Exchange Server 2016/2019/SE RTM Security Updates (Oktober 2025)
Pünktlich zum Ende des erweiterten Supports für Exchange Server 2016 und Exchange Server 2019 am 14. Oktober 2025 hat Microsoft ein letztes öffentlich verfügbares Security Update (SU) für diese Versionen veröffentlicht. Gemeinsam mit einem Update für die Exchange Server Subscription Edition (SE) schließt es eine Reihe von Sicherheitslücken.
Damit markiert diese Veröffentlichung nicht nur ein wichtiges, letztes Update für bestehende Exchange-Umgebungen, sondern auch einen entscheidenden Wendepunkt: Für Exchange Server 2016 und 2019 ist dies das letzte Sicherheitsupdate, das ohne eine zusätzliche Extended-Support-Vereinbarung verfügbar sein wird.
Betroffene Versionen und behobene Sicherheitslücken
Die Oktober-2025-Sicherheitsupdates stehen für folgende Exchange-Server-Versionen zur Verfügung:
- Exchange Server Subscription Edition (SE RTM)
- Exchange Server 2019 CU14 und CU15
- Exchange Server 2016 CU23
Damit sollte das Update umgehend in allen produktiven Umgebungen installiert werden. Es schließt mehrere kritische Schwachstellen, die von Microsoft mit dem Schweregrad "Wichtig" eingestuft wurden. Bugs sind bisher nichts bekannt.
- CVE-2025-53782: Rechteerweiterung durch fehlerhafte Authentifizierung
- Bewertung: CVSS 8.4 (hoch)
- Auswirkung: Ein Angreifer kann nach erfolgreicher Anmeldung lokal Code ausführen und dadurch höhere Berechtigungen erlangen. Dies ermöglicht umfassenden Zugriff auf Benutzerpostfächer, einschließlich dem Lesen und Senden von E-Mails sowie dem Herunterladen von Anhängen. Technisches Detail: Ursache ist eine fehlerhafte Implementierung des Authentifizierungsalgorithmus (CWE-303).
- Angriffsszenario: Der Angreifer muss sich zunächst am System anmelden oder einen lokalen Nutzer dazu verleiten, eine manipulierte Datei zu öffnen. Anschließend kann durch eine speziell präparierte Anwendung vollständige Kontrolle über das System erlangt werden.
- CVE-2025-59248: Spoofing-Schwachstelle durch unzureichende Eingabevalidierung
- Bewertung: CVSS 7.5 (hoch)
- Auswirkung: Aufgrund fehlerhafter Eingabevalidierung (CWE-20) kann ein Angreifer Nachrichten oder Inhalte spoofen und sich somit als eine andere Identität ausgeben. Dies kann zur Täuschung von Benutzern oder für weiterführende Angriffe (z. B. Phishing) genutzt werden.
- Angriffsszenario: Der Angriff kann remote über das Netzwerk erfolgen, ohne dass Benutzerinteraktion erforderlich ist. Besonders gefährlich ist diese Schwachstelle, da sie Angreifern ermöglicht, Authentizitätsprüfungen zu umgehen und Vertrauen in legitime Kommunikationskanäle auszunutzen.
- CVE-2025-59249: Rechteerweiterung über schwache Authentifizierung
- Bewertung: CVSS 8.8 (hoch)
- Auswirkung: Ein Angreifer kann durch Ausnutzen einer Schwachstelle in der Authentifizierungslogik (CWE-1390) administrative Berechtigungen erlangen und dadurch auf alle Postfächer im Exchange-System zugreifen, E-Mails lesen und versenden sowie Anhänge exfiltrieren.
- Angriffsszenario: Erfordert initial den Zugriff auf ein Benutzerkonto mit administrativen Berechtigungen. Anschließend kann der Angreifer Netzwerkzugriff nutzen, um gezielt Code auszuführen und sich dauerhaften Zugriff zu sichern.
Export des Authentifizierungszertifikats wird ab diesem SU blockiert
Mit dem Oktober-Update wurde auch eine sicherheitsrelevante Änderung eingeführt. Der Export des Authentifizierungszertifikats samt privatem Schlüssel über das Exchange-Cmdlet Export-ExchangeCertificate wird nicht mehr unterstützt.
Diese Funktion wurde bewusst deaktiviert, um die Angriffsfläche zu reduzieren und den unbefugten Zugriff auf besonders sensible Zertifikatsdaten zu verhindern.
Administratoren, die dennoch einen Export benötigen, etwa für Backup- oder Migrationsszenarien, sollten stattdessen auf alternative, sicherere Methoden zurückgreifen. So z.B. das PowerShell-Cmdlet Export-PfxCertificate.
