Microsoft Exchange Server Güvenlik Açığı
Son günlerde Microsoft, Exchange Server için kritik bir güvenlik açığı duyurusu yaptı. On-premise (yerel) versiyonlarını etkileyen bu açık, belirli koşullar altında bir saldırganın yetkilerini yükseltmesine olanak tanıyor. Bu güvenlik açığı, CVE-2025-53786 kodu ile takip ediliyor ve CVSS puanı 8.0 olarak değerlendirildi. Güvenlik araştırmacısı Dirk-jan Mollema, bu hatayı raporladığı için teşekkür edildi.
Saldırı Senaryosu
Microsoft’un açıklamasına göre, bir Exchange hibrit dağıtımında, ilk olarak yerel bir Exchange sunucusuna yönetici erişimi elde eden bir saldırgan, organizasyonun bağlı bulut ortamında yetkilerini yükseltebilir. Ancak bu saldırı, saldırganın öncelikle bir Exchange sunucusuna yönetici erişimi elde etmiş olması gerektiğini vurguladı. Microsoft, “Bu risk, Exchange Server ve Exchange Online’ın hibrit yapılandırmalarda aynı hizmet prensiplerine sahip olmasından kaynaklanmaktadır.” ifadesini kullandı.
Başarılı bir şekilde bu açığın istismar edilmesi, saldırganın organizasyonun bulut ortamında, kolayca tespit edilebilen izler bırakmadan yetki yükseltmesine olanak tanıyabilir. Ancak, bu süreçte saldırganın daha önce bir yönetici hesabına erişim sağladığını unutmamak gerekiyor.
CISA Uyarıları ve Öneriler
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu güvenlik açığının paş yıl özellikle Exchange Online hizmetinin kimlik bütünlüğünü etkileyebileceği konusunda bir bülten yayınladı. CISA, kullanıcıların hibrit dağıtımlar için Exchange Server güvenlik değişikliklerini gözden geçirmesini öneriyor. Ayrıca, Nisan 2025 Hot Fix’ini (veya üzerini) kurmaları ve yapılandırma talimatlarını takip etmeleri gerektiği belirtildi.
Microsoft, “Eğer Exchange hibrit veya OAuth kimlik doğrulamasını daha önce yapılandırmışsanız ancak artık kullanmıyorsanız, hizmet prensibinin keyCredentials’ını sıfırlamayı unutmayın.” şeklinde bir uyarıda bulundu.
Exchange Web Services (EWS) Sınırlamaları
Microsoft’un bu güvenlik açığı ile ilgili duyurusu, şirketin bu ay itibarıyla Exchange Web Services (EWS) trafiğini, Exchange Online paylaşılan hizmet prensibi kullanarak geçici olarak engelleyebileceğini de içeriyor. Bu adım, özelleştirilmiş Exchange hibrit uygulamasının müşteri kabulünü artırmaq ve hibrit ortamın güvenlik duruşunu iyileştirmek için yapılmaktadır.
Zararlı Yazılımlar ve Son Gelişmeler
Microsoft’un CVE-2025-53786 için çıkardığı uyarı, CISA’nın son zamanlarda açıklanan SharePoint açıklarının istismarı sonrasında dağıtılan çeşitli kötü amaçlı yazılımlara dair analizleriyle de örtüşmekte. Bu artı, genel olarak ToolShell olarak takip edilen zararlı yazılımları içeriyor. Bu zararlı yazılımlar arasında iki adet Base64 kodlu DLL dosyası ve makine anahtar ayarlarını almak için tasarlanmış dört adet Active Server Page Extended (ASPX) dosyası bulunuyor. Bu dosyalar, ASP.NET uygulamasının yapılandırma dosyalarından bilgi çekmek ve komut çalıştırmak amacıyla bir web shell işlevi görebiliyor.
CISA, “Siber tehdit aktörleri bu zararlı yazılımları kullanarak kriptografik anahtarları çalabilir ve Base64 kodlu PowerShell komutları çalıştırarak sistemin parmak izini çıkartabilir ve veri sızdırabilir.” açıklamasıyla durumun önemine dikkat çekti.
Güncel Hücumlar ve Yapılması Gerekenler
CISA, organizasyonların, sona ermiş (EOL) veya hizmetten kalkmış Exchange Server veya SharePoint Server versiyonlarını internete bağlayan kamuya açık sunucuları bağlantıdan kesmesi gerektiğini de belirtti. Güncel olmayan versiyonları kullanmanın riskleri asla göz ardı edilmemelidir.
Sonuç olarak, bu güvenlik açığıyla ilgili atılacak adımlar, organizasyonların güvenliğini artırmak için büyük önem taşımaktadır. Kullanıcıların Microsoft’un önerilerini dikkatle izleyip, gerekli güncellemeleri zamanında yapmaları hayati bir öneme sahiptir. Bu süreçte teknolojinin dinamik yapısını göz önünde bulundurarak, tamamen güncel ve güvenli sistemler oluşturmanın gerekliliği daha da belirgin hale gelmektedir.
