Microsoft Exchange Sunucularında Kritik Güvenlik Açığı
Son günlerde, Microsoft Exchange sunucularında kritik bir güvenlik açığının bulunduğu açıklandı. Bu açık, CVE-2025-53786 olarak takip edilmekte olup, 29,000’den fazla Exchange sunucusunun hala yamanmadığı gözlemlenmektedir. Bu durum, saldırganların Microsoft bulut ortamlarında yan hareketler gerçekleştirmesine olanak tanıyabilir ve sonuç olarak, tam domain ele geçirme riskini artırabilir.
Açığın Detayları
CVE-2025-53786, bir saldırganın, kurulu bulunan Exchange sunucularına admin erişimi elde etmesi durumunda, bağlı bulut ortamında yetki yükseltmesine olanak tanır. Bu durum, saldırganların güvenilir jetonları veya API çağrılarını sahteleyerek ya da manipüle ederek gerçekleştirilir. Ayrıca, bu güvenlik açığının tespit edilmesi oldukça güçtür; çünkü saldırganlar, takip edilemeyen izler bırakabilmektedir.
Bu güvenlik açığı, Exchange Server 2016, Exchange Server 2019, ve Microsoft Exchange Server Subscription Edition‘ı etkilemektedir. Bu son sürüm, geleneksel lisans modelini abonelik tabanlı bir modelle değiştirmiştir ve hibrit konfigürasyonlarda kullanılmaktadır.
Microsoft, güvenlik açığını Nisan 2025’de yayımladığı bir güncelleme ile duyurmuş ve aynı dönemde bir sıcak yamanın piyasaya sürüldüğünü belirtmiştir. Bu yamanın ilk amacı, önceden kullanılan güvensiz paylaşılan kimlik yapısını güvenli bir hibrit uygulama ile değiştirmektir.
Tehdit Durumu ve Gözlemler
Redmond (Microsoft’un merkezi), şu ana kadar bu açığın istismarına dair bir kanıt bulmadığını belirtse de, açığın “İstismar Daha Olası” olarak etiketlenmiş olması, saldırganlar açısından cazibesinin artabileceğini gösteriyor. Shadowserver adlı güvenlik tehdit izleme platformunun taramaları sonucunda, dünya genelinde 29,000’den fazla Exchange sunucusunun bu açığa karşı yamanmadığı belirlenmiştir.
10 Ağustos tarihinde 29,098 yamanmamış sunucu tespit edilirken, ABD‘de 7,200’den fazla IP adresinin, Almanya‘da 6,700’den fazla IP adresinin ve Rusya‘da ise 2,500’ün üzerinde IP adresinin bulunduğu gözlemlenmiştir.
Federal Kuruluşların Önlemleri
Açığın duyurulmasından bir gün sonra, CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı) Acil Direktifi 25-02’yi yayımlayarak, tüm Federal Sivil İcra Dairesi (FCEB) ajanslarının bu kritik güvenlik açığını gidermesi için önlem almasını zorunlu hale getirdi. Bu kuruluşlar arasında İç Güvenlik Bakanlığı, Maliye Bakanlığı ve Enerji Bakanlığı da yer alıyor.
Federal kurumlardan esperado daha fazla dikkat etmeleri isteniyor. Öncelikle, Microsoft’un Health Checker scriptini kullanarak Exchange ortamlarını envanterlemeleri ve Nisan 2025 sıcak yamaları ile desteklenmeyen internetten erişimi olan sunucuları (sonlandırılmış ya da hizmet dışı versiyonlar) bağlantıdan kesmeleri gerekiyor. Geri kalan sunucuların ise, en son toplu güncellemeleri (CU14 veya CU15 Exchange 2019 için, CU23 Exchange 2016 için) içermesi ve Nisan’daki yamanın uygulanması gerekmektedir.
CISA’nın Perşembe günü yayımladığı ayrı bir bildirimde, CVE-2025-53786’yı kurtaramamanın, “hibrit bulut ve yerel tam alanın ele geçirilmesine” neden olabileceği vurgulanmıştır.
Öneriler ve Alınması Gereken Önlemler
CISA, federal olmayan kuruluşların bu direktifin gerekliliklerini yerine getirmek zorunda olmadığını belirtse de, tüm kuruluşları sistemlerini olası saldırılara karşı korumaya yönelik benzer tedbirler almaya teşvik etmiştir. CISA’nın geçici direktifindeki öneriler şu şekildedir:
- Envanter Çıkartmak: Exchange ortamlarının detaylı bir envanterinin çıkarılması.
- Public Sunucuları Kesmek: Artık desteklenmeyen sunucuların internetten bağlantılarının kesilmesi.
- Güncellemeleri Uygulamak: Tüm sunucuların en son güncellemeler ile güncellenmesi.
CISA’nın Geçici Direktiflerinde vurguladığı gibi, bu güvenlik açığıyla ilgili risksel durum her sektörde bulunan kuruluşları etkilemekte. Bu durum, Microsoft Exchange’i kullanan her organizasyonun dikkatini çekmektedir.
Güvenlik açıkları ve buna yönelik alınması gereken tedbirler, teknolojinin gelişimiyle birlikte artan bir önem taşımaktadır. Her kuruluş, aldıkları güvenlik tedbirlerini gözden geçirmeli ve gerekli güncellemeleri yapmalıdır.
