Zwei Sicherheitslücken gefährden derzeit ein breites Spektrum an Microsoft-Kunden. Während der Hersteller an einer Lösung für eine Cross-site-scripting-Schwachstelle im Exchange Server bastelt, können Angreifer die BitLocker-Verschlüsselung aushebeln.
Unternehmen sollten selbst aktiv werden, um sich vor Cyberangriffen zu schützen, indem sie prüfen, ob der Exchange Emergency Mitigation Service aktiviert ist, und für BitLocker eine zusätzliche Authentifizierung beim Systemstart konfigurieren.
(Bild: Skórzewiak - stock.adobe.com)
Zwei sehr unglückliche Fehler bei Microsoft gefährden derzeit Nutzersysteme. Einmal geht es um eine Sicherheitslücke im Exchange Server und einmal um die Möglichkeit eines physischen Angriffs auf BitLocker.
Die Schwachstelle EUVD-2026-30343 / CVE-2026-42897 (CVSS-Score 8.1, EPSS-Score* 12.34) beschreibt eine Cross-site-scripting-Schwachstelle (XSS) im Microsoft Exchange Server, die auf einer unzureichenden Neutralisierung von Eingaben basiert. Ein nicht autorisierter Angreifer kann dadurch beliebigen JavaScript-Code im Browserkontext ausführen und so Spoofing-Angriffe über das Netzwerk durchführen. Betroffen davon sind folgende Versionen:
Die CISA hat die Schwachstelle am 15. Mai 2026 in ihren Katalog der bekannten, ausgenutzten Schwachstellen aufgenommen. Demnach wird EUVD-2026-30343 / CVE-2026-42897 bereits aktiv ausgenutzt und US-Behörden haben bis zum 29. Mai Zeit, ihre Systeme abzusichern.
In seinem Scherheitshinweis erläutert Microsoft, dass der Exchange Emergency Mitigation Service Abhilfemaßnahmen automatisch vornimmt. Dieser ist standardmäßig aktiviert. Falls dies auf Ihrem Exchange Server nicht der Fall ist, müssen Sie ihn manuell aktivieren. Eine Anleitung dazu finden Sie hier. Über den Exchange Emergency Mitigation Service stellt der Hersteller Workarounds bereit, bis eine dauerhafte, sichere Lösung entwickelt wurde.
Und auch die zweite Schwachstelle sollte schnellstmöglich behoben werden. Denn sie könnte die Festplattenverschlüsselung BitLocker auf Windows-11-Systemen innerhalb von wenigen Minuten funktionsunfähig machen. Dabei handelt es sich um die Sicherheitslücke EUVD2025-20532 / CVE-2025-48804 (CVSS-Scoe 6.8, EPSS-Score 0.46). Diese hatte Microsoft eigentlich bereits bei seinem Patchday im Juli 2025 geschlossen, doch wie das Sicherheitsunternehmen Intrinsec nun aufzeigte, lässt sich die Schwachstelle trotz installiertem Patch ausnutzen.
Voraussetzung für eine erfolgreiche Attacke sei der physische Zugriff auf den Zielrechner. Angreifer könnten dann eine Lücke zwischen dem Einspielen eines Patches und dem Widerruf alter Signaturzertifikate missbrauchen, da Secure Boot zwar die Echtheit des Windows-Bootmanagers prüfe, jedoch nur anhand des verwendeten Zertifikats. Die konkrete Versionsnummer werde bei der Prüfung außer Acht gelassen, was dazu führe, dass ein Angreifer das System mit einer älteren, verwundbaren Version des Bootmanagers, einem sogenannten Downgrade, starten könne. Da diese Version trotz bekannter Sicherheitslücken eine gültige Signatur besitze, stufe Secure Boot den Startvorgang als vertrauenswürdig ein. Dies ermögliche es, das Trusted Platform Module (TPM) zur Herausgabe der BitLocker-Schlüssel zu bewegen, wodurch die Festplattenverschlüsselung ausgehebelt werde und voller Zugriff auf die Daten des Opfers möglich sei.
Obwohl ein physischer Zugriff auf das Zielgerät benötigt wird, sollten Nutzer das Problem nicht auf die leichte Schulter nehmen. Denn EUVD-2025-20532 / CVE-2025-48804 ist sehr weitreichend, da sie nicht an eine spezifische Windows-Update-Version gebunden ist, sondern an die Art und Weise, wie Secure Boot und BitLocker grundsätzlich zusammenarbeiten. Nahezu alle modernen Windows-Versionen sind anfällig:
Windows Server 2016, Versionen 10.0.14393.0 <10.0.14393.8246
Windows Server 2022, Versionen 10.0.20348.0 <10.0.20348.3932
Windows Server 2016 (Server Core installation), Versionen 10.0.14393.0 <10.0.14393.8246
Windows Server 2025, Versionen 10.0.26100.0 <10.0.26100.4652
Windows Server 2012 R2, Versionen 6.3.9600.0 <6.3.9600.22676
Windows 10 Version 22H2, Versionen 10.0.19045.0 <10.0.19045.6093
Windows 11 version 22H3, Versionen 10.0.22631.0 <10.0.22631.5624
Windows 10 Version 1607, Versionen 10.0.14393.0 <10.0.14393.8246
Windows Server 2019 (Server Core installation), Versionen 10.0.17763.0 <10.0.17763.7558
Windows Server 2012, Versionen 6.2.9200.0 <6.2.9200.25573
Windows 10 Version 21H2, Versionen 10.0.19044.0 <10.0.19044.6093
Windows Server 2025 (Server Core installation), Versionen 10.0.26100.0 <10.0.26100.4652
Windows Server 2022, 23H2 Edition (Server Core installation), Versionen 10.0.25398.0 <10.0.25398.1732
Windows 11 Version 23H2, Versionen 10.0.22631.0 <10.0.22631.5624
Windows Server 2012 R2 (Server Core installation), Versionen 6.3.9600.0 <6.3.9600.22676
Windows Server 2012 (Server Core installation, Versionen v6.2.9200.0 <6.2.9200.25573
Windows 10 Version 1507, Versionen 10.0.10240.0 <10.0.10240.21073
Windows 11 version 22H2, Versionen 10.0.22621.0 <10.0.22621.5624
Windows 10 Version 1809, Versionen 10.0.17763.0 <10.0.17763.7558
Windows Server 2019, Versionen 10.0.17763.0 <10.0.17763.7558
Windows 11 Version 24H2, Versionen 10.0.26100.0 <10.0.26100.4652
Besonders gefährdet seien Systeme, bei denen BitLocker nur mit dem TPM-Schutz und ohne zusätzliche PIN abgesichert wird. In solchen Fällen gebe das TPM den Schlüssel ohne jegliche User-Interaktion frei. Systeme, die über den TPM-Schutz sowie eine zusätzliche PIN verfügen, seien nicht betroffen. Auch Rechner, die bereits das Zertifikat „Windows UEFI CA 2023“ verwenden, seien von EUVD-2025-20532 / CVE-2025-48804 ebenfalls nicht betroffen. Doch die Gefahr für Angriffe erhöht sich, da via GitHub ein Proof of Concept veröffentlicht wurde.
Der entsprechende Sicherheitshinweis von Microsoft aus dem vergangenen Jahr wurde nicht aktualisiert. Die Experten von Intrinsec empfehlen deshalb, die Aktualisierung KB5025885 einzuspielen. Diese behebt das Design-Problem des Secure-Boot-Prozesses. Zudem sollten Nutzer für erweiterten Schutz eine PIN-Abfrage beim Systemstart aktivieren.
* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der entsprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ec/35/ec35dd567fbd8a9be0f3e154b3f4e3e3/0130401535v2.jpeg "Immer schneller und professioneller agierende Angreifer gefährden die Finanzbranche. Armis sieht die Früherkennung von Attacken als effektivste Lösung. (Bild: © Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/44/a444772c14caf55ea97e0269fc83f382/0131459709v1.jpeg "Cyberkriminelle haben bei einem Angriff auf einen externen Klinik-Dienstleister Daten von Patienten mehrerer Universitätskliniken erbeutet. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6a/9b/6a9be19248c01e78cc8776fe5087a248/0129495526v1.jpeg "Geopolitische Spannungen verlagern sich zunehmend in den digitalen Raum. So bereiten sich die Nato und Deutschland auf hybride Angriffe vor. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6a/62/6a62d7fee3a3242f5c29854797ffdac7/0130594225v1.jpeg "Mit dem neuen IPsec-VPN-Client wollen Stormshield und ERCOM den sicheren Fernzugriff für sicherheitskritische Umgebungen absichern. (Bild: © Vladimir)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/p7i.vogel.de/wcms/39/0b/390bc7954251fa4f0572c7af2f1c0fca/0131319205v1.jpeg "Vom 16. bis 18. September 2026 findet die Munich Cyber Tactics, Techniques & Procedures statt. (Bild: Vogel IT-Akademie )")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e845987f0ac89a4123b57f3e6bc823/0130460115v1.jpeg "Auch Cloud-basierte Lösungen für Backup und Disaster Recovery können eine attraktive Variante sein – speziell für kleine und mittelgroße Unternehmen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e9/b2/e9b2bcd62bd6a4f4ff2ec83c5b599e9d/0130995446v2.jpeg "Staatliche Institutionen sind begehrte Angriffsziele. Entsprechend sicher müssen ihre Kommunikationslösungen sein. Aber echte Sicherheit braucht mehr als Verschlüsselung. Vier Kernpunkte zeigen, worauf es wirklich ankommt. (Bild: © lisha - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/00/ff00590ee020e38c9628532e7e23655c/0131387070v2.jpeg "Unternehmen sollten selbst aktiv werden, um sich vor Cyberangriffen zu schützen, indem sie prüfen, ob der Exchange Emergency Mitigation Service aktiviert ist, und für BitLocker eine zusätzliche Authentifizierung beim Systemstart konfigurieren. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/10/a1/10a12092d7740dd5ab08bf039e960e07/0131243860v1.jpeg "Diese Europakarte zeigt, welche öffentlichen Einrichtungen und Behörden Matrix‑basierte beziehungsweise Matrix‑kompatible Kommunikationssysteme nutzen. (Bild: Element)")
:quality(80)/p7i.vogel.de/wcms/12/29/122920f2aab70276554dcc4d6349110f/0131262432v2.jpeg "In S/4HANA Enterprise Search können bösartige SQL-Anweisungen injiziert werden. In SAP Commerce Cloud können Angreifer bösartige Konfigurations-Uploads nutzen, um beliebigen serverseitigen Code auszuführen. (©cendhika - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/95/0795e8ee2c5493f136bd924aeba3dbfa/0131416504v1.jpeg "Die geplante EUDI-Wallet soll künftig digitale Ausweise und weitere Nachweise sicher auf dem Smartphone bündeln. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f1/02/f1028ded369fb1140db85f5b13681745/0130884384v1.jpeg "Mitarbeitende nutzen häufig Karte, Passwort und Fingerabdruck parallel. HID führt diese Zugänge zusammen und verspricht weniger Systembrüche im Identitäts-Management. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/26/8b265eeaf37e063d4abbb47ae723526a/0126593157v1.jpeg "Die NIS-Kooperationsgruppe (NIS Cooperation Group) ist ein EU-Gremium zur Stärkung der Zusammenarbeit im Bereich Cybersicherheit.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/64/d6/64d68a07918d732b89a9988555028cc3/0126593157v1.jpeg "Das European Cybersecurity Competence Centre (ECCC) ist das Europäische Kompetenzzentrum für Cybersicherheit mit Sitz in Bukarest. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/7f/fe/7ffee70dd4a831c2b2756d73c9e8e40c/0122470970v1.jpeg "Der Mai 2026 zeichnet sich durch hohes Patch-Volumen bei zugleich niedrigem Exploit-Druck aus. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/91/ed/91edba400b970f6d4935efa4b47a129e/0128319394v2.jpeg "Microsoft-Produkte wie Windows, Azure, Office, Dynamics Visual Studio und viele mehr werden ausgemustert oder werden auf erweiterten Support umgestellt oder erhalten gar keinen Support mehr. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/01/57/01572afe84baf868e2d0c2a2c1f74256/0127681055v1.jpeg "Laut BSI sind weiterhin tausende Exchange-Server in Deutschland frei aus dem Internet erreichbar und laufen mit veralteten Versionen. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/65/a1/65a1a79d2559f1b3f809bec8430f9691/0122470970v1.jpeg "Die gefährlichste Schwachstelle des Microsoft Patchdays im Juli 2025 ist CVE-2025-47981 in der SPNEGO-Erweiterung NEGOEX. Microsoft erwartet erste Attacken innerhalb von 30 Tagen. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7a/88/7a88eb4e099e4d16d96926603f98ba8c/0122301051v1.jpeg "Die Sicherheitslücke CVE-2023-21563 wurde 2022 entdeckt und von Microsoft 2023 geschlossen. Nun kann sie mithilfe eines Downgrade-Angriffs wieder ausgenutzt werden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/23/1c23beb5cc914d81e474df4bd8b0fd56/0130691011v1.jpeg "Angreifer, die die Microsoft-Schwachstellen erfolgreich ausnutzen, können beliebigen Code auf Exchange ausführen und ihre Rechte erhöhen. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c9/9a/c99a8808294a5aafcf9b076f7e8f9f1e/0122470970v1.jpeg "Der Microsoft Patchday im Januar 2026 zeigt erneut eine starke Konzentration auf lokale Rechteausweitungen und komplexe Angriffsketten, die Speicherlecks, Kernel-Bugs und Virtualisierungskomponenten kombinieren. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")