Exchange Server Sicherheitsupdates Dezember 2025

Veröffentlicht am 10. Dezember 2025 von Günter Born

Exchange LogoMicrosoft hat zum 9. Dezember 2025 das "Dezember 2025" Sicherheitsupdate für Exchange Server freigegeben. Das Sicherheitsupdate gilt Exchange Server 2016, Exchange Server 2019, und erstmals für Exchange Server Subscription Edition (SE). Exchange Online-Kunden sind bereits geschützt, die tangiert das Update nicht.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

Ich bin über einen Leserhinweis (danke) und nachfolgenden Tweet auf die Veröffentlichung aufmerksam geworden. Microsoft hat dazu den Techcommunity-Artikel Released: December 2025 Exchange Server Security Update veröffentlicht.

Die Security Updates (SUs) sind für die folgenden spezifischen Versionen von Exchange Server verfügbar:

  • Exchange SE RTM
  • Exchange Server 2019 (nur noch per ESU)
  • Exchange Server 2016 (nur noch per ESU)

Die SUs vom Dezember 2025 beheben Sicherheitslücken, die Microsoft von Dritten gemeldet und durch interne Prozesse von Microsoft in Exchange Server 2016, Exchange Server 2019, und Exchange Server Subscription Edition (SE) entdeckt wurden. Gemäß dieser Webseite wurden folgende Schwachstellen behoben:

  • CVE-2025-64666: Microsoft Exchange Server Elevation of Privilege Vulnerability; CVSS 3.1 Score 7.5, Important; Exploitation Less Likely; Eine unsachgemäße Eingabevalidierung in Microsoft Exchange Server ermöglicht es einem autorisierten Angreifer, seine Berechtigungen über ein Netzwerk zu erweitern.
  • CVE-2025-64667: Microsoft Exchange Server Spoofing Vulnerability; CVSS 3.1 Score 5.3; Important; Exploitation Less Likely; Eine fehlerhafte Darstellung wichtiger Informationen in der Benutzeroberfläche (UI) von Microsoft Exchange Server ermöglicht es einem unbefugten Angreifer, Spoofing über ein Netzwerk durchzuführen.

Obwohl Microsoft keine aktiven Exploits bekannt sind, empfiehlt Redmond Kunden, diese Updates sofort zu installieren, um die Exchange-Umgebung zu schützen. Exchange Online-Kunden sind bereits vor den in diesen SUs behobenen Sicherheitslücken geschützt und müssen keine weiteren Maßnahmen ergreifen, außer die Exchange-Server oder Exchange Management Tools-Workstations in ihrer Umgebung zu aktualisieren.

Dieses Update behebt ein Problem, das die Integration zwischen Exchange Server und Skype for Business Server nach Aktivierung der dedizierten Exchange-Hybridanwendung beeinträchtigt. Details finden sich im Support-Beitrag.

Exchange Server 2016 / 2019 aus dem Support gefallen

Die SUs vom Oktober 2025 waren die letzten öffentlich verfügbaren SUs für Exchange Server 2016 und 2019. Ab diesem Zeitpunkt erhalten nur noch Kunden, die sich an ihr Microsoft-Kundenteam gewandt haben, um das Extended Security Update (ESU) für diese Versionen zu erhalten, neue SUs, die Microsoft möglicherweise bis April 2026 für Exchange 2016 und 2019 veröffentlichen wird. Microsoft empfiehlt Nutzern dieser Exchange-Versionen das Upgrade auf Exchange SE.

Maßnahmen und weitere Informationen

Nach der Installation des für den Exchange Server passenden Sicherheitsupdates sollen Administratoren den Health Checker erneut ausführen, um zu überprüfen, ob weitere Maßnahmen erforderlich sind. Treten während oder nach der Installation von Exchange Server Fehler auf, ist das SetupAssist-Skript auszuführen. Der Techcommunity-Artikel Released: December 2025 Exchange Server Security Updates enthält zudem Hinweise, was bei Problemen zu tun ist.

Ähnliche Artikel:
Exchange Server 2019: Keine weiteren CUs mehr in 2023; CU14 und CU15 kommen 2024
Exchange Server 2019: CU15 kommt erst Januar 2025
Microsoft Exchange: Wann kommt CU 15? Und weitere Neuigkeiten
Exchange Server 2016 / 2019 erreichen im Oktober 2025 ihr EOL
Exchange Emergency Mitigation Service nur für aktuelle Systeme
Exchange 2016/2019: Nov. 2024 SU nicht im Microsoft Update Catalog
Exchange 2016/2019: Nov. 2024 SUv2 enthält Bug
Microsoft Exchange Server Nov. Updates Re-Release (27.11.2024)
Microsoft Exchange Server Hybrid durch CVE-2025-53786 gefährdet
Exchange Server Sicherheitsupdates August 2025

Microsoft Security Update Summary (9. Dezember 2025)
Patchday: Windows 10/11 Updates (9. Dezember 2025)
Patchday: Windows Server-Updates (9. Dezember 2025)

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Exchange Server Sicherheitsupdates Dezember 2025

  1. Martin B sagt:
    10. Dezember 2025 um 15:30 Uhr

    Exchange Online Kunden müssen nicht geschützt werden, die Daten sind ja schon weg.

    Auch veröffentlicht MS keine CVEs für M365.

    Ist doch egal. Universelle Anmeldetoken, russische Hacker, die man nicht losbekommt, billiges Personal aus China wartet(e) GOV/Mil Tenants. Wer wartet worldwide eigentlich? Die Clans in Birma, RZ Mitarbeiter im Sudan oder doch Russland?

    Antworten
  2. luckeid sagt:
    10. Dezember 2025 um 16:07 Uhr

    any you think keeping self-hosted is any more secure?

    Antworten
    • Martin B sagt:
      10. Dezember 2025 um 16:26 Uhr

      aber sowas von!

      Vor allem wirft man Cloudanbietern nicht für viel Geld noch die eigenen Daten hinterher. Das ist das größte Problem.

      Copilot braucht natürlich Futter, was ist da besser als Millionen Freiwilliger, die ihren Kram hochladen??

      Die Datenhoheit ist weg, die Leute verstehen das nicht, vor allem nicht die im Management.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.