CVE-2025-53786 in Exchange Hybrid-Umgebungen
Kritische Sicherheitslücke: CVE-2025-53786 in Exchange Hybrid-Umgebungen
Im August 2025 wurde die Sicherheitslücke CVE‑2025‑53786 öffentlich bekannt: Eine Elevation‑of‑Privilege‑Schwachstelle in Microsoft Exchange Hybrid‑Konfigurationen ermöglicht Angreifern mit Administratorzugriff auf einen lokalen Exchange‑Server den unentdeckten Zugriff auf die verbundene Cloud‑Umgebung, insbesondere Exchange Online. Gestern wurde von mehreren Stellen ein möglicher Exploit auf diesen Angriffsvektor gemeldet der durchaus ernstzunehmend ist. Viele anerkannte Meldestellen aus verschiedenen Ländern haben die Sicherheitslücke als hoch (Stufe 8.0 CVSS) eingestuft.
Was steckt dahinter?
Hybrid‑Deployments nutzen denselben Service Principal für lokale Exchange‑Server und Exchange Online. Diese gemeinsame Identität ermöglicht es Angreifern, Berechtigungen lateral auszudehnen, ohne auffällige Spuren zu hinterlassen. Die Schwachstelle wurde im April 2025 zunächst durch einen Hotfix adressiert – die Details dazu fanden weitere Aufmerksamkeit, was zur Einordnung als neue Schwachstelle führte.
Von CVE-2025-53786 betroffene Versionen.
– Exchange Server 2016 CU23
– Exchange Server 2019 CU14 & CU15
– Exchange Server Subscription Edition RTM
Diese Versionen sind anfällig, sofern sie in Hybrid‑Konfigurationen betrieben werden.
Bewertung & Einschätzung
- CVSS‑Score: 3.1 – 8.0 (High)
- Exploitation More Likely: Microsoft sieht ein hohes Risiko, dass ein Exploit entwickelt werden könnt
- Aktuell keine bekannten Exploits im Umlauf, doch CISA mahnt höchste Vorsicht an.
Handlungsempfehlungen
April 2025 Hotfix (oder neuer) auf allen betroffenen lokalen Exchange‑Servern installieren. Dedizierte Exchange Hybrid App einrichten – ersetzt den bisherigen Shared Service Principal und erhöht klar die Sicherheit. keyCredentials des Service Principals zurücksetzen, besonders wenn Hybrid‑ oder OAuth‑Authentifizierung nicht mehr aktiv genutzt wird. Microsoft Exchange Health Checker ausführen – zur Überprüfung der Umgebung und weiterer Handlungsschritte.
CISA Emergency Directive ED 25‑02: US‑staatliche Behörden müssen Maßnahmen bis 11. August 2025, 9 Uhr EDT umgesetzt haben; allgemein gilt:
Priorität sofort – Wie gesagt, das wird ein turbulentes Wochenende.
Fazit
Die Lücke CVE-2025-53786 ist eine ernste, gut bewertete Schwachstelle in Exchange Hybrid-Konfigurationen – sie erlaubt Angreifern, von lokalem Adminzugriff bis in die Cloud vorzudringen. Der Weg zur Absicherung verläuft über Hotfixes, eine dedizierte Hybrid-App und sauberes Aufräumen der Service-Credentials. Jetzt zu handeln ist essenziell – und bietet die Chance, IT-Sicherheit in hybriden Umgebungen nachhaltig zu stärken.
Bei den von uns betreuten Unternehmen wurden die Patches bereits ausgerollt oder befinden sich in der Implementierungsphase.
Falls ihr Unterstützung bei der Umsetzung oder Beratung benötigt – sagt einfach Bescheid!