Kurze Information für Administratoren von Microsoft Exchange Systemen. Microsoft hat zum 9. Juni 2026 Sicherheitsupdates für "Juni 2026) veröffentlicht. Diese Updates stehen für Exchange Server 2016 / 2019 sowie für Exchange Server Subscription Edition (SE) zur Verfügung. Das Juni 2026 SU schließt einige Schwachstellen und bringt eine kleine Änderung, die in einem Suppport-Beitrag beschrieben sind.
Blog-Leser Dennis F. hat mich die Nacht auf das Exchange Juni 2026 Sicherheitsupdates hingewiesen (danke dafür). Details hat Microsoft im Techcommunity-Artikel Released: June 2026 Exchange Server Security Updates veröffentlicht.

Diese Security Updates (SUs June 2026) stehen für Exchange Server 2016, Exchange Server 2019 sowie Exchange Server Subscription Edition (SE) zur Verfügung. Die Updates stehen hier zur Verfügung:
- Exchange SE RTM
- Exchange Server 2019 CU14 und CU15 (für den Zugriff muss die Organisation am ESU-Programm der Phase 2 teilnehmen)
- Exchange Server 2016 CU23 (für den Zugriff muss die Organisation am ESU-Programm der Phase 2 teilnehmen)
Mit diesen SUs vom Juni 2026 wird auch das im Beitrag Exchange mitigation and flighting services fail due to "Unknown Issuer" error beschriebene Problem behoben (siehe auch folgende Ausführungen).
Update zur Sicherstellung von EM und Feature Flighting erforderlich
Microsoft weist in seinem Techcommunity-Beitrag darauf hin, dass dieses Juni 2026-Update zur Sicherstellung der weiteren Funktionsfähigkeit der Exchange-Dienste Exchange Emergency Mitigation (EM) und Exchange Flighting erforderlich sei. Denn Aufgrund einer serverseitigen Änderung können die Exchange-Dienste "Emergency Mitigation" (EM) und "Feature Flighting" keine Konfigurationsdateien verwenden, die im Juli 2026 oder später veröffentlicht wurden. Abhilfe schafft das Update vom Juni 2026 (oder neuer), was den betreffenden Exchange Server entsprechend aktualisiert.
Bereits heruntergeladene und angewendete Abhilfemaßnahmen funktionieren weiterhin, aber die Server können ab Juli 2026 keine neuen Abhilfemaßnahmen mehr verwenden, sofern keine Updates installiert werden. Weitere Informationen finden Sie unter Exchange mitigation and flighting services fail due to "Unknown Issuer" error.
Behobene Schwachstellen
Die Sicherheitsupdates vom Juni 2026 beheben Sicherheitslücken, die Microsoft von Sicherheitspartnern gemeldet und im Rahmen der internen Prozesse von Microsoft entdeckt wurden. Gemäß diesem Support-Beitrag wurden die nachfolgenden Schwachstellen mit dem SU in Exchange Server beseitigt:
- CVE-2026-42897 – Microsoft Exchange Server Spoofing Vulnerability
- CVE-2026-45500 – Microsoft Exchange Server Spoofing Vulnerability
- CVE-2026-45501 – Microsoft Exchange Server Spoofing Vulnerability
- CVE-2026-45502 – Microsoft Exchange Server Information Disclosure Vulnerability
- CVE-2026-45503 – Microsoft Exchange Server Information Disclosure Vulnerability
- CVE-2026-45504 – Microsoft Exchange Server Elevation of Privilege Vulnerability
- CVE-2026-47631 – Microsoft Exchange Server Spoofing Vulnerability
- CVE-2026-45583 – Microsoft Exchange Server Remote Code Execution Vulnerability
Exchange Online-Kunden sind bereits vor den durch diese SUs behobenen Sicherheitslücken geschützt und müssen keine weiteren Maßnahmen ergreifen, außer die Exchange-Server oder die Workstations mit Exchange-Verwaltungstools in ihrer Umgebung zu aktualisieren.
Bei der Installation der Juni 2026-Updates sind die im Techcommunity-Artikel Released: June 2026 Exchange Server Security Updates enthaltenen Hinweise im Abschnitt "CVE-2026-42897 mitigations after installation" zu beachten. Der Artikel enthält weitere Hinweise und eine FAQ mit Antworten auf Fragen im Zusammenhang mit den Juni 2026 Sicherheitsupdates.
Ähnliche Artikel:
Microsoft Security Update Summary (9. Juni 2026)
Patchday: Windows 10/11 Updates (9. Juni 2026)
Patchday: Windows Server-Updates (9. Juni 2026)
Patchday: Microsoft Office Updates (9. Juni 2026)
Exchange Server: Sicherheitsupdates Juni 2026
Windows 11 24H2-25H2: Juni 2026 Update KB5094126 verursacht Word OLE-Probleme
Nachlese: Juni 2026-Patchday verursacht Windows-Probleme



MVP: 2013 – 2016





Gestern Abend unseren EXCH SE ohne Probleme installiert. Bisher gab es keine Beschwerden. Alles funktioniert, wie erwartet.
Die wohl schwerwiegende Schwachstelle vom Pwn2Own Event im Mai wurde offensichtlich nicht gefixt.
Sollte es sich bewahrheiten, hoffen wir mal, dass diese bis zum Fix nicht öffentlich wird.
—
GB: Ich ergänze mal etwas. Frank Carius hat auf MSFAQ im Beitrag PWN2OWN 2026 – 0-Day Exchange zu dieser Schwachstelle was geschrieben.
Danke für den Hinweis! Ich habe mir dazu gerade mal die Seite bei MSXFAQ durchgelesen und das klingt übel, richtig übel. Besorgniserregend finde ich, dass erhebliche Teile der Lücke schon im Artikel öffentlich einsehbar sind. Die Informationen wurden aus öffentlich verfügbaren Quellen extrahiert. Ich gehe davon aus, dass ein findiger Hacker die restlichen noch nicht öffentlich bekannten Teile herausfinden kann.
Ich habe mich sehr ausgiebig mit dem Thema beschäftigt und die URL dem Grunde nach vollständig nachgebaut.
Allerdings ist hier, meiner Ansicht nach, das relevant, was in den Videos, Berichten und auf Fotos nicht zu sehen ist.
Ich gehe davon aus, dass eine initiale Kompromittierung durch den Aufruf einer nicht gezeigten URL mit entsprechender Payload notwendig ist, um dann im zweiten Schritt die weitestgehende lesbare URL bzw. ASPX-Datei auszuführen.
Die nur schwammig sichtbare ASPX-Datei existiert nicht, meiner Vermutung nach, wird diese wie seinerzeit bei ProxyLogon zunächst auf dem Ziel erzeugt und im Anschluss ausgeführt.
Es bleibt spannend. Unsere Kunden wurden bereits vor einigen Tagen vorgewarnt.
Die Lücke imho ist einfach zu schließen.
Da Exchange und auch der IIS kein Wscript braucht, sollte man das abschalten.
Dann ist die Lücke wahrscheinlich auch schon geschlossen.
Und man sollte verhindern, das man .vbs etc. per doppelklick ausführen kann.
In den Folderoptions per GPO umbiegen, das die standardmäßig im Notepad geöffnet werden.
Zudem solte man per GPO verbieten, das Scripte Verbindungen ins Internet aufbauen können.
Auf "wahrscheinlich" kann man sich aber im geschäftlichen Umfeld nicht verlassen. Das ist meiner Meinung nach keine Lösung, auch nicht temporär.
Was das Blocken der Ausführung per Doppelklick bringen mag, ist mir unklar, wenn die ASPX von extern über den Aufruf einer URL getriggert und vom IIS ausgeführt wird.
Da ist es sicherlich zielführender die Aufrufe vorgeschaltet zu terminieren und so die Ausführung im Zweifel zu verhindern.
Hoffen wir, dass zeitnah Licht ins Dunkel gelangt.
Nochmal was anderes in dieser Hinsicht, weil es mir beim Lesen der Patch-Notes gerade auffällt: Sind die Seiten von Microsoft bei Euch auch so chronisch schlecht aufrufbar? Sowohl techcommunity.microsoft.com als auch msrc.microsoft.com haben hier erst im vierten Anlauf geladen und sind sonst mit ERR_TIMED_OUT stehen geblieben. Mensch Microsoft, was kannst Du eigentlich?!
Hatte weder die Nacht noch heute morgen Probleme mit den Aufrufen.
Microsoft versteckt sich hinter Cloudflare, weil die das offenbar nicht selbst können und deren Netzwerküberprofis haben anscheinend noch nie was von dynamischen IP Adressen gehört. Ändere mal deine öffentliche IP Adresse ggf. auch mehrmals oder per VPN/Proxy und schau ob es besser wird.
Auch beim Sicherheitsupdate Microsoft Word KB5002879 funktioniert die OLE-Schnittstelle nicht mehr (Fehler Typkonflikt) nach Deinstallation funktioniert diese wieder wie gewohnt, jedoch bleibt dies im Updateverlauf bestehen.
Das Ding, das den Typkonflikt bei der OLE-Automatisierung auslöst steckt wohl nicht in KB5002879
Sondern es steckt direkt in KB5094126
Eine andere größere SoftwareSuite in USA hat auch gerade diese Probleme
https://www.reddit.com/r/sysadmin/comments/1u15uc7/comment/oqumxnp/
Die Windows Desktop App CCH Engagement nimmt OLE-Automatisierung her und dort geht auch gerade nix mehr.
Ich habe mal was gelesene, dass Windows so langsam ist, weil sie durch zu viele Layer durchmüssen und in den Layern werden manchmal redundante Sachen geprüft.
Und man wollt das hier "Streamlinen"
Und scheinbar haben sie damit jetzt diesen 'Typkonflikt' ausgelöst.
Weil's hierhin passt: Die OWA-Previewlücke lässt sich ja per MS-Mitigation fixen oder stark mildern. Aber Vorsicht: für alle OWA-Nutzer sind nun eingebettete Bilder selbst in eigenen Mails nach dem Absenden nicht mehr sichtbar.
https://techcommunity.microsoft.com/blog/exchange/addressing-exchange-server-may-2026-vulnerability-cve-2026-42897/4518498
Die Lücke wird ja durch das neue Update geschlossen, wobei MS empfiehlt, die Mitigations erst mal aktiv zu lassen. Die Mitigations gibt es bereits seit Mitte May. Sofern der EEMS am Exchange nicht deaktiviert wurde ist die Mitigation auch längst auf dem System drauf.
Günter hatte da seinerzeit auch schon drüber berichtet, siehe hier: https://borncity.com/blog/2026/05/16/microsoft-exchange-0-day-schwachstelle-cve-2026-42897-wird-angegriffen/
***Vergiss das Nachstehende, hab's gefunden***
Das OWA Problem blibt bestehen, weil die Mitigations immer noch empfohlen bleiben, bis Microsoft seinen Patch verbessert hat.
—
@Daniel A.
Ist das so? Wo steht das, dass diese Lücke auch bedacht wurde? Hatte ich nicht gefunden.
Also bei IONOS ist seit gestern Vormittag das gesamte hosted Exchange 2019 Angebot ausgefallen. Ob da ein Zusammenhang besteht?
IONOS ist gerade eine Katastrophe, Outlook mit Exchange nicht nutzbar und jetzt ist auch das Webportale/owa ausgefallen…
Wir haben schon seit 2 Wochen enorme Performance-Probleme, seit gestern Nachmittag funktioniert die Anmeldung via Outlook nicht mehr.
OWA scheint nun überlastet zu sein, kein Wunder.
Der Support sagte mir, es sei ein Microsoft-Problem.
Heute früh ist das Update auf einem Ex 2019 SE einwandfrei durchgelaufen. Bisher keine Probleme zu melden.
Exchange 2019 oder Exchange SE? Exchange 19 SE gibt es nicht.
SE
Bzgl. des Namens hast du Recht.
Aber SE entspicht dem letzten CU von 2019.
Es fand nur eine Änderung des Namens und des Lizenzmodells statt.
Deshalb gab es ja auch keine echte Migration von 2019 auf SE.
Man konnte einfach SE über 2019 drüber installieren, was es vorher bei Exchange noch nie gab.
Ein CU1 füe SE gibt es ja noch nicht, also gilt das auch aktuell noch.
Ein per ESU gepatchtes 2019 entspricht vom Code her 100% einem gepatchten SE (abgesehen vom Namen und Lizenzmodell).
Bei uns ist der Exchange SE nach Installation des Windows Updates Juni 2026 gecrashed. Betriebssystem läuft aber Exchange startet keine Dienste mehr.
Das kann schon einmal vorkommen.
Dann einfach die Dienste alle manuell starten.
Ja, dass die Dienste mal nicht starten ist schon klar, das haben wir auch überprüft. Aber es gibt diverse unterschiedliche Einträge im Event-Log. Wir untersuchen gerade wo es liegt.
würde es denn nicht reichen, wenn einfach das Virtuelle OWA VErzeichniss deaktivert würde?
iOS oder Outlook sollt ja weiterhin funktionieren ?
Dann zerlegst du dir auch das ECP, da für die Anmeldung auf die OWA weitergeleitet wird. Die beiden sind voneinander abhängig.
Kann man aber trennen. Gibt dafür mehrere Möglichkeiten und man sollte es trennen. Wer es getrennt hatte, hatte damals mit Hafnium Glück gehabt, denn der Exploit ist dann ins Leere gerannt. Konnte ich damals schön nachvollziehen.
Aber Schuld ist natürlich MS, eine Adminschnittstelle übers Internet bereitzustellen ist halt einfach "krank".
ich verstehe ernsthaft die Problematik nicht, kann doch anhand von einem Reverse Proxy entsprechende URLs selbst steuern…wer betreibt einen Exchange ohne Reverse?
Ist das HU6 vom Mai eigentlich mit in dem SU vom Juni mit drin oder muss ich das separat vorher installieren?
Nein.
HUs sind nie in SUs enthalten.
Und das HU6 vom Mai ist nur für Exchange in einer Hybridkonfiguration relevant.
Es werden dadurch EWS-Aufrufe auf die REST-basierte Graph API Aufrufe ersetzt.
Denn EWS ist bei Exchange online abgekündigt und wird im Oktober 2026 standardmäßig abgeschaltet, lässt sich aber wieder aktivieren.
Im April 2027 ist dann endgültig Ende, EWS wird endgültig abgeschaltet und lässt sich nicht mehr aktivieren.
Hast du nur OnPrem Exchange, dann kannst du dir die Installation des HU6 sparen.
Da wird EWS auch weiterhin funktionieren.
.
Eingespielt auf ExchangeSE onprem (2x phys. Server) – ohne Probleme. Mitigation habe ich nicht entfernt – aktuell keine Probleme