Sicherheitslücke
Microsoft Exchange: Risiko für komplette Domain-Übernahme
Microsoft und die US-Behörde CISA warnen vor einer neuen Schwachstelle in Exchange-Server-Hybridsystemen. Laut Einschätzung könne diese zu einer vollständigen Kompromittierung von Cloud- und On-Premises-Umgebungen führen. Organisationen sollten die empfohlenen Sicherheitsmaßnahmen umgehend umsetzen.
Laut Microsoft betrifft die Sicherheitslücke mit der Kennung CVE-2025-53786 Exchange-Server in hybriden Umgebungen. Diese Systeme verbinden lokale Exchange-Installationen mit Exchange Online. Die Schwachstelle ermöglicht es Angreifern unter bestimmten Voraussetzungen, Rechte aus der lokalen Umgebu...
Laut Microsoft betrifft die Sicherheitslücke mit der Kennung CVE-2025-53786 Exchange-Server in hybriden Umgebungen. Diese Systeme verbinden lokale Exchange-Installationen mit Exchange Online. Die Schwachstelle ermöglicht es Angreifern unter bestimmten Voraussetzungen, Rechte aus der lokalen Umgebung in die Cloud auszuweiten.
Potenzial für „vollständige Domain-Übernahme“
Die US-Behörde für Cyber- und Infrastruktursicherheit (CISA) stufte die Lücke als gravierend ein. In einer Mitteilung erklärte die Behörde, ein erfolgreicher Angriff könne zu einer vollständigen Kompromittierung sowohl der lokalen als auch der Cloud-basierten Infrastruktur führen. Obwohl bisher keine aktiven Angriffe bekannt seien, stuft Microsoft die Wahrscheinlichkeit einer Ausnutzung als hoch ein.
Frist für Behörden bis Mitte August
CISA hat US-Bundesbehörden angewiesen, die Lücke bis spätestens 11. August 2025 zu schließen. Die Dringlichkeit begründet sich unter anderem durch frühere Fälle, in denen Exchange-Systeme von staatlichen Akteuren kompromittiert wurden.
Ursache liegt in Identitätsverwaltung
Laut Microsoft entsteht die Lücke durch die Art und Weise, wie in hybriden Umgebungen gemeinsame Identitäten für die Authentifizierung zwischen lokalem Server und Cloud genutzt werden. Änderungen an der Konfiguration, die bereits im April empfohlen wurden, sollen das Problem beheben.
Eingeschränkte Angriffsvoraussetzungen
Ein Angreifer müsste bereits über Administratorrechte auf einem lokalen Exchange-Server verfügen, um die Schwachstelle ausnutzen zu können. Unter dieser Voraussetzung wäre jedoch eine unauffällige Privilegienerweiterung in der Cloud möglich.
Maßnahmen zur Absicherung
Betreiber von Exchange-Hybridsystemen sollten laut Microsoft
- das April-Hotfix (oder eine neuere Version) auf allen lokalen Exchange-Servern installieren ,
- die in der Microsoft-Dokumentation beschriebenen Konfigurationsänderungen umsetzen
- und anschließend den Service-Principal-Schlüssel (
keyCredentials) zurücksetzen.
Wiederholte Sicherheitsprobleme
Die aktuelle Lücke reiht sich in eine Serie von Sicherheitsvorfällen rund um Microsoft-Dienste ein, darunter Schwachstellen in SharePoint, die bereits aktiv ausgenutzt wurden.
