Exchange Server April-Rollup schliesst kritische RCE — On-Prem sofort patchen
MSRC hat eine nicht-authentifizierte RCE in der ECP-Komponente von Exchange 2019 und 2022 gepatcht. Erste Ausnutzungs-Signale aus CH-Netzen sind vom NCSC gemeldet.
Das Microsoft Security Response Center hat im April-Rollup eine als kritisch eingestufte Schwachstelle in Exchange Server 2019 CU14 und 2022 CU1 bekannt gegeben. Die Lücke erlaubt eine Remote Code Execution über die Exchange Control Panel-Komponente ohne gültige Authentifizierung. NCSC Schweiz hat parallel eine Advisory mit ersten Beobachtungen aus CH-Netzen veröffentlicht.
Was KMU mit Exchange On-Prem sofort tun
Der KB5049812 (Exchange 2019) beziehungsweise KB5049813 (Exchange 2022) müssen innerhalb der nächsten 48 Stunden eingespielt werden. Wer den Patch nicht sofort deployen kann: ECP-Endpunkt extern über den Reverse-Proxy sperren und interne /ecp/-Zugriffe über IIS-Logs der letzten sieben Tage auf verdächtige POST-Requests prüfen.
Was Exchange-Online-Kunden tun
Nichts. Der Online-Service ist serverseitig bereits gepatcht, Microsoft hat die Lücke dort laut eigener Aussage vor dem Rollout geschlossen. Der Fall ist ein Argument für die Migration weg von On-Prem-Exchange — was Microsoft spätestens seit 2022 konsequent kommuniziert.