Exchange Server SE Updates

Als ich diese Seite schreibe, dauert es noch mindestens ein Jahr bis Server SE released wird. Dennoch gibt es es schon erste Informationen zu dem erste Updates nach dem Releasedatum. Die Zählung der Updates beginnt mit Exchange Server SE wieder bei "CU1" und ich bin mir gar nicht sicher wie weit Microsoft das zukünftig beibehalten wird, denn eine Versionsnummer ha Exchange dann nicht mehr. Exchange wird als Subscription ja kontinuierlich weiterentwickelt. Vielleicht bekommen wir dann bald ein "Exchange Server SE 25H2" und andere aufsteigende Bezeichnungen mit Jahreszahl und Halbjahr

CU2 (geplant)

Zuerst wollte Microsoft schon mit Exchange SE CU1 die Koexistenz mit Exchange 201/2019 abschalten. Dann hat man es sich noch mal anders überlegt und diese Blockade soll nun erst mit Exchange SE CU2 kommen.

Achtung:
CU2 kann nur installiert werden, wenn kein Exchange 2016/2019 Server mehr in der Umgebung ist. Bis dahin muss ihre OnPremises Migration abgeschlossen sein!

• Removal of support for co-existence with earlier versions
  Diesen Punkt sollten Sie nicht überlesen, denn das bedeutet zum einen, dass alle Exchange 2019/2016-Server deinstalliert sein müssen und Sie das CU2 erst installieren können, wenn dies der Fall ist. Wenn im CU2 also kritische Updates enthalten sind, dann können Sie dies bis zum Abschluss einer Migration noch nicht installieren!
• Weitere Updates kenne ich offiziell noch nicht

Allerdings hat Microsoft am 16. Juli noch einen Artikel veröffentlicht

Update: Gegen Bezahlung können sie für 6 Monate einen Extended Support kaufen
Announcing Exchange 2016 / 2019 Extended Security Update program
https://techcommunity.microsoft.com/blog/exchange/announcing-exchange-2016--2019-extended-security-update-program/4433495 

Es könnte sein, dass Microsoft nun auch das Release-Datum von CU2 auf das erweiterte Supportende von Exchange 2016/2019 verschiebt. Das ist aber nur eine Vermutung.

• Upgrading your organization from current versions to Exchange Server SE
  https://techcommunity.microsoft.com/blog/exchange/upgrading-your-organization-from-current-versions-to-exchange-server-se/4241305

CU1 (geplant)

Zuerst wird es aber relativ kurz nach dem Release von Exchange Server SE ein erstes CU geben, welches weniger durch neue sondern eher durch Wegfall von Funktionen auch sich aufmerksam macht. Microsoft schreibt dazu schon im März 2024, also mehr als 18 Monate vor dem Release darüber (Quelle https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-roadmap-update/ba-p/4132742)

• Kerberos for server-to-server communication
  Da gehe ich noch mit und es ist eher fraglich, warum das nicht schon immer der Fall war. Da Microsoft aber den Rückbau von NTLM angekündigt hat, ist der Schritt erwartet und dürfte auch keine Probleme verursachen. Maschinenanmeldung per Kerberos gibt es schon seit Windows 2000, also über 24 Jahre.
• Adding support for an Admin API and deprecating RPS
  Das klingt interessant aber man wird abwarten, was davon ankommt. RPS ist das Protokoll zwischen Exchange Powershell und dem Exchange Server. ein Wechsel auf REST macht hier sinn aber ich bin gespant, ob es dann auch eine dokumentierte REST-API für administrative Funktionen gibt und nicht nur das interne Protokoll umgestellt wird.
• Removing Outlook Anywhere
  Die Abschaltung von "/RPC" habe ich erwartet. MAPI/HTTP ist ja schon seit Outlook 2010 möglich und in Exchange Online seit 2017 abgeschaltet. Outlook 2007 und früher können sich dann notfalls nur noch per IMAP4 verbinden. Wer aber so alte Clients noch betreibt, sollte sich um eine Ablösung bemühen.
• Removal of support for co-existence with earlier versions
  Diesen Punkt sollten Sie nicht überlesen, denn das bedeutet zum einen, dass alle Exchange 2019/2016-Server deinstalliert sein müssen und Sie das CU1 erst installieren können, wenn dies der Fall ist. Wenn im CU1 also kritische Updates enthalten sind, dann können Sie dies bis zum Abschluss einer Migration noch nicht installieren!
• Updating the Visual C++ redistributable to the version that ships with Visual Studio 2022
  Das sehe ich unkritisch
• Removal of support for UCMA 4.0 and the instant messaging feature in Outlook on the web
  Der Wegfall einer "Chatfunktion" in OWA mit Skype for Business dürfte auch nur wenige Firmen betreffen.

Dass so früh vor dem Release-Datum natürlich noch keine Informationen über "Sicherheitsupdates" genannt werden, ist verständlich.

Jan 2026 - Kein Update

Diesen Monat gibt es zwar Updates für das Windows Betriebssystem aber keine Updates für Exchange Server SE. Natürlich nutzt Microsoft einen kleinen Eintrag im Exchange Team Blog zur Warnung, dass Exchange 2019/2016 keinen Support und keine Updates mehr erhalten und man möglichst schnell auf Exchange Server SE migrieren sollte und zwischenzeitlich über das "Extended Security Update"-Programm zumindest Security Updates bekommen könnte.

• No Exchange Server Security Updates for January 2026
  https://techcommunity.microsoft.com/blog/Exchange/no-exchange-server-security-updates-for-january-2026/4485332
• Announcing Exchange 2016 / 2019 Extended Security Update program
  https://techcommunity.microsoft.com/blog/exchange/announcing-exchange-2016--2019-extended-security-update-program/4433495
• Support for Exchange Server 2016 and Exchange Server 2019 ends today
  https://techcommunity.microsoft.com/blog/exchange/support-for-exchange-server-2016-and-exchange-server-2019-ends-today/4461192
  

Dez 2025 Security Update

Seit dem 9. Dez gibt es ein Security Updates für Exchange Server SE, 2019 und 2016. Da Exchange 2016 und 2019 aber "out of Support" sind, erhalten das Update für diese Versionen nur Kunden, die das Extended Security Update-Programm (ESU) bezahlten. Das bedeutet faktisch, dass alle Exchange 2016/2019 Server im Risiko sind, weil Angreifer anhand der Analyse des öffentlich verfügbaren Exchange Server SE Updates vielleicht den Angriffsvektor ermitteln können. Zwar werden beide Updates mit einem CVE-Level von 5,3 bzw. 7,5 bewertet und ein Angriff als "wenig wahrscheinlich" beschrieben, aber ich schätze das Risiko schon als gegeben ein. Beschleunigen Sie ihre Updates auf Exchange SE oder Exchange Online und entfernen Sie die alten Exchange Server

Download Security Update for Exchange Server SE RTM SU4 (KB5071876)
https://www.microsoft.com/en-us/download/details.aspx?id=108493 (157 MB)

• Released: December 2025 Exchange Server Security Updates | Microsoft Community Hub
  https://techcommunity.microsoft.com/blog/exchange/released-december-2025-exchange-server-security-updates/4474949
• KB5071873 Description of the security update for Microsoft Exchange Server 2016 CU23: December 9, 2025
  https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2016-cu23-december-9-2025-kb5071873-b349f70e-69b2-4395-a455-3e23366185ed
• KB5071874 Description of the security update for Microsoft Exchange Server 2019 CU14: December 9, 2025
  https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-cu14-december-9-2025-kb5071874-9402eaeb-2a63-4115-93a1-317f78651bf7
• KB5071875 Description of the security update for Microsoft Exchange Server 2019 CU15: December 9, 2025
  https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-cu15-december-9-2025-kb5071875-5b597d17-e1af-4a4c-a2cc-3238ee734b89
• KB5071876 Description of the security update for Microsoft Exchange Server Subscription Edition RTM: December 9, 2025
  https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-subscription-edition-rtm-december-9-2025-kb5071876-70fb7668-2c51-49ab-b7f0-c53f29ca14da
• CVE-2025-64666 - Microsoft Exchange Server Elevation of Privilege Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-64666
  "Successful exploitation of this vulnerability requires an attacker to take additional actions prior to exploitation to prepare the target environment."
  "An attacker who successfully exploited this vulnerability could gain administrator privileges."
• CVE-2025-64667​​​​​​​ - Microsoft Exchange Server Spoofing Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-64667
  "An attacker could spoof incorrect 5322.From email address that is displayed to a user."

Der offizielle Weg zu Updates für Exchange 2016/2019 geht über das ESU-Programm

• Announcing Exchange 2016 / 2019 Extended Security Update program
  https://techcommunity.microsoft.com/blog/exchange/announcing-exchange-2016--2019-extended-security-update-program/4433495
• Support for Exchange Server 2016 and Exchange Server 2019 ends today
  https://techcommunity.microsoft.com/blog/exchange/support-for-exchange-server-2016-and-exchange-server-2019-ends-today/4461192

Ich kann ihnen aus verständlichen Gründen diese Updates nicht zur Verfügung stellen.

Nov 2025 (keine Updates)

Im November 2025 wurden für Exchange SE keine Updates bereitgestellt.

Es gibt zwar keine offizielle Aussage aber es ist recht wahrscheinlich, dass damit auch keine bekannten Sicherheitslücken in Exchange 2016/2019 ungepatcht sind.

• No Exchange Server Security Updates for November 2025
  https://techcommunity.microsoft.com/blog/exchange/no-exchange-server-security-updates-for-november-2025/4468993

Okt 2025 (SE RTM SU3)

Am 14. Oktober hat Microsoft nicht nur die finalen öffentlichen Updates für Exchange 2016/2019 veröffentlicht, sondern auch Exchange SE mit den gleichen Fixes versorgt

• Description of the security update for Microsoft Exchange Server Subscription Edition RTM: October 14, 2025 (KB5066366)
  https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-subscription-edition-rtm-october-14-2025-kb5066366-f7e414bb-904c-48a5-b83c-6c90905bbb7b

Adressiert werden drei Sicherheitsrelevante Themen und eine Funktion wird entfernt.

• CVE-2025-59249: Sicherheitsrisiko durch Rechteerweiterungen Microsoft Exchange Server
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59249
  The attacker would be able to take over the mailboxes of all Exchange users, attackers can send emails, read emails, download attachments. An attacker would first have to compromise with a user account who is member of an admin group to run the required code.
• CVE-2025-53782: Sicherheitsrisiko durch Rechteerweiterungen Microsoft Exchange Server
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53782
  "Incorrect implementation of authentication algorithm in Microsoft Exchange Server allows an unauthorized attacker to elevate privileges locally. To exploit this vulnerability, an attacker would first have to log on to the system. An attacker could then run a specially crafted application that could exploit the vulnerability and take control of an affected system."
• CVE-2025-59248: Sicherheitsanfälligkeit in Microsoft Exchange Server Spoofing
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59248
  "Improper input validation in Microsoft Exchange Server allows an unauthorized attacker to perform spoofing over a network."
• Der Export des Authentifizierungszertifikats über das Exchange-Cmdlet wird nicht mehr unterstützt.
  https://support.microsoft.com/de-de/topic/der-export-des-authentifizierungszertifikats-über-das-exchange-cmdlet-wird-nicht-mehr-unterstützt-9caaa0db-07e5-42a0-9c71-1720b9d43cba

Die Security Updates sind wichtig aber sie sehen auch, das der Angreifer entweder authentifiziert oder sich sogar auf dem Server anmelden muss. Ich möchte die Risiken nicht kleinreden, aber wer die Anmeldung auf Servern auf ausgewählte Administratoren beschränkt und den Zugriff über das Netzwerk über eine Preauthentication absichert, z.B. Reverse Proxy, dürfte weniger Sorgen haben. Solche allgemeine Schutzeinrichtungen werden vielleicht wichtig, wenn die nächsten SE-Updates ähnliche Lücken nahelegen.

Für die hier beschrieben Lücken hat Microsoft entsprechende Updates bereitgestellt, die Sie installieren sollten.

Security Update for Exchange Server SE RTM SU3 (KB5066366)
https://www.microsoft.com/en-us/download/details.aspx?id=108422

Sep 2025 (SE RTM HU2)

Am 8. September kam das nächste Update für die noch unterstützten Exchange Server Versionen. Es ist auch wirklich nur ein Hotfix, um ein Problem mit dem Online Archiv und OnPremises Usern korrigiert.

• Released: September 2025 Exchange Server Hotfix Updates | Microsoft Community Hub
  https://techcommunity.microsoft.com/blog/exchange/released-september-2025-exchange-server-hotfix-updates/4448721
• Hotfix update for Exchange Server Subscription Edition RTM HU2: September 8, 2025 (KB5066373)
  https://support.microsoft.com/en-us/topic/hotfix-update-for-exchange-server-subscription-edition-rtm-hu2-september-8-2025-kb5066373-7c1d02ca-c9c0-41ec-9279-4fa245341a9c
• ​​​​​​​Online archiving fails for on-premises users in hybrid environment
  https://support.microsoft.com/en-us/topic/online-archiving-fails-for-on-premises-users-in-hybrid-environment-ab3b6a9f-18bf-493b-b47d-450ad7c89ed4
• Hotfix update for Exchange Server 2019 CU14 HU7: September 8, 2025 (KB5066371)
  https://support.microsoft.com/en-us/topic/hotfix-update-for-exchange-server-2019-cu14-hu7-september-8-2025-kb5066371-3cf1b690-3788-4f9f-b5b4-1fce39bb874b
• Hotfix update for Exchange Server 2019 CU15 HU4: September 8, 2025 (KB5066372)
  https://support.microsoft.com/en-us/topic/hotfix-update-for-exchange-server-2019-cu15-hu4-september-8-2025-kb5066372-fa57ca1b-7562-486b-b376-c69d8513488d
• Hotfix update for Exchange Server 2016 CU23 HU18: September 8, 2025 (KB5066370)
  https://support.microsoft.com/en-us/topic/hotfix-update-for-exchange-server-2016-cu23-hu18-september-8-2025-kb5066370-594c7a45-f9be-41ab-9271-8bc9cfbcfed5

Downloads
ExSE RTM HU2 (KB5066373) https://www.microsoft.com/en-us/download/details.aspx?id=108370
Ex2019 CU14 HU7 (KB5066371) https://www.microsoft.com/en-us/download/details.aspx?id=108369
Ex2019 CU15 HU4 (KB5066372) https://www.microsoft.com/en-us/download/details.aspx?id=108368
Ex2016 CU23 HU18 (KB5066370) https://www.microsoft.com/en-us/download/details.aspx?id=108367

Aug 2025 HU (SE RTM SU1)

Am 12. August 2025 wurde geplant die nächsten Updates für Exchange 2016/2019/SE veröffentlicht worden. Es ist kein Feature-Update sondern folgende Lücken werden gesichert.

• CVE-2025-25005: Sicherheitsanfälligkeit in Microsoft Exchange Server Manipulation
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-25005
• CVE-2025-25006: Sicherheitsrisiko durch Microsoft Exchange Server Spoofing
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-25006
• CVE-2025-25007: Sicherheitsanfälligkeit in Microsoft Exchange Server Manipulation
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-25007
• CVE-2025-33051: Sicherheitsrisiko durch Microsoft Exchange Server Offenlegung von Informationen
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33051

Download
Microsoft Exchange Server 2016 Cumulative Update 23 SU17 - https://www.microsoft.com/en-us/download/details.aspx?id=108333
Microsoft Exchange Server 2019 Cumulative Update 15 SU3 - https://www.microsoft.com/en-us/download/details.aspx?id=108334
Microsoft Exchange Server 2019 Cumulative Update 14 SU6 - https://www.microsoft.com/en-us/download/details.aspx?id=108336
Security Update for Exchange Server Subscription Edition SU1 - https://www.microsoft.com/en-us/download/details.aspx?id=108339

• Released: August 2025 Exchange Server Security Updates
  https://techcommunity.microsoft.com/blog/exchange/released-august-2025-exchange-server-security-updates/4441596
• Description of the security update for Microsoft Exchange Server 2019: August 12, 2025 (KB5063221)
  https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-august-12-2025-kb5063221-02a94d29-c2c3-4733-9eb4-66223ff0c355
• Description of the security update for Microsoft Exchange Server 2016: August 12, 2025 (KB5063223)
  https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2016-august-12-2025-kb5063223-05902b35-9407-4cff-a230-cf63beaf4312
• Security Update for Exchange Server Subscription Edition SU1 (KB5063224) (156MB)
  https://www.microsoft.com/en-us/download/details.aspx?id=108335 

RTM (1. Juli 2025)

Die erste Version von Exchange Server SE ist im Grunde eine Exchange 2019 CU15-Version, bei der wohl primäre einige Namen in der Anzeige und natürlich die Lizenzbedingungen bei der Installation geändert werden. Microsoft macht da auch kein Geheimnis raus, so das im wesentlichen die auf Updates für Exchange 2019 gemachten Aussagen zum CU15 auch für Exchange Server SE zutreffen werden.

Weitere Links

• Exchange Updates
• Updates für Exchange 2019
• Exchange Server SE
• Exchange Server SE Roadmap
• Exchange Server Roadmap Update - May 2024
  https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-roadmap-update/ba-p/4132742
• Exchange Server Roadmap Update – June 2022
  https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-roadmap-update/ba-p/3421389
• RPC over HTTP reaches end of support in Microsoft 365 on October 31, 2017
  https://learn.microsoft.com/en-us/exchange/troubleshoot/administration/rpc-over-http-end-of-support
• BSI: Support-Ende: Zehntausende Exchange-Server gefährdet
  https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251028_Support_Ende_Exchange-Server.html