Gefährlicher Hybridbetrieb: Microsoft Exchange jetzt richtig härten
Hybride Exchange-Setups sind aktuell nicht nur im Wandel, sondern auch Ziel hochriskanter Sicherheitslücken. Nur mit dedizierten Apps, einem aktuellen Hotfix und konsequentem Cleanup bleibt Ihr Hybridbetrieb sicher – und zukunftsfähig.
Dringende Sicherheitslücke: CVE-2025-53786
- Im August 2025 wurde eine schwerwiegende Schwachstelle (CVE‑2025‑53786) bekannt: Ein Angreifer mit Admin-Zugriff auf einen lokalen Exchange-Server kann über das Hybrid-Setup erhöhte Rechte in Exchange Online erlangen — nahezu unauffällig.
- Sowohl Microsoft als auch CISA warnen eindringlich: Auch wenn bislang keine Angriffe gemeldet wurden, ist dringendes Handeln nötig.
- Der erste Schritt: Aktualisierung der Exchange Server auf den aktuellen Stand, mindestens auf die April‑2025‑Hotfixes.
Neuer Standard: Dedicated Exchange Hybrid Application
- Seit April 2025 gelten neue Sicherheitsregeln: Microsoft setzt statt des generischen “Office 365 Exchange Online” App‑Service-Principals auf je Tenant eine dedizierte Hybrid-App, die deutlich restriktiver und sicherer ist
- Diese Umstellung ist Pflicht bis spätestens Oktober 2025, um wichtige Funktionen wie Free/Busy, MailTips und Profilbilder im Hybridbetrieb zu erhalten
- Parallel wird die alte Exchange Web Services (EWS) Schnittstelle durch REST-basierte Microsoft Graph API ersetzt – mit Granularisierung der Berechtigungen und neuer App-Struktur. Spätestens bis Oktober 2026 muss dieser Schritt abgeschlossen sein.
Hybrider Exchange-Betrieb ist aktuell doppelt gefährdet: durch eine hohe Sicherheitslücke und bevorstehende Architekturänderungen. Die Umstellung auf eine dedizierte Hybrid-App plus konsequenter Cleanup ist unabdingbar – nicht irgendwann, sondern jetzt. Dann sind Sie nicht nur gegen Angriffe geschützt, sondern auch für die Zukunft gewappnet.
Weitere Informationen
- https://www.heise.de/news/Jetzt-absichern-Microsoft-Exchange-ist-im-hybriden-Betrieb-verwundbar-10512743.html
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
- https://www.cisa.gov/news-events/alerts/2025/08/06/microsoft-releases-guidance-high-severity-vulnerability-cve-2025-53786-hybrid-exchange-deployments
- https://www.msxfaq.de/cloud/exchangeonline/hybrid/dedicated_hybrid_application.htm
