgebung des Unternehmens über die Sicherheitslücke CVE-2025-53786 erweitern.
Und dies ist möglich, ohne leicht erkennbare und überprüfbare Spuren zu hinterlassen. Damit wäre die gesamte Cloud-Instanz von Exchange Online gefährdet. Die Schwachstelle CVE-2025-53786 ermöglicht eine Privilegien-Erhöhung in einer Hybrid-Konfiguration und hat daher einen CVSS 3.1-Score von 8.0 zugewiesen bekommen.
Es gibt Administratoren, die meinen "wenn ich Administratorenrechte auf einem on-premises Exchange Server habe, ist eh alles verloren". Es geht aber um die lateralen Bewegungen in den Exchange Online-Tenants, die über die Schwachstelle ermöglicht werden.
Ich hatte im Beitrag Microsoft Exchange Server Hybrid durch CVE-2025-53786 gefährdet erstmals kurz über den Sachverhalt berichtet. Von Microsoft gibt es seit dem 6. August 2025 den Supportbeitrag Microsoft Exchange Server Hybrid Deployment Elevation of Privilege Vulnerability zum CVE-2025-53786.
Frank Carius hat inzwischen diesen Artikel mit weitergehenden Erklärungen und Einschätzungen sowie Terminen und Implikationen zum Thema bei sich veröffentlicht. Dort ist auch beschrieben, was Administratoren tun müssen. Administratoren sollten den Beitrag unbedingt durchgehen.
Die US-CISA: CVE-2025-53786 bis zum 11.8.2025 patchen
Die US-Cybersicherheitsbehörde CISA warnt in diesem Beitrag (siehe auch nachfolgendem Tweet) vor der Elevation of Privilege-Schwachstelle (CVE-2025-53786) in Exchange Server Hybrid-Konfigurationen.
Die US Sicherheitsbehörde CISA hat inzwischen eine Emergency Directive 25-02 veröffentlicht, in der US-Behörden bis zum Montag, den 11. August 2025, Frist haben, um die Exchange Hybrid-Konfigurationen gegen die Schwachstelle CVE-2025-53786 abzusichern.
MVP: 2013 – 2016
Ein ewiges Thema:
Ungepatchte oder nicht mehr supportete Software und Betriebssysteme und die dann auch noch öffentlich aus dem Internet erreichbar gemacht.
Da müssen sich die Firmen und Organisationen nicht wundern, wenn sich da Cyberkriminelle geradezu eingeladen fühlen.
Microsoft macht es nicht gerade einfach Exchange zu patchen.
Da seh ich schon eine Mitverantwortung.
Im Grunde kann man kleinen Firmen die nicht dauerhaft einen Fachmann für Exchange abstellen wollen nur raten Richtung Office365 zu tendieren – sofern es denn überhaupt Microsoft-Exchange sein muss.
Das BSI hat am Freitag 8. August am Nachmittag das Thema in seinem täglichen Mail-Newsletter als separaten Punkt aufgenommen.
Ich möchte wirklich nicht irgendwelche Probleme kleinreden aber ich verstehe es nach wie vor nicht so recht, vielleicht habe ich zudem auch ein Verständnisproblem was für die Unternehmen "Exchange Hybrid" bedeutet. Meines Wissens ist ein typisches Szenario dass man beginnt einzelne Postfächer weg vom On-Premise in die Cloud zu verschieben.
So hat man dann z. B. 100 Anwender auf dem On Premise Exchange und 5 in Exchange Online.
Wenn nun mein Exchange On Premise mit den 100 Anwendern kompromittiert ist, sind dann die 5 in Exchange Online wirklich mein größtes Problem?
Wirklich – mir geht es nur ums Verständnis, ich möchte keinen "Streit" beginnen.
Du musst es anders sehen.
Manche sind vllt. mit viel mehr oder ausschließlich in der Cloud und haben Ggf. nur noch einen Exchange OnPrem für SMTP-Routing oder Empfängermanagement.
Also umgekehrt wie bei dir, vllt. 99% in der Cloud und nur 1% OnPrem.
Dann würde bei einem lokalen Incident, deine Cloud Umgebung fallen.
Das Problem ist wohl auch, dass so eine Ausnutzung schwer zu erkennen ist.
Zitat CISA:
„Although exploitation of this vulnerability is only possible after an attacker establishes administrative access on the on-premises Exchange server, CISA is deeply concerned at the ease with which a threat actor could escalate privileges and gain significant control of a victim's M365 Exchange Online environment."
Das verstehe ich natürlich wenn sozusagen bei einem Unternehmen "die Musik in Exchange Online spielt" und die On Prem nur noch notwendiges Anhägsel ist.
> habe ich zudem auch ein Verständnisproblem was für die Unternehmen "Exchange Hybrid" bedeutet. <
Da schreibt der Blog-Betreiber einen faktenreich gespickten Artikel mit zahlreichen einschlägigen Verlinkungen einschliesslich einer Carius-Quelle – und dann kommen solche Anmerkungen. Da fühlste Dich doch echt um Lebenszeit betrogen.
Wie meinst Du das? Es ging mir vorrangig darum zum Ausdruck zu bringen dass Unternehmen Exchange Hybrid Installationen sehr unterschiedlich umsetzen können, aus völlig unterschiedlichen Beweggründen, mal mit der On Premise, mal mit der Hybrid Instanz als das System in welchem sich die Mehrzahl der Konten befindet.
Gestern erledigt, wir patchen immer so zügig wie möglich, egal wie wahrscheinlich ein Angriff ist. Hafnium sollte eine Warnung gewesen sein.
Gestern?
Ein Patch vom April?
Seriously?!
Ich hab Exchange 2016 hybrid gesehen, die liefen am Freitag noch mit dem CU23Apr24HU. Es ist alles machbar, wenn die Prioritäten falsch gesetzt sind.
Im April hieß es noch, das der Patch nicht sicherheitsrelevant sei.
Und da kann man sich schon einmal etwas Zeit lassen, so etwas einzuspielen.
Und der Patch ist ja auch nur relevant, wenn man eine Hybridkonfiguration hat. Mit OnPrem only hat der Patch keine Relevanz.
Dort heißt es:
"The April 2025 HUs do not contain any new Exchange Server security updates but contain fixes for non-security issues."
https://techcommunity.microsoft.com/blog/exchange/released-april-2025-exchange-server-hotfix-updates/4402471
Und beim Mai-Update das Gleiche:
"The May 2025 HUs do not contain any new Exchange Server security updates but contain fixes for non-security issues."
https://techcommunity.microsoft.com/blog/exchange/released-may-2025-exchange-server-hotfix-updates/4418786
Und danach gabs keine Updates für Exchange.
Ich meinte die App… Der Rest ist schon am Tag danach erledigt worden.
Bahnhof? Welche App?
(Vermutlich die DB App? ;) )
Achso die Exchange Hybrid App, jetzt weiß ich was du meinst, sorry
Keine Ahnung wo du hier geistig unterwegs bist, aber die Sicherheitslücke wurde am 6. August bekanntgegeben und veröffentlicht, der User hat 2 Tage später gepatched. Da kann man beim besten Willen nicht meckern.
Released: August 2025 Exchange Server Security Updates
https://techcommunity.microsoft.com/blog/exchange/released-august-2025-exchange-server-security-updates/4441596