Sicherheitslücke in hybriden Microsoft Exchange-Umgebungen: Erhöhtes Risiko für unbemerkte Rechteausweitung

Unternehmen, die Microsoft Exchange in einer hybriden Konfiguration (Exchange Server On-Prem und Exchange Online via Exchange HCW) betreiben, sollten umgehend aktiv werden.

Microsoft und die US-Behörde CISA (Cybersecurity & Infrastructure Security Agency) warnen eindringlich vor einer kritischen Sicherheitslücke (CVE-2025-53786), die in bestimmten Konstellationen zu einer unbemerkten Rechteausweitung in der Cloud führen kann. 

Was ist das Risiko?

Die Schwachstelle betrifft ausschließlich hybride Exchange-Instanzen. Ein Angreifer, der administrativen Zugriff auf einen lokalen Exchange Server erlangt hat, kann sich über die gemeinsame Authentifizierungsstruktur erweiterte Rechte in Exchange Online verschaffen – ohne auffällige oder gut protokollierte Spuren zu hinterlassen.

Das Gefährliche: Exchange Server und Exchange Online teilen sich in Hybrid-Szenarien denselben Service Principal. Dadurch entsteht ein potenzielles Einfallstor, über das lokale Kompromittierung in die Cloud durchschlägt.

CVSS-Einstufung im Überblick

• Scope Change (S:C): Der Angriff wirkt sich nicht nur auf Exchange Server aus, sondern auch auf Exchange Online – ein kritischer Geltungsbereichswechsel.
• Attack Complexity (AC:H): Die Ausnutzung erfordert zunächst Adminrechte auf dem lokalen Exchange-Server – ist also nicht trivial, aber realistisch.

Was muss jetzt getan werden?

Microsoft hat am 18. April 2025 einen Hotfix veröffentlicht, um diese Schwachstelle zu entschärfen. Unternehmen sollten folgende Schritte durchführen:

1. Hotfix oder eine neuere Version auf allen lokalen Exchange Servern installieren.
2. „Dedicated Exchange Hybrid App“ gemäß Microsoft-Dokumentation konfigurieren.
3. Zertifikate aus keyCredentials des gemeinsamen Service Principals entfernen, um Alt-Zugänge zu bereinigen.
4. Auch wenn Exchange Hybrid oder OAuth zwischenzeitlich deaktiviert wurden: keyCredentials zurücksetzen.

Nutzer:innen der neuen Exchange Server Subscription Edition (SE) sind geschützt – sofern sie die Hybrid-App-Funktion korrekt aktiviert und konfiguriert haben. Hierzu müssen unbedingt die Schritte 3 und 4 befolgt werden.

Fazit

Auch wenn bislang keine aktiven Angriffe bekannt sind, besteht akuter Handlungsbedarf. Die Kombination aus lokalem Zugriff und stiller Eskalation in die Cloud macht diese Schwachstelle besonders brisant. Wer Microsoft Exchange Hybrid einsetzt, sollte umgehend prüfen, ob die Schutzmaßnahmen implementiert sind.

Sie benötigen Unterstützung bei der Behebung der Sicherheitslücke? Wir helfen gerne!

Quelle: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786