Kurze Information für Administratoren von Microsoft Exchange Systemen. Microsoft hat zum 9. Juni 2026 Sicherheitsupdates für "Juni 2026) veröffentlicht. Diese Updates stehen für Exchange Server 2016 / 2019 sowie für Exchange Server Subscription Edition (SE) zur Verfügung. Das Juni 2026 SU schließt einige Schwachstellen und bringt eine kleine Änderung, die in einem Suppport-Beitrag beschrieben sind.
Blog-Leser Dennis F. hat mich die Nacht auf das Exchange Juni 2026 Sicherheitsupdates hingewiesen (danke dafür). Details hat Microsoft im Techcommunity-Artikel Released: June 2026 Exchange Server Security Updates veröffentlicht.
Diese Security Updates (SUs June 2026) stehen für Exchange Server 2016, Exchange Server 2019 sowie Exchange Server Subscription Edition (SE) zur Verfügung. Die Updates stehen hier zur Verfügung:
- Exchange SE RTM
- Exchange Server 2019 CU14 und CU15 (für den Zugriff muss die Organisation am ESU-Programm der Phase 2 teilnehmen)
- Exchange Server 2016 CU23 (für den Zugriff muss die Organisation am ESU-Programm der Phase 2 teilnehmen)
Mit diesen SUs vom Juni 2026 wird auch das im Beitrag Exchange mitigation and flighting services fail due to "Unknown Issuer" error beschriebene Problem behoben (siehe auch folgende Ausführungen).
Update zur Sicherstellung von EM und Feature Flighting erforderlich
Microsoft weist in seinem Techcommunity-Beitrag darauf hin, dass dieses Juni 2026-Update zur Sicherstellung der weiteren Funktionsfähigkeit der Exchange-Dienste Exchange Emergency Mitigation (EM) und Exchange Flighting erforderlich sei. Denn Aufgrund einer serverseitigen Änderung können die Exchange-Dienste "Emergency Mitigation" (EM) und "Feature Flighting" keine Konfigurationsdateien verwenden, die im Juli 2026 oder später veröffentlicht wurden. Abhilfe schafft das Update vom Juni 2026 (oder neuer), was den betreffenden Exchange Server entsprechend aktualisiert.
Bereits heruntergeladene und angewendete Abhilfemaßnahmen funktionieren weiterhin, aber die Server können ab Juli 2026 keine neuen Abhilfemaßnahmen mehr verwenden, sofern keine Updates installiert werden. Weitere Informationen finden Sie unter Exchange mitigation and flighting services fail due to "Unknown Issuer" error.
Behobene Schwachstellen
Die Sicherheitsupdates vom Juni 2026 beheben Sicherheitslücken, die Microsoft von Sicherheitspartnern gemeldet und im Rahmen der internen Prozesse von Microsoft entdeckt wurden. Gemäß diesem Support-Beitrag wurden die nachfolgenden Schwachstellen mit dem SU in Exchange Server beseitigt:
- CVE-2026-42897 – Microsoft Exchange Server Spoofing Vulnerability
- CVE-2026-45500 – Microsoft Exchange Server Spoofing Vulnerability
- CVE-2026-45501 – Microsoft Exchange Server Spoofing Vulnerability
- CVE-2026-45502 – Microsoft Exchange Server Information Disclosure Vulnerability
- CVE-2026-45503 – Microsoft Exchange Server Information Disclosure Vulnerability
- CVE-2026-45504 – Microsoft Exchange Server Elevation of Privilege Vulnerability
- CVE-2026-47631 – Microsoft Exchange Server Spoofing Vulnerability
- CVE-2026-45583 – Microsoft Exchange Server Remote Code Execution Vulnerability
Exchange Online-Kunden sind bereits vor den durch diese SUs behobenen Sicherheitslücken geschützt und müssen keine weiteren Maßnahmen ergreifen, außer die Exchange-Server oder die Workstations mit Exchange-Verwaltungstools in ihrer Umgebung zu aktualisieren.
Bei der Installation der Juni 2026-Updates sind die im Techcommunity-Artikel Released: June 2026 Exchange Server Security Updates enthaltenen Hinweise im Abschnitt "CVE-2026-42897 mitigations after installation" zu beachten. Der Artikel enthält weitere Hinweise und eine FAQ mit Antworten auf Fragen im Zusammenhang mit den Juni 2026 Sicherheitsupdates.
Ähnliche Artikel:
Microsoft Security Update Summary (9. Juni 2026)
Patchday: Windows 10/11 Updates (9. Juni i 2026)
Patchday: Windows Server-Updates (9. Juni 2026)
Patchday: Microsoft Office Updates (9. Juni 2026)
MVP: 2013 – 2016
Gestern Abend unseren EXCH SE ohne Probleme installiert. Bisher gab es keine Beschwerden. Alles funktioniert, wie erwartet.
Die wohl schwerwiegende Schwachstelle vom Pwn2Own Event im Mai wurde offensichtlich nicht gefixt.
Sollte es sich bewahrheiten, hoffen wir mal, dass diese bis zum Fix nicht öffentlich wird.
—
GB: Ich ergänze mal etwas. Frank Carius hat auf MSFAQ im Beitrag PWN2OWN 2026 – 0-Day Exchange zu dieser Schwachstelle was geschrieben.
Danke für den Hinweis! Ich habe mir dazu gerade mal die Seite bei MSXFAQ durchgelesen und das klingt übel, richtig übel. Besorgniserregend finde ich, dass erhebliche Teile der Lücke schon im Artikel öffentlich einsehbar sind. Die Informationen wurden aus öffentlich verfügbaren Quellen extrahiert. Ich gehe davon aus, dass ein findiger Hacker die restlichen noch nicht öffentlich bekannten Teile herausfinden kann.
Ich habe mich sehr ausgiebig mit dem Thema beschäftigt und die URL dem Grunde nach vollständig nachgebaut.
Allerdings ist hier, meiner Ansicht nach, das relevant, was in den Videos, Berichten und auf Fotos nicht zu sehen ist.
Ich gehe davon aus, dass eine initiale Kompromittierung durch den Aufruf einer nicht gezeigten URL mit entsprechender Payload notwendig ist, um dann im zweiten Schritt die weitestgehende lesbare URL bzw. ASPX-Datei auszuführen.
Die nur schwammig sichtbare ASPX-Datei existiert nicht, meiner Vermutung nach, wird diese wie seinerzeit bei ProxyLogon zunächst auf dem Ziel erzeugt und im Anschluss ausgeführt.
Es bleibt spannend. Unsere Kunden wurden bereits vor einigen Tagen vorgewarnt.
Nochmal was anderes in dieser Hinsicht, weil es mir beim Lesen der Patch-Notes gerade auffällt: Sind die Seiten von Microsoft bei Euch auch so chronisch schlecht aufrufbar? Sowohl techcommunity.microsoft.com als auch msrc.microsoft.com haben hier erst im vierten Anlauf geladen und sind sonst mit ERR_TIMED_OUT stehen geblieben. Mensch Microsoft, was kannst Du eigentlich?!
Hatte weder die Nacht noch heute morgen Probleme mit den Aufrufen.
Microsoft versteckt sich hinter Cloudflare, weil die das offenbar nicht selbst können und deren Netzwerküberprofis haben anscheinend noch nie was von dynamischen IP Adressen gehört. Ändere mal deine öffentliche IP Adresse ggf. auch mehrmals oder per VPN/Proxy und schau ob es besser wird.
Auch beim Sicherheitsupdate Microsoft Word KB5002879 funktioniert die OLE-Schnittstelle nicht mehr (Fehler Typkonflikt) nach Deinstallation funktioniert diese wieder wie gewohnt, jedoch bleibt dies im Updateverlauf bestehen.