[English]Microsoft hat zum 12. August 2025 das "August 2025" Sicherheitsupdate für Exchange Server freigegeben. Das Sicherheitsupdate gilt Exchange Server 2016, Exchange Server 2019, und erstmals für Exchange Server Subscription Edition (SE). Exchange Online-Kunden sind bereits geschützt, die tangiert das Update nicht.
Ich bin über diesen Kommentar (danke an den Leser für den Hinweis) und nachfolgenden Tweet auf die Veröffentlichung aufmerksam geworden. Microsoft hat dazu den Techcommunity-Artikel Released: August 2025 Exchange Server Security Updates veröffentlicht.
Die Security Updates (SUs) sind für die folgenden spezifischen Versionen von Exchange Server verfügbar:
Die SUs vom August 2025 beheben Sicherheitslücken, die Microsoft von Dritten gemeldet und durch interne Prozesse von Microsoft in Exchange Server 2016, Exchange Server 2019, und erstmals für Exchange Server Subscription Edition (SE) entdeckt wurden. Gemäß dieser Webseite wurden folgende Schwachstellen behoben:
- CVE-2025-25005: Tampering Vulnerability; CVSS 3.1 Score 6.5
- CVE-2025-25006: Spoofing Vulnerability; CVSS 3.1 Score 5.3
- CVE-2025-25007: Spoofing Vulnerability; CVSS 3.1 Score 5.3
- CVE-2025-33051: Information Disclosure Vulnerability; CVSS 3.1 Score 7.5
Microsoft stuft die Ausnutzbarkeit als wenig wahrscheinlich ein. Obwohl Microsoft keine aktiven Exploits bekannt sind, empfiehlt Redmond Kunden, diese Updates sofort zu installieren, um die Exchange-Umgebung zu schützen.
Exchange Server AMSI-Body-Scanning aktiviert
Ab dem Exchange Server November 2024 Security Update (SU) (siehe Exchange Server November 2024 Security Update (SU)) wurde die AMSI-Integration durch Microsoft um neue Funktionen zum Scannen des "HTTP-Nachrichtentextes" erweitert. Diese Funktion wird standardmäßig, beginnend mit der Installation des Exchange Server Security Updates vom August 2025, für alle Protokolle aktiviert.
Sofern Administratoren nach der Installation des SU vom August 2025 eine verminderte Leistung feststellen, lässt sich die AMSI-Body-Scan-Funktion deaktivieren (siehe Exchange Server AMSI integration documentation).
Maßnahmen und weitere Informationen
Nach der Installation des für den Exchange Server passenden Sicherheitsupdates sollen Administratoren den Health Checker erneut ausführen, um zu überprüfen, ob weitere Maßnahmen erforderlich sind. Treten während oder nach der Installation von Exchange Server Fehler auf, ist das SetupAssist-Skript auszuführen. Der Techcommunity-Artikel Released: August 2025 Exchange Server Security Updates enthält zudem Hinweise, was bei Problemen zu tun ist.
Das August 2025 Sicherheitsupdates enthält auch Fixes für die Schwachstelle CVE-2025-53786 (siehe Microsoft Exchange Server Hybrid durch CVE-2025-53786 gefährdet).
Ähnliche Artikel:
Exchange Server 2019: Keine weiteren CUs mehr in 2023; CU14 und CU15 kommen 2024
Exchange Server 2019: CU15 kommt erst Januar 2025
Microsoft Exchange: Wann kommt CU 15? Und weitere Neuigkeiten
Exchange Server 2016 / 2019 erreichen im Oktober 2025 ihr EOL
Exchange Emergency Mitigation Service nur für aktuelle Systeme
Exchange 2016/2019: Nov. 2024 SU nicht im Microsoft Update Catalog
Exchange 2016/2019: Nov. 2024 SUv2 enthält Bug
Microsoft Exchange Server Nov. Updates Re-Release (27.11.2024)
Microsoft Exchange Server Hybrid durch CVE-2025-53786 gefährdet
Über 28.000 ungepatchte hybride Exchange-Instanzen (CVE-2025-53786) online
MVP: 2013 – 2016
im WSUS muss man für die "Exchange SE" Updates eine neue Kategorie freischalten.
Die heißt unsinnigerweise "Exchange 2025" ;)
Danke für den Tipp! Wir haben noch(!) keinen Exchange SE….
Kommt aber. Lizenzen noch zum alten Kurs mit SA besorgt.
Ich denke nicht das dir die Software Assurance dort hilft, bzw. überhaupt greift du benötigst ja für die Subcriber Edidtion eine gültige Subscription (Abonement). Microsoft hat sich ja etwas bei diesem Schritt gedacht und zwar mehr Umsatz zu generieren.
Gruß
Christoph
Doch tut es. Lizenzen plus SA reicht vollkommen.
Danke für den Hinweis!
Kann man auch sein lassen, denn bei Exchange ist es Best Practice, die Updates aus dem Update Katalog herunterzuladen und manuell zu installieren.
Beim Update über WSUS oder Micrsoft Update kommt es immer mal wieder zu Fehlern im Exchange.
Also bei mir wurde zwar angeblich erfolghreich installiert (aktueller Exch 2016), aber danach konnte kein Client den Server erreichen.
Deinstallation läuft…
Das Problem war nicht in der Installation zu suchen. Aus irgendeinem Grunde wurde im Verlauf der Installation die Bindung zum Zertifikat im IIS zerstört.
ALso im IIS unter der Site des Exchange bei Bindungen bei Port 444 das Zertifikat wieder einhängen. Kleine Ursache, große Wirkung.
Habe ich von dem ein oder anderen Admin schon gehört, dass das bei Update passieren kann.
Ich kannte das nocht nicht.
Blutdrucksteigernd ist es auch noch, dass die Adminwebkonsole dann auch nicht mehr will…
Moin,
hatten wir tatsächlich aber auch schon das ein oder andere mal gehabt. Das mit dem Blutdrucksteigernd kann ich komplett nachvollziehen in solchen Momenten. :D Leider heißt es häufig nach Microsoft Updates ruhe bewahren und Ereignislog checken. Auch wenn ich wünschen würde dass es nicht so wäre…
Also hier Server 2016 mit August Updates (Windows incl. Exchange-Updates) per Windows-Update installiert. Keine Probleme, alles bestens.
Bei mir hat es bei der Installation alle Exchange und iis Services deaktiviert und danach nicht mehr aktiviert. Bis auf OWA und ECP war es einfach, für die beiden hatte ich dann auch Spass mit Zertifikat und wie gesagt einigen weiteren Diensten. vor allem wenn man sich vorher nicht gemerkt hat welche liefen und welche nicht…
Update lief ohne Probleme auf EXCH SE RTM durch. Konnte bisher keine Probleme feststellen. OWA und Outlook geht.
Bei uns lief das Update bei Exchange 2016 auf Server 2016 leider nicht durch. Mit Fehler abgebrochen. Danach natürlich alle Dienste deaktiviert. Hat noch jemand Probleme?