.webp?w=696&resize=696,0&ssl=1 "Almanya Exchange Sunucuları Destek Dışı")
Almanya’daki Microsoft Exchange sunucuları, önemli sürümlere yönelik desteğin resmi olarak sona ermesinden sadece birkaç hafta sonra bile güvenlik güncellemeleri olmadan çalışıyor.
Federal Bilgi Güvenliği Dairesi (BSI), 28 Ekim 2025’te kesin bir uyarı yayınlayarak, internete açık Outlook Web Erişimi (OWA) içeren bilinen yaklaşık 33.000 şirket içi Exchange sunucusunun %92’sinin 2019 veya daha eski bir sürümü çalıştırdığını ortaya çıkardı.
Bu güvenlik açığı, sağlık, eğitim ve kamu yönetimi gibi sektörlerdeki kritik altyapıları yüksek siber saldırı riskiyle karşı karşıya bırakıyor.
BSI’nin analizi, destek sonu son tarihlerine yaygın olarak uyulmadığına dair rahatsız edici bir tabloyu ortaya koyuyor.
Exchange Server 2016 ve 2019 desteği 14 Ekim 2025’te resmi olarak sona erdi; bu, Microsoft’un artık hatalar veya güvenlik kusurları için yama sağlayamayacağı anlamına geliyor.
İzlenen sunucuların %45’inden fazlası 2019 sürümünü çalıştırıyor ve yaklaşık %40’ı 2016’yı kullanıyor; yalnızca çok küçük bir kısmı, yaklaşık 2.500’ü, desteklenen Exchange Server Subscription Edition’a (SE) yükseltildi.
Bu modası geçmiş sistemler ağırlıklı olarak hastanelerde, doktor muayenehanelerinde, okullarda, üniversitelerde, sosyal hizmetlerde, hukuk firmalarında, kamu hizmetlerinde ve belediye yönetimlerinde bulunuyor ve bu da yaygın kesinti potansiyelini artırıyor.
BSI’nin CERT-Bund ekibi uzun süredir operatörleri 2010 ve 2013 gibi eski sürümler hakkında bilgilendiriyordu ve artık uyarıları çevrimiçi olarak gösterilen 2016 ve 2019 örneklerini de kapsayacak şekilde genişletiyor.
Yamasız Sistemlerin Öne Çıkan Riskleri
ProxyLogon veya Hafnium gibi geçmişteki istismarlara benzer herhangi bir yeni kritik güvenlik açığı düzeltilemediğinden, potansiyel olarak sunucuları çevrimdışı duruma getirebilir ve e-posta iletişimlerini sekteye uğratabilir. Bu durumun sonuçları oldukça ciddidir.
Güvenliği ihlal edilen Exchange sunucuları, düz mimariler ve zayıf bölümleme nedeniyle genellikle tam ağ ihlallerine yol açarak veri sızmasına, fidye yazılımı dağıtımına ve uzun süreli kesintilere olanak tanır.
Tarihsel olaylar bu tehlikeyi vurguluyor; 2021’de, 20.000’den fazlası Almanya’da olmak üzere binlerce küresel Exchange sunucusu, yamalanmamış kusurlardan yararlanan devlet destekli saldırıların kurbanı oldu.
Ayrıca kişisel verilerin bu sunucularda işlenmesi Genel Veri Koruma Yönetmeliği’ni (GDPR) ihlal etmekte ve kuruluşları yasal cezalara maruz bırakmaktadır.
Felaketi önlemek için BSI, Exchange Server SE’ye derhal yükseltme yapılmasını veya Exchange Online gibi bulut alternatiflerine geçiş yapılmasını teşvik ediyor.
Microsoft’un Genişletilmiş Güvenlik Güncelleştirmeleri (ESU) programı, 14 Nisan 2026’ya kadar kritik sorunlar için ücretli yamalar sunuyor, ancak bu yalnızca ek maliyetle kaçınılmaz olanı geciktiriyor.
Kurum, yükseltmelerin ötesinde, IP beyaz listesi veya VPN’ler yoluyla OWA erişiminin kısıtlanmasını, doğrudan internete maruz kalmanın önlenmesini ve e-posta güvenliği için BSI’nin IT-Grundschutz yönergelerine başvurulmasını önermektedir.
Saldırganların sürekli olarak zayıf noktaları araştırdığı bir ortamda, Alman kuruluşlarının giderek saldırganlaşan dijital ortamda operasyonları ve veri bütünlüğünü korumak için bu adımlara öncelik vermesi gerekiyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
