Microsoft hat zum 9. Dezember 2025 das "Dezember 2025" Sicherheitsupdate für Exchange Server freigegeben. Das Sicherheitsupdate gilt Exchange Server 2016, Exchange Server 2019, und erstmals für Exchange Server Subscription Edition (SE). Exchange Online-Kunden sind bereits geschützt, die tangiert das Update nicht.
Ich bin über einen Leserhinweis (danke) und nachfolgenden Tweet auf die Veröffentlichung aufmerksam geworden. Microsoft hat dazu den Techcommunity-Artikel Released: December 2025 Exchange Server Security Update veröffentlicht.
Die Security Updates (SUs) sind für die folgenden spezifischen Versionen von Exchange Server verfügbar:
Die SUs vom Dezember 2025 beheben Sicherheitslücken, die Microsoft von Dritten gemeldet und durch interne Prozesse von Microsoft in Exchange Server 2016, Exchange Server 2019, und Exchange Server Subscription Edition (SE) entdeckt wurden. Gemäß dieser Webseite wurden folgende Schwachstellen behoben:
- CVE-2025-64666: Microsoft Exchange Server Elevation of Privilege Vulnerability; CVSS 3.1 Score 7.5, Important; Exploitation Less Likely; Eine unsachgemäße Eingabevalidierung in Microsoft Exchange Server ermöglicht es einem autorisierten Angreifer, seine Berechtigungen über ein Netzwerk zu erweitern.
- CVE-2025-64667: Microsoft Exchange Server Spoofing Vulnerability; CVSS 3.1 Score 5.3; Important; Exploitation Less Likely; Eine fehlerhafte Darstellung wichtiger Informationen in der Benutzeroberfläche (UI) von Microsoft Exchange Server ermöglicht es einem unbefugten Angreifer, Spoofing über ein Netzwerk durchzuführen.
Obwohl Microsoft keine aktiven Exploits bekannt sind, empfiehlt Redmond Kunden, diese Updates sofort zu installieren, um die Exchange-Umgebung zu schützen. Exchange Online-Kunden sind bereits vor den in diesen SUs behobenen Sicherheitslücken geschützt und müssen keine weiteren Maßnahmen ergreifen, außer die Exchange-Server oder Exchange Management Tools-Workstations in ihrer Umgebung zu aktualisieren.
Dieses Update behebt ein Problem, das die Integration zwischen Exchange Server und Skype for Business Server nach Aktivierung der dedizierten Exchange-Hybridanwendung beeinträchtigt. Details finden sich im Support-Beitrag.
Exchange Server 2016 / 2019 aus dem Support gefallen
Die SUs vom Oktober 2025 waren die letzten öffentlich verfügbaren SUs für Exchange Server 2016 und 2019. Ab diesem Zeitpunkt erhalten nur noch Kunden, die sich an ihr Microsoft-Kundenteam gewandt haben, um das Extended Security Update (ESU) für diese Versionen zu erhalten, neue SUs, die Microsoft möglicherweise bis April 2026 für Exchange 2016 und 2019 veröffentlichen wird. Microsoft empfiehlt Nutzern dieser Exchange-Versionen das Upgrade auf Exchange SE.
Maßnahmen und weitere Informationen
Nach der Installation des für den Exchange Server passenden Sicherheitsupdates sollen Administratoren den Health Checker erneut ausführen, um zu überprüfen, ob weitere Maßnahmen erforderlich sind. Treten während oder nach der Installation von Exchange Server Fehler auf, ist das SetupAssist-Skript auszuführen. Der Techcommunity-Artikel Released: December 2025 Exchange Server Security Updates enthält zudem Hinweise, was bei Problemen zu tun ist.
Ähnliche Artikel:
Exchange Server 2019: Keine weiteren CUs mehr in 2023; CU14 und CU15 kommen 2024
Exchange Server 2019: CU15 kommt erst Januar 2025
Microsoft Exchange: Wann kommt CU 15? Und weitere Neuigkeiten
Exchange Server 2016 / 2019 erreichen im Oktober 2025 ihr EOL
Exchange Emergency Mitigation Service nur für aktuelle Systeme
Exchange 2016/2019: Nov. 2024 SU nicht im Microsoft Update Catalog
Exchange 2016/2019: Nov. 2024 SUv2 enthält Bug
Microsoft Exchange Server Nov. Updates Re-Release (27.11.2024)
Microsoft Exchange Server Hybrid durch CVE-2025-53786 gefährdet
Exchange Server Sicherheitsupdates August 2025
Microsoft Security Update Summary (9. Dezember 2025)
Patchday: Windows 10/11 Updates (9. Dezember 2025)
Patchday: Windows Server-Updates (9. Dezember 2025)
MVP: 2013 – 2016
Exchange Online Kunden müssen nicht geschützt werden, die Daten sind ja schon weg.
Auch veröffentlicht MS keine CVEs für M365.
Ist doch egal. Universelle Anmeldetoken, russische Hacker, die man nicht losbekommt, billiges Personal aus China wartet(e) GOV/Mil Tenants. Wer wartet worldwide eigentlich? Die Clans in Birma, RZ Mitarbeiter im Sudan oder doch Russland?
Der ist gut! :-)
any you think keeping self-hosted is any more secure?
aber sowas von!
Vor allem wirft man Cloudanbietern nicht für viel Geld noch die eigenen Daten hinterher. Das ist das größte Problem.
Copilot braucht natürlich Futter, was ist da besser als Millionen Freiwilliger, die ihren Kram hochladen??
Die Datenhoheit ist weg, die Leute verstehen das nicht, vor allem nicht die im Management.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-64666 wurde von der NSA gefunden!
Vermutlich eher so: CVE-2025-64666 wurde von der NSA gern genutzt, jetzt hat es aber auch jemand anderes entdeckt und daher wird diese Lücke verbrannt.
Erfolgreich auf EXCH SE installiert. Probleme wurden keine gemeldet.