CISA’nın Acil Yönergesi ve Microsoft Exchange Güvenlik Açığı
CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), Federal Sivil İcra Dairesi (FCEB) ajanslarına, kritik bir Microsoft Exchange hibrit güvenlik açığını (CVE-2025-53786) gidermeleri için acil bir yönerge yayınladı. Bu açığın, FCEB ajanslarının her birinde, özellikle Homyurt Güvenliği Bakanlığı, Hazine Bakanlığı, Enerji Bakanlığı ve Sağlık ve İnsan Hizmetleri Bakanlığı gibi non-militer acentelerde risk oluşturduğu belirtiliyor. Ajansların, bu güvenlik açığını Pazartesi sabahı saat 9:00 ET’ye kadar kapatmaları gerekiyor.
CVE-2025-53786 Güvenlik Açığının Etkileri
CVE-2025-53786 olarak izlenen bu açık, saldırganların, kurumsal Exchange sunucularına yöneticilik erişimi kazandıklarında, Microsoft bulut ortamlarına lateral hareket etmelerine olanak tanıyor. Bu durum, şirketin aktif dizin ve altyapısı ile ilgili büyük bir tehlike yaratıyor. Bu güvenlik açığı, Microsoft Exchange Server 2016, 2019 ve Abonelik Sürümü için geçerli.
Hibrit yapılandırmalarda, Exchange Online ile yerel sunucular aynı servis ilkesi üzerinde çalışıyor. Bu, iki taraf arasında kimlik doğrulamak için paylaşılan bir güven ilişkisi anlamına geliyor. Eğer bir saldırgan, yerel bir Exchange sunucusunda yönetici yetkisine sahipse, bu durum saldırganın güvenilir jetonlar veya API çağrıları üzerinde manipülasyon yapabilmesine yol açabilir. Bu teknikte, saldırgan yerel ağdan bulut ortamına geçiş yaparak şirketin sistemlerini tehlikeye atabilir.
Microsoft’un Hizmet ve Yöntemleri
Microsoft, bu açığın kötüye kullanımı için gereken araçların kaydedilmediğini belirtmiştir. Microsoft Purview gibi bulut tabanlı kayıt araçları, eğer kötü niyetli faaliyetler yerel Exchange sunucularından geliyorsa, bu olayları izlemek için uygun olmayabilir, bu da saldırıların tespit edilmesini zorlaştırıyor.
Bu güvenlik açığı, Microsoft’un, Nisan 2025‘te yayınladığı bir rehber ve bir Exchange sunucu düzeltmesi sonrasında elde ettiği deneyimler ışığında ortaya çıkmıştır. Bu rehber, güvenlik mimarisi değişikliğini yapılmasını öneriyor ve paylaşılan uygulamalar yerine özel bir hibrit uygulama oluşturulmasını öneriyor.
Saldırı yollari ve Önlemler
Güvenlik araştırmacısı Dirk-Jan Mollema, Black Hat sunumunda bu açığın nasıl kullanılabileceğini gösterdi. Mollema, açığı Microsoft’a bildirdiğini ve bu bilgiyi sunumdan üç hafta önce paylaştığını ifade etti. Mollema, “Düzeltmenin yeterli olmadığı, manuel takip adımlarının gerektiği” uyarısında bulundu. Bu açıklamalar, Microsoft’un daha önceki rehberliğine dayanarak yapılmıştır.
Microsoft Exchange kullanıcıları, daha önceki düzeltmeleri uyguladılarsa, yeni post-exploitation saldırılarından korunmuş olurlar. Ancak, henüz gerekli önlemleri almayanlar, hızlıca düzeltmeleri uygulamak zorundadır. Microsoft’un yayınladığı ConfigureExchangeHybridApplication.ps1 PowerShell skripti ile geçiş yapılması gerektiğini vurgulayan Mollema, yöneticilerin hibrit uygulamalarını güncel tutmaları gerektiğini belirtti.
CISA’nın Yönergesi ve Federal Uygulamalar
CISA’nın Acil Yönergesi 25-02 ile federal ajansların, Exchange ortamlarının envanterini alarak güvenlik açığını gidermeleri gerekiyor. Herhangi bir desteklenmeyen sunucunun, Nisan 2025 düzeltmesi ile artık kullanılmayan versiyonların, disconnect edilmesi gerekmektedir. Kalan bütün sunucuların en güncel birikimli güncellemelerle (CU14 veya CU15 Exchange 2019 için, CU23 Exchange 2016 için) güncellenmesi ve Nisan düzeltmesi ile yamanması gerekiyor.
CISA, bu önlemleri uygulamanın ihmal edilmesinin hibrit ortamların tamamen tehlikeye girmesiyle sonuçlanabileceği uyarısında bulundu. Ayrıca, teknik düzeltme adımlarını Pazartesi sabahına kadar tamamlayarak, aynı günün akşamı, saat 17:00’ye kadar CISA’ya rapor vermeleri gerektiği ifade edildi.
Tüm Kuruluşlar İçin Öneriler
Devlet dışı kuruluşların bu yönerge kapsamında harekete geçmeleri zorunlu olmasa da, CISA, her kuruluşun bu güvenlik açığını gidermesini şiddetle tavsiye ediyor. CISA İcra Direktörü Madhu Gottumukkala, “Bu Microsoft Exchange güvenlik açığının getirdiği riskler, bu ortamı kullanan her kuruluş ve sektörü etkilemektedir” açıklamasında bulundu.
Bu durum, güvenlik alemi için kritik bir uyarı niteliği taşıyor ve kuruluşların, siber güvenlik tedbirlerini bir an önce gözden geçirmelerini gerektiriyor.
