Beobachtungen
Microsoft veröffentlichte am 06.08.2025 einen Warnhinweis über eine kritische Schwachstelle, die hybride Bereitstellungen von Exchange-Server betrifft. Laut Microsoft kann die als CVE-2025-53786 bezeichnete Schwachstelle von einem Angreifer ausgenutzt werden, um seine Berechtigungen zu erhöhen.
Methoden
Angreifer können über einen verwundbaren Exchange-Hybrid-Dienst zunächst administrative Zugriffsrechte auf einem lokalen Exchange-Server erlangen. Anschließend kann er seine Berechtigungen innerhalb der damit verbundenen Cloud-Umgebung erweitern, ohne dabei leicht nachweisbare Spuren zu hinterlassen.
Dieses Risiko entsteht, weil Exchange-Server und Exchange Online in Hybridszenarien denselben Dienst verwenden. Die Schwachstelle wurde bereits in Exchange Server 2016, 2019 sowie Subscription Edition RTM behoben.
Aktuell keine Attribution möglich
Microsoft weist zwar darauf hin, dass die Schwachstelle bislang nicht aktiv ausgenutzt wurde, jedoch schätzt das Unternehmen eine aktive Ausnutzung der Schwachstelle durch Angreifer als „wahrscheinlich“ ein.
Auch die US-Cybersicherheitsbehörde CISA hat eine Warnung zu CVE-2025-53786 veröffentlicht. Darin heißt es, dass zwar bisher keine Angriffe beobachtet wurden, Organisationen jedoch dringend aufgefordert werden, Patches und Gegenmaßnahmen zu implementieren, um nicht das Risiko einer vollständigen Kompromittierung der lokalen und hybriden Cloud-Domäne einzugehen.
Empfehlungen
Es ist nicht ungewöhnlich, dass staatlich Akteure Exchange-Server-Instanzen ins Visier nehmen. Im Katalog der bekannten ausgenutzten Schwachstellen von CISA sind derzeit 17 Exchange-Schwachstellen verzeichnet, die seit 2018 aktiv ausgenutzt wurden. Wir empfehlen daher, die von Microsoft zur Verfügung gestellten Patches und Updates unverzüglich einzuspielen.