Microsoft Exchange Server’daki Güvenlik Açığı
Microsoft, yerel sürümlerini etkileyen ve siber saldırganlar tarafından aktif olarak istismar edilen yeni bir güvenlik açığını duyurdu. Bu durum, Exchange Server kullanıcıları için ciddi bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Bu güvenlik açığı, CVE-2026-42897 (CVSS puanı: 8.1) olarak takip edilmektedir ve bir “spoofing” hatası olarak tanımlanmaktadır. Güvenlik açığı, Microsoft Exchange Server’da gerçekleşen “cross-site scripting” (XSS) hatasından kaynaklanmaktadır. Microsoft’un açıklamasına göre, yetkisiz bir saldırgan, aşağıdaki yöntemleri kullanarak saldırı gerçekleştirebilir:
- Özel olarak hazırlanmış bir e-posta gönderir.
- Bu e-posta, Outlook Web Access içerisinde açıldığında, belirli etkileşim koşulları sağlanırsa, tarayıcı bağlamında rastgele JavaScript kodunun çalıştırılmasına olanak tanır.
Etkilenen Sistemler
Microsoft, bu güvenlik açığından etkilenen yerel Exchange Server sürümlerini şu şekilde listelemiştir:
- Exchange Server 2016 (herhangi bir güncelleme seviyesi)
- Exchange Server 2019 (herhangi bir güncelleme seviyesi)
- Exchange Server Subscription Edition (SE) (herhangi bir güncelleme seviyesi)
Çözüm ve Korunma
Microsoft, güvenlik açığını gidermek üzere bir geçici çözüm sunmaktadır: Exchange Emergency Mitigation Service. Bu hizmet, URL yeniden yazım yapılandırması aracılığıyla otomatik olarak geçici önlemler sağlayacaktır ve varsayılan olarak etkin durumdadır. Kullanıcıların bu Windows hizmetini etkinleştirmesi önerilmektedir.
Eğer Exchange Emergency Mitigation Service kullanılmıyorsa, aşağıdaki adımlar önerilmektedir:
- Exchange on-premises Mitigation Tool (EOMT) en son sürümünü aka[.]ms/UnifiedEOMT adresinden indirin.
- Her bir sunucu için veya tüm sunucularda aynı anda uygulamak için, aşağıdaki komutları elevated Exchange Management Shell (EMS) üzerinden çalıştırın:
- Tek bir sunucu için: .EOMT.ps1 -CVE “CVE-2026-42897”
- Tüm sunucular için: Get-ExchangeServer | Where-Object { $_.ServerRole -ne “Edge” } | .EOMT.ps1 -CVE “CVE-2026-42897”
Microsoft ayrıca, geçici önlemlerin uygulanması sırasında “Bu Exchange sürümü için geçici önlem geçersiz” bildiriminin görülebileceğini belirtmiştir. Bu durum sadece kozmetik bir sorundur ve “Uygulandı” durumu gösteriliyorsa önlem başarılı bir şekilde uygulanmıştır.
Sonuç
Kullanıcılar, mümkün olan en kısa sürede Microsoft’un önerdiği geçici önlemleri uygulamalıdır. Aksi halde, yerel Exchange Server sürümlerinde ciddi güvenlik açığı riski yaşanabilir. Güncellemeleri uygulamak ve güvenlik yapılandırmalarını kontrol etmek, sistemlerinizi korumak için kritik önem taşımaktadır.
