Microsoft Exchange Server’da Kritik Güvenlik Açığı
Microsoft, Exchange Server hibrit dağıtımlarında kritik bir güvenlik açığını müjdeleyerek müşterilerini uyardı. Bu açık, saldırganların Exchange Online bulut ortamlarında yetkilerini artırmalarına olanak tanırken, hiçbir iz bırakmamalarına da zemin hazırlıyor. Hibrit Exchange yapılandırmaları, yerel (on-premises) Exchange sunucularının Exchange Online ile entegrasyonunu sağlar. Bu sayede, e-posta ve takvim özellikleri arasında sorunsuz bir geçiş gerçekleştirilir.
Hibrit Exchange Yapılandırmaları ve Güvenlik Tehditleri
Hibrit Exchange dağıtımlarında yer on-premises Exchange sunucusu ile Exchange Online aynı hizmet içinde kimlik doğrulamasına olanak tanıyan paylaşılan bir kimliğe sahiptir. Saldırganlar, eğer yerel Exchange sunucusuna erişim sağlarsa, bu paylaşılan kimliği suistimal edebilirler. Bu sayede, bulut tarafında geçerli olduğu kabul edilen güvenilir token veya API çağrılarını sahte bir şekilde oluşturabilirler. Bu durum, on-premises Exchange sunucusundan başlayarak, Microsoft 365 içinde kötü niyetli bir davranışın loglanmaması gibi sorunlara da yol açar. Çünkü, yerel sunucudan kaynaklanan eylemler, her zaman kötü niyetli davranışlarla ilişkilendirilen logları üretmez.
Kritik Açığın Etkisi ve Öneriler
Microsoft, Çarşamba günü yayımladığı güvenlik duyurusunda, “Hibrit Exchange dağıtımında bir saldırgan, eğer yerel Exchange sunucusuna yönetimsel erişim sağlarsa, bağlı bulut ortamında yetki yükseltme gerçekleştirebilir ve bu durumu kolayca izlenemez hale getirebilir” şeklinde açıklamalarda bulundu. Bu güvenlik açığı, CVE-2025-53786 kodu ile izleniyor ve Exchange Server 2016, Exchange Server 2019 ve en son sürüm olan Exchange Server Subscription Edition‘ı etkiliyor.
Microsoft, bu açığın ne zaman kullanılabileceğine dair henüz bir örnek görmemiş olsa da, analizleri sonucunda açık kodu geliştirilebildiği için “Kullanım Olasılığı Daha Yüksek” olarak işaretlenmiştir. Böylece, saldırganların bu açığı kullanması için çekiciliğinin artırıldığı ortaya çıkıyor.
CISA’nın Uyarıları ve Güvenlik Önlemleri
CISA, bu konuda ayrı bir duyuru yayımlayarak, Exchange hibrit dağıtımlarını güvence altına almak isteyen ağ savunucularına önerilerde bulundu. CISA, bu açığı susursuzca etkisiz hale getirememek durumunda “hibrit bulut ve yerel toplam alanın tehlike altında” olabileceğini belirtti. Ayrıca, kamuya açık sunucuların, sonlandırılmış (EOL) veya hizmet sonlandırılmış Exchange Server ya da SharePoint Server sürümlerini internetten ayırmaları gerektiği konusunda uyardı.
Ocak ayında Microsoft, Exchange 2016 ve 2019’un genişletilmiş desteklerinin Ekim ayında sona ereceği konusunda yöneticileri bilgilendirdi. Yenilik olarak, eski sunucularını kapatmak isteyen yöneticilere Exchange Online‘a geçiş yapmalarını veya Exchange Server Subscription Edition (SE) ile güncellemelerini önerdi.
Geçmişteki Saldırılar ve Güvenlik İhlalleri
Son yıllarda, finansal motiveye sahip ve devlet destekli saldırganlar, Exchange güvenlik açıklarından yararlanarak çeşitli sunuculara sızmışlardır. Örneğin, ProxyLogon açığını Mart 2021’de en az on hacking grubu kullanarak istismar etmiştir. Bu gruplardan biri, Çin destekli olan Hafnium ya da Silk Typhoon olarak anılmaktadır. İki yıl önce, Ocak 2023’te Microsoft, müşterilere en son desteklenen Küme Güncellemesi (CU) ile yerel Exchange sunucularını güncel tutmalarını, bu sayede acil güvenlik güncellemeleri için her zaman hazır olmalarını hatırlatmıştır.
Son Gelişmeler ve Önerilen Adımlar
Gelişen tehditler karşısında, Exchange Server kullanıcılarının, sunucularını güncel tutarak, güvenlik açıklarını etkisiz hale getirmeleri kritik öneme sahiptir. Yerel sunucu yapılandırmalarıyla bulut hizmetleri arasında güven köprüleri oluşturarak, makul ölçüde güvenlik sağlamak mümkündür. Ayrıca, CISA gibi kurumların önerilerine uyarak, eski sürümlerin kullanımını sonlandırmak ve güncel çözümlere geçiş yapmak, riskleri önemli ölçüde azaltacaktır. Teknoloji alanındaki bu değişimler, güvenlik politikalarının sürekli gelişimini gerektirmekte ve bu sayede olası siber saldırılara karşı daha dirençli bir yapı oluşturulması sağlanmaktadır.
