[English]Noch ein Hinweis für Administratoren von Microsoft Exchange Server Hybrid-Konfigurationen. Microsoft weist darauf hin, dass diese Konstellationen durch eine Elevation of Privilege-Schwachstelle (CVE-2025-53786) gefährdet seien. Es gibt aber einen Hotfix, um diese Schwachstelle in diesen Hybrid-Konstellationen zu beseitigen und Hinweise, um die Installation abzusichern.
CISA-Warnung vor CVE-2025-53786
Die US-Cybersicherheitsbehörde CISA warnt in diesem Beitrag (siehe auch nachfolgendem Tweet) vor der Elevation of Privilege-Schwachstelle (CVE-2025-53786) in Exchange Server Hybrid-Konfigurationen.
Ergänzung: Nach dem Absetzen des Beitrags hat die CISA eine Emergency Directive 25-02 veröffentlicht, in der US-Behörden bis zum 11. August 2025 Frist haben, um die Exchange Hybrid-Konfigurationen abzusichern.
Microsofts Supportbeitrag
Microsoft hat zum 6. August 2025 den Supportbeitrag Microsoft Exchange Server Hybrid Deployment Elevation of Privilege Vulnerability für CVE-2025-53786 dazu veröffentlicht. Die Schwachstelle CVE-2025-53786 ermöglicht eine Privilegien-Erhöhung in einer Hybrid-Konfiguration und hat einen CVSS 3.1-Score von 8.0 zugewiesen bekommen.
In einer hybriden Exchange-Umgebung könnte ein Angreifer, der zunächst nur auf einem lokalen Exchange-Server Administratorrechte erlangt, möglicherweise seine Berechtigungen innerhalb der verbundenen Cloud-Umgebung des Unternehmens erweitern. Und dies ist möglich, ohne leicht erkennbare und überprüfbare Spuren zu hinterlassen. Damit wäre die gesamte Cloud-Instanz von Exchange Online gefährdet.
Dieses Risiko entsteht, weil Exchange Server und Exchange Online in hybriden Konfigurationen denselben Dienstprinzipal verwenden. Betroffen von CVE-2025-53786 sind sowohl Exchange Server 2016 CU23 als auch Exchange Server 2019 CU14 und CU 15, sowie die zuletzt erschienene Microsoft Exchange Server Subscription Edition RTM.
Microsoft hat bislang noch keine Ausnutzung dieser Schwachstelle in der Praxis beobachtet, stuft die Schwachstelle aber als "Exploitation More Likely" (Ausnutzung eher wahrscheinlich) ein. Denn eine Analyse der CISA hat ergeben, dass ein Exploit-Code entwickelt werden könnte, um diese Schwachstelle konsequent auszunutzen.
Interessant ist, dass Microsoft bereits am 18. April 2025 Sicherheitsänderungen für Exchange Server für Hybridbereitstellungen und einen begleitenden Hotfix ohne Sicherheitsbezug ankündigte. Diese Änderungen wurden zur Verbesserung der Sicherheit von Hybrid-Exchange-Bereitstellungen vorgenommen.
Nach weiteren Untersuchungen identifizierte Microsoft spezifische Auswirkungen in Bezug auf die Sicherheit und wies die CVE-2025-53786 zu.
Microsoft empfiehlt dringend, die Informationen zu lesen, den Hotfix vom April 2025 (oder später) zu installieren und die Änderungen in Ihrem Exchange Server und Ihrer Hybridumgebung zu implementieren.
Administratoren, die für Hybrid-Exchange-Konfigurationen verantwortlich sind, sollten den im Artikel angegeben Hot Fix (oder eine neuere Version) auf ihren lokalen Exchange-Servern installieren. Zudem sind die Konfigurationsanweisungen unter Deploy dedicated Exchange hybrid app zum Bereitstellen einer dedizierten Exchange-Hybrid-App zu befolgen. Weitere Einzelheiten finden sich unter Exchange Server Security Changes for Hybrid Deployments. Stellen Sie nach Abschluss der Schritte sicher, dass Sie die keyCredentials des Service Prinzipals zurücksetzen.
Wer zuvor eine Exchange-Hybrid- oder OAuth-Authentifizierung zwischen Exchange Server und einer Exchange Online-Organisation konfiguriert hatte, diese aber nicht mehr verwendet, sollte sicherstellen, dass die keyCredentials des Dienstprinzipals zurückgesetzt werden.
Ergänzung: Frank Carius hat inzwischen diesen Artikel mit weitergehenden Erklärungen und Einschätzungen sowie Terminen und Implikationen zum Thema bei sich veröffentlicht. Administratoren sollten den Beitrag unbedingt durchgehen.
MVP: 2013 – 2016
Wird es nicht in den meisten Unternehmen so sein dass die Personen, welche Admin Rechte auf dem lokalen Exchange haben, auch Admin im dazugehörigen Exchange Online sind? Bzw. sollten sich Unternehmen Gedanken über die hier beschriebe Problematik machen wenn es bei ihnen so ist dass es meinetwegen 2 oder 3 Exchange Admins gibt die sowohl On-Premise als auch Exchange-Online Admins sind? Vielleicht habe ich ja gerade ein Verständnisproblem.
Wenn man dann noch bedenkt dass Exchange 2019 ohnehin in ein paar Wochen EOL ist frage ich mich ob man jetzt noch schnell den Hotfix (der damals als nicht sicherheitsrelevant beschrieben wurde) unbedingt einspielen soll, immer davon ausgehend dass dabei auch etwas schief gehen kann.
Ich meine gelesen zu haben dass in Exchange SE das Problem dann schon behoben ist.
Exchange SE enthält die Hotfixes aber als Admin musst du entweder HCW oder das Skript trotzdem ausführen. Und dazu brauchst du mehr als reguläre Exchange on-Prem/Online Rechte.
Aber ja, man muss auf dem lokalen Exchange Admin sein, dass man die "Lücke" ausnutzen kann, die Kronjuwelen sind da schon weg. Das man dann noch EXO knackt wäre dann das non plus ultra
Frank Carius hatte mich die Nacht bezüglich "man muss lokaler Exchange Admin sein" auch mit "ist ja nicht so schlimm" hingewiesen. Ich hatte geantwortet, dass die CVE-2025-53786 mit Recht einen CVSS 3.1-Score von 8.0 zugewiesen bekommen hat.
Löst euch von dem "ich bin gewissenhafter Admin" – es dürfe da draußen genügend ranzige on-premises Exchange Server geben. Oder es wird ein 0-day ausgenutzt. Und dann werft ihr noch das "ok, wir gehen auf Exchange Online, damit Microsoft für die Sicherheit sorgt" in die Argumentionskette (ist ja Argumentationskette im MS Marketing-Sprech). Der arme Admin muss aber noch irgendwie eine hybride Exchange-Konstellation betreiben, wobei der Fokus dann auf Exchange Online läuft und der on-premises Exchange Server ins Hintertreffen gerät (sonst würde die Verlagerung ja wenig Sinn machen). Schon hast Du ein Szenario, wo Angreifer ins Schlaraffenland einfallen … aber was weiß ich schon von der Welt.
2019 + ESU ist dann EoL bei Ende April 26 ggf wird es noch länger ESU Angebote geben.
Bei getrennten Techniken wie hier Onprem Exchange und EXO, sind zwei getrennte Admin Konten nicht verkehrt, sprich AD Identität und reine Cloud Identität mit PIM gesichert. Wenn es ein Verantwortlichen gibt, dann hätte dieser zwei Identitäten je nachdem was derjenige mit welchem Exchange machen will.
Hinweis am Rande, ESU (zumindest für Consumer) hat einige Voraussetzungen bzgl. des Kontos:
Quelle: https://support.microsoft.com/en-us/windows/windows-10-consumer-extended-security-updates-esu-program-33e17de9-36b3-43bb-874d-6c53d2e4bf42
Es geht um Exchange ESU!
https://techcommunity.microsoft.com/blog/exchange/announcing-exchange-2016–2019-extended-security-update-program/4433495
Korrekt. Der Hinweis am Rande bezieht sich darauf, dass es wie beim Consumer Windows auch bei Exchange bestimmte Konto Voraussetzungen geben könnte.
nein, in Exchange SE ist es nicht automatisch behoben. Der Hotfix für die Basis ist zwar inkludiert, aber, wenn keyCredentials im Tenant hinterlegt wurden, dann sollte man die bereinigen, erst dann gilt es als "gelöst". Das reicht in der Regel aus, wenn man keine hybrid richcoextistence benötigt.
Wenn man hybrid corichexistence benötigt muss man aber zusätzlich noch die dedicated Exchange hybrid app erstellen, die an sich hat aber keinen security Effekt und beeinflusst nur die Funktionalität zwischen EXOnPrem und EXO
Ich bin da auch mehr im "Team Carius".
Wenn es lokale Admin-Rechte auf dem Server braucht…
Etwas überspitzt frage ich mich, wen wir hier mit der Umsetzung der Empfehlung eigentlich schützen sollen, uns oder MS? Am Ende kann man sich bei O365, wenn man auf diesem Weg in einen Tenant gekommen ist, zu anderen Tenants weiterhangeln?
Wenn bei "uns" on Premise einer "drin" ist, ist das ("unser") Kind doch schon in den Brunnen gefallen! Nach so einem Vorfall würde ich meinem EOL dann so oder so nicht mehr trauen, denn wer weiß schon SICHER, was die "Laus im Pelz" alles angestellt hat.
…was jetzt kein Aufruf sein soll, das nicht umzustellen, aber eine besondere Brisanz oder Eile kann ich eben gerade nicht erkennen.
Ich z.B. bin aktuell in der Migration von EX2016 zu EX2019 (und dann SE). Den HCW habe ich auf meinem EX2016 vor langer Zeit ausgeführt und das Skript zur Umstellung auf die "Dedicated Exchange Hybrid Application" habe ich bislang nicht laufen lassen, ich bin also noch in der "alten Welt". Am Ende der Migration muss ich den HCW auf meinem EX2019 sowieso laufen lassen und mit der neuen Version legt der die "Dedicated Application" ja dann an. Das ist aus meiner derzeitigen Sicht früh genug.
Wenn es sie gibt, höre (lese) ich gerne Gegenstimmen!
Warum über Exchange 2019 zu SE? Warum nicht einfach gleich Exchange SE in neuer VM / auf neuem Blech installieren und dann direkt per "legacy" Mailbox Move von Exchange 2016 zu SE?
Es gibt eigentlich gar keinen Grund einen Zwischenschritt über 2019 zu machen. :-)
…um mehr Zeit zu haben.
An welcher Stelle hast du womit mehr Zeit? Exchange 2016 und 2019 gehen gleichzeitig dieses Jahr im Oktober EOL.
…man konnte aber den Umstieg auf EX2019 früher beginnen, weil verfügbar. EXSE ist ja quasi gerade erst raus.
Mir ist die Kritikalität auch noch nichts so wirklich klar. Wenn jemand in unserer lokalen Umgebung Admin-Rechte erlangt hat, ist der SuperGAU schon passiert, da ist der MS365 relativ nachrangig für mich bzw. ohnehin als mit kompromittiert zu betrachten.
Mag sein, dass es für größere Netze etwas anders aussieht – aber für KMU sehe ich hier keine wirkliche Relevanz.
bezgl. der Kritikalität geht's hier um's lateral movement. Wenn jemand OnPrem EXAdminRechte hat, hat er nicht automatisch auch GA im O365 Tenant erreicht. Mit dieser Lücke ließe sich das aber wohl erreichen, dann fällt mit der OnPrem Umgebung auch gleich die Cloudumgebung. Beide Welten will man eigentlich möglichst getrennt halten um das zu vermeiden gibt's eben nun die dedicated hybrid app und den CVE.
Etwas scherzhaft und auch etwas provokant nachgefragt: Der HCW ist also dazu da, die beiden Welten möglichst getrennt zu halten? ;-)
Aber Du hast im Prinzip schon recht, auch hier gibt es einen vom lokalen Admin-Account unabhängigen Cloud-Admin-Account. Trauen würde ich EOL trotzdem nicht mehr, wenn ein ungebetener Gast bei mir OnPremise Admin-Rechte erlangt hätte.