Funktionseinschränkungen ab August 2025
Microsoft beginnt ab August 2025 in mehreren Wellen mit der Blockierung der bisherigen Verbindungsart über Exchange Web Services (EWS). Spätestens ab dem 31. Oktober 2025 werden diese dauerhaft abgeschaltet, sofern keine Umstellung erfolgt.
Betroffen sind Hybridumgebungen mit einem OnPremise Exchange Server, bei denen noch Postfächer vor Ort betrieben werden und gleichzeitig Exchange Online aktiv im Einsatz ist. In diesen Umgebungen wird häufig die Verfügbarkeit von Kalenderinformationen (Free/Busy) über EWS zwischen den Systemen synchronisiert. Genau diese Funktion wird zukünftig nicht mehr verfügbar sein, wenn weiterhin die veraltete Verbindungsmethode genutzt wird.
Sicherheitslücke im Exchange OnPremise (CVE-2025-53786)
Auf der Sicherheitskonferenz Black Hat USA wurde eine Schwachstelle veröffentlicht, die den bisher genutzten Shared Service Principal betrifft. Dieser wurde in jeder Umgebung automatisch angelegt, wenn der Hybrid Configuration Wizard ausgeführt wurde. Die Schwachstelle kann von einem Angreifer ausgenutzt werden, wenn der Exchange Server bereits kompromittiert ist, und erlaubt im schlimmsten Fall die vollständige Kontrolle über die E-Mail-Domäne.
Der Shared Service Principal ist auch dann noch aktiv, wenn sich keine Postfächer mehr auf dem lokalen Exchange-Server befinden.
Bin ich betroffen? Was muss ich tun?
1. Ihr betreibt noch eine hybride Umgebung mit lokalen Exchange-Postfächern
In diesem Fall seid ihr unmittelbar betroffen, wenn in eurer Umgebung weiterhin Free/Busy-Abfragen oder andere EWS-Funktionen zwischen lokalen und cloudbasierten Postfächern verwendet werden.
Microsoft wird die EWS-Verbindungen, die über den bisherigen Shared Service Principal laufen, ab August 2025 stufenweise blockieren. Ohne Umstellung ist spätestens ab dem 31. Oktober 2025 keine Free/Busy-Synchronisation mehr möglich.
- 19-20. August 2025 (erste temporäre Blockierung)
- 16-18. September 2025 (zweite temporäre Blockierung)
- 07-10. Oktober 2025 (dritte temporäre Blockierung)
- ab 31. Oktober 2025 dauerhaft
Was ist zu tun?
- Installation des aktuellen Sicherheitsupdates (April 2025)
- Umstellung auf die neue, sichere Dedicated Hybrid App
- Ausführung des neuen Hybrid Configuration Wizard (veröffentlicht am 05.08.2025), oder
- alternativ per PowerShell-Skript ConfigureExchangeHybridApplication.ps1
- Aktivierung des neuen Verbindungsmodells über das Override Setting
- Bereinigung des Shared Service Principals
Nur mit dieser Umstellung bleibt die hybride Funktionalität, insbesondere Free/Busy, dauerhaft erhalten.
2. Ihr nutzt Exchange nur noch für Verwaltungsaufgaben (Management-Only)
Auch wenn keine Postfächer mehr lokal betrieben werden, besteht ein Sicherheitsrisiko durch den weiterhin aktiven Shared Service Principal. Dieser wurde automatisch eingerichtet, wenn in der Vergangenheit der HCW verwendet wurde.
Was ist zu tun?
- Installation des aktuellen Sicherheitsupdates (April 2025)
- Ausführung eines Cleanup-Skripts zur Entfernung des Shared Service Principals
- Wenn keine Maildienste mehr lokal genutzt werden, sollte der Exchange Server nicht mehr direkt aus dem Internet erreichbar sein
3. Ihr seid unsicher, ob eure Umgebung betroffen ist?
Wir unterstützen euch bei der Prüfung und Umsetzung der notwendigen Maßnahmen. Nimm gerne Kontakt zu uns auf!
Weitere technische Hintergrundinformationen: