Betroffene Umgebung
CVE-2026-48579 betrifft Exchange Online und beschreibt eine Informationspreisgabe durch fehlerhafte Autorisierung. Für Betreiber lokaler Exchange-Server ist das kein klassischer Patch-Fall: Die Schwachstelle wurde im Cloud-Dienst behoben, ein lokales Security Update oder eine Exchange-Online-Konfigurationsänderung ist dafür nicht vorgesehen.
Das macht den Hinweis nicht irrelevant. Bei cloudseitig behobenen Schwachstellen bleibt für Tenant-Teams die Frage, ob es auffällige Aktivität, überbreite Berechtigungen oder fehlende Nachvollziehbarkeit rund um Mailbox-Zugriffe gibt.
Was Betreiber prüfen sollten
- Mailbox-Auditing nachweisen: Prüfen, ob Auditdaten für Benutzer- und Admin-Zugriffe vorhanden sind und für kritische Postfächer lange genug aufbewahrt werden.
- Delegierte Rechte kontrollieren: FullAccess, SendAs, SendOnBehalf und Application Permissions für Exchange/Graph auf Owner, Zweck und Ablaufdatum prüfen.
- Auffällige Zugriffe auswerten: Ungewöhnliche MailboxLogon-, MailItemsAccessed-, Search- und Export-Aktivitäten für privilegierte oder sensible Postfächer priorisieren.
- Transport- und Weiterleitungsregeln prüfen: Neue Inbox-Regeln, Weiterleitungen, Journal-Regeln und Connector-Änderungen auf unerwartete Ziele kontrollieren.
- Response-Nachweis ablegen: Festhalten, welche Tenants geprüft wurden, welcher Zeitraum betrachtet wurde und welche Ausnahmen offen bleiben.
Schneller Nachweis
- Kein lokales Patchfenster für diese Exchange-Online-Schwachstelle planen.
- Audit- und Berechtigungsprüfung für privilegierte Postfächer priorisieren.
- Offene App- oder Mailbox-Ausnahmen mit Owner und Ablaufdatum versehen.
Wenn nur ein Schritt sofort geht: Mailbox-Audit und delegierte Exchange-/Graph-Rechte für Admin-, VIP- und Shared-Mailboxes nachweisen.