CISA, 11 Ağustos 2025 Pazartesi günü saat 9: 00’a kadar CVE-2025-53786 olarak izlenen yeni açıklanan bir Microsoft Exchange acilen hibrit birleştirilmiş güvenlik açığını azaltmaya yönlendiren tüm federal sivil yürütme şube kurumlarını yönlendiren bir acil durum danışmanlığı yayınladı.
Kusur, bir önsöz değişim sunucusuna, bağlı Microsoft 365 bulut ortamlarına yanal olarak geçmesi için daha önce idari erişim elde eden saldırganların, potansiyel olarak etkilenen hibrid dağıtımlarda tam etki alanı uzlaşmasına yol açmasını sağlar.
Microsoft, yayından itibaren Wild Insouring’i gözlemlemediğini söylerken, hem Microsoft hem de CISA, güvenlik açığının Exchange Hybrid konfigürasyonlarını kullanarak kuruluşlarda ciddi bir risk oluşturduğu konusunda uyarıyor çünkü Exchange Server ve Exchange Online, Entra ID’de tarihsel olarak aynı hizmet müdürünü paylaştı ve bu da kolayca tespit edilebilir denetim izleri olmadan potansiyel istismara izin veriyor.
Sorun Microsoft Exchange Server 2016, 2019 ve Hibrid tarafından birleştirilen dağıtımlarda abonelik sürümünü etkiler.
CISA’nın direktifi agresif zaman çizelgeleri ve somut eylemler belirler. EDT Pazartesi günü saat 9: 00’a kadar, ajanslar Microsoft’un Exchange Server Health Checker’ı kullanarak değişim ortamlarını envanter ve değerlendirmeli, mevcut kümülatif güncellemeleri belirlemeli, Nisan 2025 Hotfix güncellemeleri (HUS) için uygunluğu belirlemeli ve yaşam sonunu veya uygun olmayan sunucuları ayırmalıdır.
Hibrit modda faaliyette bulunan veya alışverişi işleten ajanslar, en son desteklenen kümülatif güncellemeye (Exchange 2019 CU14 veya CU15; Exchange 2016 CU23) güncellenmeli, Nisan 2025 HUS’u uygulayın, sağlık denetleyicisi üzerinden doğrulayın ve edgetransport.exe davranışı gibi bilinen sorunları Azure RMS ile izlemelidir.
Anahtar bir azaltma, eski paylaşılan hizmet müdüründen Microsoft’un Entra ID’deki yeni özel Exchange Hibrid uygulamasına geçişin, ConfigureExchangeHybridapplication komut dosyasını uygun entra izinleriyle kullanmayı içerir.
Microsoft, Güvenli Gelecek Girişimi’nin bir parçası olarak Nisan 2025 HUS ile bu değişikliğe başladı, Exchange Sunucusunu ayırdı ve çevrimiçi kimlikleri ayırdı ve müşterileri Exchange Web Hizmetleri’nden (EWS) Microsoft Graph API’sine ayrıntılı izinlerle daha geniş bir hareket için hazırladı.
Microsoft, Paylaşılan Hizmet Müdürü kullanımının Ekim 2025’ten itibaren engelleneceği ve grafik izin modeli güncellemelerinin Ekim 2026’ya kadar bu ayın benimsenmesini hızlandırmak için geçici EWS icra blokları ile ilgili olarak uyardı.
CISA ayrıca, daha önce bir hibrit yapılandıran ancak artık Microsoft’un Hizmet Müdürü Temizlik Modunu kullanarak anahtar kimlik bilgilerini sıfırlamak ve uyumluluk onaylamak için değişikliklerden sonra sağlık denetleyicisini çalıştırmak için artık kullanmayan kuruluşlara tavsiyelerde bulunur.
EDT Pazartesi günü saat 17: 00’e kadar ajanslar, CISA’nın 1 Aralık 2025 yılına kadar devam eden ortak bildirimleri, teknik yardım ve ajanslar arası durum raporunu taahhüt ederek sağlanan bir şablon kullanarak statüyü CISA’ya bildirmelidir.
Güvenlik firmaları ve medya aciliyeti yansıtıyor. Analistler, Microsoft’un “daha olası” olarak kullanıldığını belirtiyor ve araştırmacılar, paylaşılan müdür yürürlükte kalırsa, online alışverişe alışverişten gelen gizli ayrıcalık artış potansiyelini vurgulamaktadır.
CISA’nın uyarısı ayrıca, hafifletmeler devam ederken pozlamayı azaltmak için kamuya açık EOL Exchange veya SharePoint sunucularının bağlantısını kesmeyi önerir.
Microsoft’un özel hibrid uygulaması için destek getiren Nisan 2025 HUS, kümülatiftir ve kuruluşların Exchange Update Sihirbazı aracılığıyla yükseltme yollarını planlamasını, destek sonrası sağlık denetleyicisini yeniden düzenlemelerini ve sorunlar ortaya çıkarsa setupAssist veya onarım kılavuzunu kullanmasını gerektirir.
Microsoft, bilinen sorunlar hakkında uyardı (edgetRansport.exe davranışı dahil) ve “zengin bir arada bulunma” gerektiren hibrit müşterilerin, ücretsiz/meşgul, posta uçları ve profil resimleri gibi özelliklerde kesintileri önlemek için Ekim 2025’ten önce özel uygulama geçişini tamamlaması gerektiğini açıkladı.
Sıkı bir federal son tarih ve hibrid bulut uzlaşma riski ile CISA’nın direktifi açık bir mesajın altını çiziyor: Yama, özel hibrid uygulamaya yeniden yapılandırma ve grafik geçişine hazırlanın veya çevrimiçi olarak karşılaşmada potansiyel kimlik bütünlüğü etkileri.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın