Exchange Server 2019: Kritische SSRF-Lücke gefährdet Unternehmen
04.07.2026 - 04:14:46 | boerse-global.de
Während die Funktion für professionelle Kommunikation unverzichtbar ist, warnen Sicherheitsexperten vor einem deutlichen Anstieg von Business Email Compromise (BEC)-Angriffen. Betroffen sind vor allem kleine und mittelständische Unternehmen (KMU), die laut aktuellen Berichten zu 79 Prozent wöchentlich mit solchen Attacken konfrontiert sind. Der durchschnittliche Schaden liegt bei rund 118.000 Euro pro Vorfall.
Clevere Konfiguration für mehr Sicherheit
Die Einrichtung automatischer Antworten unterscheidet sich je nach Outlook-Version erheblich. Nutzer von Exchange- oder Microsoft-365-Konten greifen in der „New Outlook“-Oberfläche über das Kontomenü in den Ansichtseinstellungen auf die Funktion zu. Die klassische Desktop-Anwendung hingegen bietet die Option direkt im Dateimenü an. Für Outlook im Web erfolgt die Verwaltung über den Bereich „E-Mail“.
Die Plattformen erlauben nicht nur die zeitliche Planung mit Start- und Endterminen, sondern auch die Differenzierung zwischen internen und externen Empfängern. Ein Problem bleibt jedoch bestehen: Private Konten mit IMAP- oder POP3-Protokollen unterstützen keine nativen automatischen Antworten. Hier sind regelbasierte Workarounds notwendig, um die Funktion zu simulieren.
Was in Abwesenheitsnotizen tabu ist
Sicherheitsanalysten raten zu äußerster Zurückhaltung bei der Formulierung von Abwesenheitsnachrichten. Detaillierte Angaben liefern Angreifern wertvolle Informationen für gezielte Attacken. Konkret sollten folgende Informationen vermieden werden:
- Exakte Abwesenheitsdaten
- Namen von Kollegen oder Vertretern
- Berufliche Titel und Positionen
- Zahlungsprozesse oder Rechnungsinformationen
Die kritische SSRF-Lücke in Exchange Server 2019 (CVE-2026-45504, CVSS 8,8) ermöglicht niedrig privilegierten Nutzern das Lesen beliebiger Dateien. Mit unserer Checkliste schließen Sie die Lücke sofort – inklusive Vorlage für sichere Abwesenheitsnotizen gegen BEC-Angriffe. Kostenlose Sicherheits-Checkliste anfordern
Stattdessen empfehlen Experten allgemeine Kontaktinformationen und den Hinweis, dringende Anfragen telefonisch zu verifizieren. So lassen sich betrügerische Abfangmanöver von Geschäftskommunikation wirksam verhindern.
KI-Integration und Stabilitätsprobleme
Microsoft hat Ende Juni einen Server-seitigen Fix für einen Bug bereitgestellt, der Copilot-Buttons in der klassischen Outlook-Version für bestimmte Lizenzinhaber verschwinden ließ. Einige Nutzer mussten die Anwendung neu starten oder auf die aktuelle Version aktualisieren, um die volle Funktionalität wiederherzustellen.
Im Bereich der KI-Personalisierung gilt eine klare Hierarchie: Spezifische E-Mail-Entwurfsanweisungen für Microsoft 365 Copilot haben Vorrang vor globalen Personalisierungseinstellungen. Ein bedeutender Meilenstein ist die vollständige PST-Datei-Unterstützung in „New Outlook“. Import, Export und Suche archivierter Daten sind nun möglich – allerdings nur in Verbindung mit einer klassischen Outlook-Installation.
Sicherheitslücke in Exchange Server 2019
79 % der KMU sind wöchentlich von BEC-Angriffen betroffen – der Durchschnittsschaden liegt bei 118.000 Euro. Unsere Checkliste zeigt, wie Sie die SSRF-Lücke schließen und Abwesenheitsnotizen sicher konfigurieren. Checkliste per E-Mail sichern
Ein kritischer Sicherheitsvorfall erschüttert die Enterprise-Umgebungen: Eine Server-Side Request Forgery (SSRF)-Schwachstelle in Exchange Server 2019 wurde identifiziert. Die als CVE-2026-45504 gelistete Lücke erreicht einen CVSS-Schweregrad von 8,8 und ermöglicht niedrig privilegierten, authentifizierten Nutzern das Lesen beliebiger Dateien. Ursache sind Probleme in der OneDrive- und WOPI-Integration.
Mac-Nutzer kämpfen derweil mit Synchronisationsproblemen nach dem Tahoe-26.2-Update vom 30. Juni. Microsoft arbeitet an verschiedenen Schnittstellen-Bugs, darunter Such- und Notizbuch-Probleme, die Anfang Juli gemeldet wurden. Die Umgebung bleibt vorerst auf regelmäßige Patches angewiesen, um Stabilität über verschiedene Betriebssysteme und Cloud-Speicherkonfigurationen hinweg zu gewährleisten.
