{"id":314407,"date":"2025-08-09T09:12:55","date_gmt":"2025-08-09T07:12:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=314407"},"modified":"2025-08-09T09:27:40","modified_gmt":"2025-08-09T07:27:40","slug":"ueber-28-000-ungepatchte-hybride-exchange-instanzen-cve-2025-53786-online","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/08\/09\/ueber-28-000-ungepatchte-hybride-exchange-instanzen-cve-2025-53786-online\/","title":{"rendered":"\u00dcber 28.000 ungepatchte hybride Exchange-Instanzen (CVE-2025-53786) online"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Microsoft Exchange Server Hybrid-Konfigurationen sind durch die Elevation of Privilege-Schwachstelle Schwachstelle CVE-2025-53786 gef\u00e4hrdet. \u00dcber 28.000 Instanzen sind noch ungepatcht. Die US-CISA gibt den Beh\u00f6rden bis Montag, den 11. August 2025 Zeit zum Patchen. Was ist mit Deutschland?<\/p>\n

<\/p>\n

28.000 hybride Exchange-Instanzen angreifbar<\/h2>\n

\"\"Die Shadow Server Foundation hat die Erkennung von Microsoft Exchange Schwachstelle\u00a0 CVE-2025-53786 in Hybrid-Instanzen (versionsbasiert) zu deren t\u00e4glichen Scans hinzugef\u00fcgt.<\/p>\n

\"Exchange<\/a><\/p>\n

Laut obigem Tweet<\/a> sind \u00fcber 28.000 IPs ohne Patch (Stand 07.08.2025) gefunden worden. Am st\u00e4rksten betroffen sind die USA (7.300), Deutschland (6.500) und Russland (2.500). Vom BSI habe ich bisher noch nichts an Warnungen vernommen.<\/p>\n

Darum geht es bei CVE-2025-53786<\/h2>\n

In einer hybriden Exchange-Umgebung k\u00f6nnte ein Angreifer, der zun\u00e4chst nur auf einem lokalen Exchange-Server Administratorrechte erlangt, m\u00f6glicherweise seine Berechtigungen innerhalb der verbundenen Cloud-Umgebung des Unternehmens \u00fcber die Sicherheitsl\u00fccke\u00a0CVE-2025-53786\u00a0erweitern.<\/p>\n

Und dies ist m\u00f6glich, ohne leicht erkennbare und \u00fcberpr\u00fcfbare Spuren zu hinterlassen. Damit w\u00e4re die gesamte Cloud-Instanz von Exchange Online gef\u00e4hrdet. Die Schwachstelle CVE-2025-53786 erm\u00f6glicht eine Privilegien-Erh\u00f6hung in einer Hybrid-Konfiguration und hat daher einen CVSS 3.1-Score von 8.0 zugewiesen bekommen.<\/p>\n

Es gibt Administratoren, die meinen \"wenn ich Administratorenrechte auf einem on-premises Exchange Server habe, ist eh alles verloren\". Es geht aber um die lateralen Bewegungen in den Exchange Online-Tenants, die \u00fcber die Schwachstelle erm\u00f6glicht werden.<\/p>\n

Ich hatte im Beitrag\u00a0Microsoft Exchange Server Hybrid durch CVE-2025-53786 gef\u00e4hrdet<\/a> erstmals kurz \u00fcber den Sachverhalt berichtet. Von Microsoft gibt es seit dem 6. August 2025 den Supportbeitrag\u00a0Microsoft Exchange Server Hybrid Deployment Elevation of Privilege Vulnerability<\/a> zum CVE-2025-53786.<\/p>\n

Frank Carius hat inzwischen\u00a0diesen Artikel<\/a> mit weitergehenden Erkl\u00e4rungen und Einsch\u00e4tzungen sowie Terminen und Implikationen zum Thema bei sich ver\u00f6ffentlicht. Dort ist auch beschrieben, was Administratoren tun m\u00fcssen. Administratoren sollten den Beitrag unbedingt durchgehen.<\/p>\n

Die US-CISA: CVE-2025-53786 bis zum 11.8.2025 patchen<\/h2>\n

\"\"Die US-Cybersicherheitsbeh\u00f6rde CISA warnt in\u00a0diesem Beitrag<\/a>\u00a0(siehe auch nachfolgendem Tweet) vor der Elevation of Privilege-Schwachstelle (CVE-2025-53786) in Exchange Server Hybrid-Konfigurationen.<\/p>\n

\"Microsoft<\/a><\/p>\n

Die US Sicherheitsbeh\u00f6rde CISA hat inzwischen eine Emergency Directive 25-02<\/a> ver\u00f6ffentlicht, in der US-Beh\u00f6rden bis zum Montag, den 11. August 2025, Frist haben, um die Exchange Hybrid-Konfigurationen gegen die Schwachstelle CVE-2025-53786 abzusichern.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft Exchange Server Hybrid-Konfigurationen sind durch die Elevation of Privilege-Schwachstelle Schwachstelle CVE-2025-53786 gef\u00e4hrdet. \u00dcber 28.000 Instanzen sind noch ungepatcht. Die US-CISA gibt den Beh\u00f6rden bis Montag, den 11. August 2025 Zeit zum Patchen. Was ist mit Deutschland?<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426,7459],"tags":[5359,4328],"class_list":["post-314407","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","category-software","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/314407","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=314407"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/314407\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=314407"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=314407"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=314407"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}