7 Ağustos 2025’te Shadowserver Foundation tarafından yayınlanan yeni tarama verilerine göre, 28.000’den fazla satılmamış Microsoft Exchange sunucusu CVE-2025-53786’da belirlenen kritik bir güvenlik kusuruna karşı savunmasız kalıyor.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), 7 Ağustos’ta 25-02 Acil Durum Direktifi yayınladı ve federal ajansları 11 Ağustos Pazartesi günü 09: 00’da Microsoft Exchange hibrit dağıtımlarındaki bu yüksek şiddetli kırılganlığı ele almayı zorunlu kıldı.
10 üzerinden 8,0 olan CVSS puanı taşıyan kusur, şirket içi değişim sunucularına idari erişimi olan saldırganların, kolayca tespit edilebilir denetim parkurları bırakmadan bağlı Microsoft 365 bulut ortamlarındaki ayrıcalıkları artırmaya izin verir.
Güvenlik açığı taramaları, ABD, Almanya ve Rusya’nın en yüksek maruz kalan savunmasız sunuculara sahip ilk üç ülkeyi temsil ettiğini ortaya koyuyor.
Bu bulgular, Microsoft ve CISA’nın Nisan 2025 güvenlik rehberliğini uygulamayan hibrit yapılandırmalar işleten kuruluşlara “önemli, kabul edilemez risk” konusunda uyardığı için geliyor.
Güvenlik açığının kökenleri, Microsoft’un güvenlik dışı bir hotfix güncellemesinin yanı sıra hibrid dağıtımlar için Exchange Server Güvenlik değişikliklerini duyurduğunda 18 Nisan 2025’e kadar uzanıyor.
Başlangıçta genel güvenlik iyileştirmeleri olarak sunulan Microsoft, daha sonra daha fazla araştırmayı takiben CVE ataması gerektiren belirli güvenlik sonuçlarını belirledi.
Şirket şimdi Nisan 2025 hotme veya daha sonraki bir sürümün kurulmasını ve Exchange Server hibrid ortamlarında yapılandırma değişikliklerinin uygulanmasını şiddetle tavsiye ediyor.
Kusur var çünkü Exchange Server ve Exchange Online, hibrid yapılandırmalarda aynı hizmet anaokulunu paylaşarak ayrıcalık yükseltme saldırıları için bir yol oluşturuyor.
Güvenlik açığını bildiren Outsider Security’den Güvenlik Araştırmacısı Dirk-Jan Molema, Black Hat USA 2025’teki istismar gösterdi ve tehdit aktörlerinin koşullu erişim politikalarını atlarken 24 saat boyunca geçerli kalan kimlik doğrulama jetonlarını nasıl oluşturabileceğini gösterdi.
Microsoft, açıklama tarihinden itibaren onaylanmış aktif sömürü olmasına rağmen güvenlik açığını “sömürü daha olası” olarak nitelendirmiştir.
Bununla birlikte, CISA Vekili Direktörü Madhu Gottumukkala aciliyeti vurguladı, ajansın “Amerikalıların bağlı olduğu federal sistemler için önemli, kabul edilemez bir risk oluşturan bu kırılganlığı azaltmak için acil bir eylemde bulunduğunu” belirtti.
Kuruluşlar Microsoft’un Nisan 2025 Exchange Server Hotfix güncellemelerini yüklemeli, özel Exchange Hibrid uygulamalarını dağıtmalı ve eski hizmet ana kimlik bilgilerini temizlemelidir.
Microsoft, daha güvenli bir grafik API mimarisine geçişinin bir parçası olarak 31 Ekim 2025’ten sonra paylaşılan hizmet müdürünü kullanarak Web Hizmetleri trafiğini kalıcı olarak engellemeyi planlıyor.
CISA, hem şirket içi hem de bulut ortamlarından potansiyel toplam alandan ödün verilmesini önlemek için sadece federal ajanslar değil, tüm kuruluşları acil durum direktif rehberliğini uygulamaya teşvik eder.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın