Exchange Server: Sicherheitsupdates Juni 2026

Exchange LogoKurze Information für Administratoren von Microsoft Exchange Systemen. Microsoft hat zum 9. Juni 2026 Sicherheitsupdates für "Juni 2026) veröffentlicht. Diese Updates stehen für Exchange Server 2016 / 2019 sowie für Exchange Server Subscription Edition (SE) zur Verfügung. Das Juni 2026 SU schließt einige Schwachstellen und bringt eine kleine Änderung, die in einem Suppport-Beitrag beschrieben sind.

Blog-Leser Dennis F. hat mich die Nacht auf das Exchange Juni 2026 Sicherheitsupdates hingewiesen (danke dafür). Details hat Microsoft im Techcommunity-Artikel Released: June 2026 Exchange Server Security Updates veröffentlicht.

Exchange Server SU 6.2026

Diese Security Updates (SUs June 2026) stehen für Exchange Server 2016, Exchange Server 2019 sowie Exchange Server Subscription Edition (SE) zur Verfügung. Die Updates stehen hier zur Verfügung:

Mit diesen SUs vom Juni 2026 wird auch das im Beitrag Exchange mitigation and flighting services fail due to "Unknown Issuer" error beschriebene Problem behoben (siehe auch folgende Ausführungen).

Update zur Sicherstellung von EM und Feature Flighting erforderlich

Microsoft weist in seinem Techcommunity-Beitrag darauf hin, dass dieses Juni 2026-Update zur Sicherstellung der weiteren Funktionsfähigkeit der Exchange-Dienste Exchange Emergency Mitigation (EM) und Exchange Flighting erforderlich sei. Denn Aufgrund einer serverseitigen Änderung können die Exchange-Dienste "Emergency Mitigation" (EM) und "Feature Flighting" keine Konfigurationsdateien verwenden, die im Juli 2026 oder später veröffentlicht wurden. Abhilfe schafft das Update vom Juni 2026 (oder neuer), was den betreffenden Exchange Server entsprechend aktualisiert.

Bereits heruntergeladene und angewendete Abhilfemaßnahmen funktionieren weiterhin, aber die Server können ab Juli 2026 keine neuen Abhilfemaßnahmen mehr verwenden, sofern keine Updates installiert werden. Weitere Informationen finden Sie unter Exchange mitigation and flighting services fail due to "Unknown Issuer" error.

Behobene Schwachstellen

Die Sicherheitsupdates vom Juni 2026 beheben Sicherheitslücken, die Microsoft von Sicherheitspartnern gemeldet und im Rahmen der internen Prozesse von Microsoft entdeckt wurden. Gemäß diesem Support-Beitrag wurden die nachfolgenden Schwachstellen mit dem SU in Exchange Server beseitigt:

Exchange Online-Kunden sind bereits vor den durch diese SUs behobenen Sicherheitslücken geschützt und müssen keine weiteren Maßnahmen ergreifen, außer die Exchange-Server oder die Workstations mit Exchange-Verwaltungstools in ihrer Umgebung zu aktualisieren.

Bei der Installation der Juni 2026-Updates sind die im Techcommunity-Artikel Released: June 2026 Exchange Server Security Updates enthaltenen Hinweise im Abschnitt "CVE-2026-42897 mitigations after installation" zu beachten. Der Artikel enthält weitere Hinweise und eine FAQ mit Antworten auf Fragen im Zusammenhang mit den Juni 2026 Sicherheitsupdates.

Ähnliche Artikel:
Microsoft Security Update Summary (9. Juni 2026)
Patchday: Windows 10/11 Updates (9. Juni 2026)
Patchday: Windows Server-Updates (9. Juni 2026)
Patchday: Microsoft Office Updates (9. Juni 2026)

Exchange Server: Sicherheitsupdates Juni 2026
Windows 11 24H2-25H2: Juni 2026 Update KB5094126 verursacht Word OLE-Probleme
Nachlese: Juni 2026-Patchday verursacht Windows-Probleme

Dieser Beitrag wurde unter Sicherheit, Update, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

32 Kommentare zu Exchange Server: Sicherheitsupdates Juni 2026

  1. Carsten sagt:

    Gestern Abend unseren EXCH SE ohne Probleme installiert. Bisher gab es keine Beschwerden. Alles funktioniert, wie erwartet.

  2. Exchadmin sagt:

    Die wohl schwerwiegende Schwachstelle vom Pwn2Own Event im Mai wurde offensichtlich nicht gefixt.

    Sollte es sich bewahrheiten, hoffen wir mal, dass diese bis zum Fix nicht öffentlich wird.

    GB: Ich ergänze mal etwas. Frank Carius hat auf MSFAQ im Beitrag PWN2OWN 2026 – 0-Day Exchange zu dieser Schwachstelle was geschrieben.

    • Anonym sagt:

      Danke für den Hinweis! Ich habe mir dazu gerade mal die Seite bei MSXFAQ durchgelesen und das klingt übel, richtig übel. Besorgniserregend finde ich, dass erhebliche Teile der Lücke schon im Artikel öffentlich einsehbar sind. Die Informationen wurden aus öffentlich verfügbaren Quellen extrahiert. Ich gehe davon aus, dass ein findiger Hacker die restlichen noch nicht öffentlich bekannten Teile herausfinden kann.

      • Exchadmin sagt:

        Ich habe mich sehr ausgiebig mit dem Thema beschäftigt und die URL dem Grunde nach vollständig nachgebaut.
        Allerdings ist hier, meiner Ansicht nach, das relevant, was in den Videos, Berichten und auf Fotos nicht zu sehen ist.
        Ich gehe davon aus, dass eine initiale Kompromittierung durch den Aufruf einer nicht gezeigten URL mit entsprechender Payload notwendig ist, um dann im zweiten Schritt die weitestgehende lesbare URL bzw. ASPX-Datei auszuführen.
        Die nur schwammig sichtbare ASPX-Datei existiert nicht, meiner Vermutung nach, wird diese wie seinerzeit bei ProxyLogon zunächst auf dem Ziel erzeugt und im Anschluss ausgeführt.
        Es bleibt spannend. Unsere Kunden wurden bereits vor einigen Tagen vorgewarnt.

    • R.S. sagt:

      Die Lücke imho ist einfach zu schließen.
      Da Exchange und auch der IIS kein Wscript braucht, sollte man das abschalten.
      Dann ist die Lücke wahrscheinlich auch schon geschlossen.
      Und man sollte verhindern, das man .vbs etc. per doppelklick ausführen kann.
      In den Folderoptions per GPO umbiegen, das die standardmäßig im Notepad geöffnet werden.
      Zudem solte man per GPO verbieten, das Scripte Verbindungen ins Internet aufbauen können.

      • Exchadmin sagt:

        Auf "wahrscheinlich" kann man sich aber im geschäftlichen Umfeld nicht verlassen. Das ist meiner Meinung nach keine Lösung, auch nicht temporär.
        Was das Blocken der Ausführung per Doppelklick bringen mag, ist mir unklar, wenn die ASPX von extern über den Aufruf einer URL getriggert und vom IIS ausgeführt wird.
        Da ist es sicherlich zielführender die Aufrufe vorgeschaltet zu terminieren und so die Ausführung im Zweifel zu verhindern.
        Hoffen wir, dass zeitnah Licht ins Dunkel gelangt.

  3. Anonym sagt:

    Nochmal was anderes in dieser Hinsicht, weil es mir beim Lesen der Patch-Notes gerade auffällt: Sind die Seiten von Microsoft bei Euch auch so chronisch schlecht aufrufbar? Sowohl techcommunity.microsoft.com als auch msrc.microsoft.com haben hier erst im vierten Anlauf geladen und sind sonst mit ERR_TIMED_OUT stehen geblieben. Mensch Microsoft, was kannst Du eigentlich?!

    • Günter Born sagt:

      Hatte weder die Nacht noch heute morgen Probleme mit den Aufrufen.

    • Anonym sagt:

      Microsoft versteckt sich hinter Cloudflare, weil die das offenbar nicht selbst können und deren Netzwerküberprofis haben anscheinend noch nie was von dynamischen IP Adressen gehört. Ändere mal deine öffentliche IP Adresse ggf. auch mehrmals oder per VPN/Proxy und schau ob es besser wird.

  4. J.H. sagt:

    Auch beim Sicherheitsupdate Microsoft Word KB5002879 funktioniert die OLE-Schnittstelle nicht mehr (Fehler Typkonflikt) nach Deinstallation funktioniert diese wieder wie gewohnt, jedoch bleibt dies im Updateverlauf bestehen.

    • Thomas aus L sagt:

      Das Ding, das den Typkonflikt bei der OLE-Automatisierung auslöst steckt wohl nicht in KB5002879

      Sondern es steckt direkt in KB5094126

      Eine andere größere SoftwareSuite in USA hat auch gerade diese Probleme
      https://www.reddit.com/r/sysadmin/comments/1u15uc7/comment/oqumxnp/

      Die Windows Desktop App CCH Engagement nimmt OLE-Automatisierung her und dort geht auch gerade nix mehr.

      Ich habe mal was gelesene, dass Windows so langsam ist, weil sie durch zu viele Layer durchmüssen und in den Layern werden manchmal redundante Sachen geprüft.

      Und man wollt das hier "Streamlinen"
      Und scheinbar haben sie damit jetzt diesen 'Typkonflikt' ausgelöst.

  5. Bernhard Diener sagt:

    Weil's hierhin passt: Die OWA-Previewlücke lässt sich ja per MS-Mitigation fixen oder stark mildern. Aber Vorsicht: für alle OWA-Nutzer sind nun eingebettete Bilder selbst in eigenen Mails nach dem Absenden nicht mehr sichtbar.
    https://techcommunity.microsoft.com/blog/exchange/addressing-exchange-server-may-2026-vulnerability-cve-2026-42897/4518498

  6. Martin B sagt:

    Also bei IONOS ist seit gestern Vormittag das gesamte hosted Exchange 2019 Angebot ausgefallen. Ob da ein Zusammenhang besteht?

    • Andreas sagt:

      IONOS ist gerade eine Katastrophe, Outlook mit Exchange nicht nutzbar und jetzt ist auch das Webportale/owa ausgefallen…

      • Tigerfun sagt:

        Wir haben schon seit 2 Wochen enorme Performance-Probleme, seit gestern Nachmittag funktioniert die Anmeldung via Outlook nicht mehr.

        OWA scheint nun überlastet zu sein, kein Wunder.

        Der Support sagte mir, es sei ein Microsoft-Problem.

  7. SI sagt:

    Heute früh ist das Update auf einem Ex 2019 SE einwandfrei durchgelaufen. Bisher keine Probleme zu melden.

    • Mw sagt:

      Exchange 2019 oder Exchange SE? Exchange 19 SE gibt es nicht.

      • R.S. sagt:

        Bzgl. des Namens hast du Recht.
        Aber SE entspicht dem letzten CU von 2019.
        Es fand nur eine Änderung des Namens und des Lizenzmodells statt.
        Deshalb gab es ja auch keine echte Migration von 2019 auf SE.
        Man konnte einfach SE über 2019 drüber installieren, was es vorher bei Exchange noch nie gab.
        Ein CU1 füe SE gibt es ja noch nicht, also gilt das auch aktuell noch.
        Ein per ESU gepatchtes 2019 entspricht vom Code her 100% einem gepatchten SE (abgesehen vom Namen und Lizenzmodell).

    • Miggl sagt:

      Bei uns ist der Exchange SE nach Installation des Windows Updates Juni 2026 gecrashed. Betriebssystem läuft aber Exchange startet keine Dienste mehr.

  8. stefan s. sagt:

    würde es denn nicht reichen, wenn einfach das Virtuelle OWA VErzeichniss deaktivert würde?
    iOS oder Outlook sollt ja weiterhin funktionieren ?

    • Daniel A. sagt:

      Dann zerlegst du dir auch das ECP, da für die Anmeldung auf die OWA weitergeleitet wird. Die beiden sind voneinander abhängig.

      • Olli sagt:

        Kann man aber trennen. Gibt dafür mehrere Möglichkeiten und man sollte es trennen. Wer es getrennt hatte, hatte damals mit Hafnium Glück gehabt, denn der Exploit ist dann ins Leere gerannt. Konnte ich damals schön nachvollziehen.

        Aber Schuld ist natürlich MS, eine Adminschnittstelle übers Internet bereitzustellen ist halt einfach "krank".

  9. Marc sagt:

    ich verstehe ernsthaft die Problematik nicht, kann doch anhand von einem Reverse Proxy entsprechende URLs selbst steuern…wer betreibt einen Exchange ohne Reverse?

  10. Jörg sagt:

    Ist das HU6 vom Mai eigentlich mit in dem SU vom Juni mit drin oder muss ich das separat vorher installieren?

    • R.S. sagt:

      Nein.
      HUs sind nie in SUs enthalten.
      Und das HU6 vom Mai ist nur für Exchange in einer Hybridkonfiguration relevant.
      Es werden dadurch EWS-Aufrufe auf die REST-basierte Graph API Aufrufe ersetzt.
      Denn EWS ist bei Exchange online abgekündigt und wird im Oktober 2026 standardmäßig abgeschaltet, lässt sich aber wieder aktivieren.
      Im April 2027 ist dann endgültig Ende, EWS wird endgültig abgeschaltet und lässt sich nicht mehr aktivieren.

      Hast du nur OnPrem Exchange, dann kannst du dir die Installation des HU6 sparen.
      Da wird EWS auch weiterhin funktionieren.

  11. Thomas sagt:

    Eingespielt auf ExchangeSE onprem (2x phys. Server) – ohne Probleme. Mitigation habe ich nicht entfernt – aktuell keine Probleme

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.