Die Situation mit ungeschützten Microsoft-Exchange-Servern hat eine kritische Wende genommen. Fast 29.000 Server sind noch ungepatcht, obwohl die CISA-Frist schnell näher rückt.
Weitreichendes Risiko vor Ablauf der Frist
Öffentliche Scans zeigten am frühen Montag, dass rund 29.000 ungepatchte Microsoft-Exchange-Server dem Internet ausgesetzt sind. Diese Server sind anfällig für eine schwerwiegende Sicherheitslücke – CVE-2025-53786 –, die es Angreifern ermöglichen könnte, ihre Berechtigungen auszuweiten und das verbundene Cloud-Ökosystem zu kompromittieren.
CISAs Notfallrichtlinie
Als Reaktion darauf hat die Cybersecurity and Infrastructure Security Agency (CISA) die Notfallrichtlinie 25-02 erlassen. Diese verpflichtet alle Bundesbehörden, die Schwachstelle zu patchen oder zu entschärfen und bis spätestens 9:00 Uhr EDT am 11. August 2025 Bericht zu erstatten. Behörden müssen Hotfixes installieren, veraltete Server vom Netz trennen und das Microsoft Exchange Health Checker-Skript ausführen, um die Einhaltung der Sicherheitsvorgaben zu gewährleisten.
Warum die Bedrohung so ernst ist
Die Schwachstelle betrifft hybride Exchange-Installationen und ermöglicht es einem Angreifer mit administrativem On-Premises-Zugang, in Microsoft-365-Cloud-Umgebungen einzudringen. Der gemeinsam genutzte Service Principal zwischen Exchange Server und Exchange Online macht diese Eskalation unauffällig und schwer zu erkennen.
Das Risiko wird dadurch verschärft, dass bösartige Aktivitäten möglicherweise keine klaren Protokolleinträge in der Cloud-Umgebung hinterlassen, was die Erkennung extrem erschwert.
Globale Reichweite und Folgen
Scans von Shadowserver zeigen auch globale Auswirkungen: Über 28.000 hybride Exchange-Instanzen sind weiterhin ungepatcht, mit betroffenen Servern unter anderem in den USA, Deutschland, Russland und darüber hinaus.
Was Organisationen jetzt tun müssen
- Installation des Hotfixes vom April 2025 oder einer neueren kumulativen Aktualisierung
- Umstieg auf die dedizierte Exchange-Hybrid-App
- Zurücksetzen gemeinsam genutzter Service-Principal-Anmeldedaten, falls nicht mehr benötigt
- Ausführen des Microsoft Health Checkers und Trennen nicht unterstützter Server
- Implementierung von Echtzeitüberwachung und Protokollierung zur Erkennung verdeckter Angriffe
Diese Maßnahmen sind nicht optional – unterlassene Schritte setzen Organisationen dem Risiko einer Kompromittierung auf Domänenebene in Cloud- und On-Premises-Umgebungen aus.
Fazit
Die Krise um ungeschützte Microsoft-Exchange-Server spitzt sich zu. Mit fast 29.000 weiterhin exponierten Servern und nur wenigen Stunden bis zum Ablauf der CISA-Frist stehen Organisationen vor gravierenden Risiken. Wird die Schwachstelle ausgenutzt, könnten Angreifer unbemerkt in die Cloud-Infrastruktur eindringen. Sofortiges Handeln ist nicht optional – es ist zwingend erforderlich.
0 Kommentare zu „Tausende Microsoft-Exchange-Server blieben ungeschützt“