CISA, tüm Federal Sivil Yürütme Şubesi (FCEB) ajanslarına Pazartesi sabahı 09:00 ET.
Federal Sivil Yürütme Şubesi (FCEB) ajansları, ABD Yürütme Şubesi içinde İç Güvenlik Bakanlığı, Hazine Bölümü, Enerji Bakanlığı ve Sağlık ve İnsan Hizmetleri Bölümü de dahil olmak üzere askeri olmayan kurumlardır.
CVE-2025-53786 olarak izlenen kusur, şirket içi değişim sunucularına idari erişim sağlayan saldırganların Microsoft bulut ortamlarına yanal olarak hareket etmelerini sağlayan ve potansiyel olarak tam alan uzmasına yol açmasına izin verir.
Güvenlik açığı Microsoft Exchange Server 2016, 2019 ve Abonelik Sürümü’nü etkiler.
Hibrit yapılandırmalarda, Exchange Online ve Şirket içi sunucular, birbirleriyle kimlik doğrulaması yapmak için kullanılan ortak bir güven ilişkisi olan aynı hizmet anaparasını paylaşır.
Şirket içi değişim sunucusunda yönetici ayrıcalıkları olan bir saldırgan, bulut tarafının meşru olarak kabul edeceği güvenilir jetonları veya API çağrılarını potansiyel olarak oluşturabilir veya manipüle edebilir. Bu teknik, saldırganların yerel ağdan şirketin bulut ortamına yanal olarak yayılmasını ve şirketin tüm aktif dizin ve altyapısını tehlikeye atmasını sağlar.
Daha da kötüsü, Microsoft, Microsoft Purview gibi bulut tabanlı gündelik araçların şirket içi değişimden kaynaklanması durumunda kötü niyetli etkinlikleri kaydedemeyeceğini ve bu da sömürü algılamayı zorlaştırdığını söylüyor.
Bu kusur, Microsoft’un Güvenli Gelecek Girişimi’nin bir parçası olarak paylaşılan yerine özel bir hibrid uygulaması kullanan yeni bir mimariyi desteklemek için Nisan 2025’te rehberlik ve bir Exchange Server Hotfix’i yayınladıktan sonra geliyor.
Dün, Güvenlik Araştırmacısı Dirk-Jan Molema, Outsider Security, bu paylaşılan hizmet müdürünün siyah bir şapka sunumu sırasında sömürü sonrası bir saldırıda nasıl kullanılabileceğini gösterdi.
Araştırmacı, BleepingComputer’a Microsoft’un önceden uyarı vermesi için konuşmadan üç hafta önce kusur bildirdiğini söyledi. Sunumla koordineli olarak Microsoft, CVE-2025-53786 CVE’yi ve nasıl hafifletileceğine dair rehberliği yayınladı.
Molleema, BleepingComputer’a verdiği demeçte, “Başlangıçta bunu bir güvenlik açığı olarak görmedim çünkü bu saldırılar için kullanılan protokol konuşma sırasında ele alınan özelliklerle tasarlandı ve genel olarak önemli güvenlik kontrollerinden yoksun.”
Diyerek şöyle devam etti: “Saldırganlar için olanakları açıklayan rapor, Siyah şapkadan 3 hafta önce MSRC’ye kadar bir başlık olarak gönderildi ve açıklama onlarla koordine edildi. Microsoft, bu rehberliğin yanı sıra, tam kiracı uzlaşmasına (global admin) yol açmasına neden olabilecek bir saldırı yolunu azalttı.”
İyi haber şu ki, daha önce hotfix ve nisan rehberliği uygulayan Microsoft Exchange müşterileri, bu yeni sömürü sonrası saldırısından zaten korunuyor.
Bununla birlikte, hafifletmeleri uygulamamış olanlar hala etkilenir ve Hotfix’i yüklemeli ve özel Exchange Hybrid uygulamasını dağıtmak için Microsoft’un talimatlarını (Doc 1 ve Doc 2) takip etmelidir.
Molema, “Bu durumda sadece hotfix uygulamak yeterli değil, özel bir hizmet müdürüne geçmek için gereken manuel takip eylemleri var.”
“Güvenlik açısından aciliyet, yöneticilerin şirket içi değişim kaynakları ile bulut barındırılmış kaynaklar arasında ne kadar izolasyonu düşündüğüne bağlıdır. Eski kurulumda Exchange Hybrid, çevrimiçi ve SharePoint’te tüm kaynaklara tam erişime sahiptir.”
Molema ayrıca tekniğinin bir, bir, bir saldırganın şirket içi ortamını veya değişim sunucularını tehlikeye atması ve bu durumda yönetici ayrıcalıklarına sahip olması gerektiği anlamına gelen, bir, bir saldırganın bir, bir Secatasyon Sonrası saldırısı olduğunu yineledi.
CISA’nın acil direktifi 25-02’ye göre, federal ajanslar şimdi Microsoft’un sağlık denetleyicisi senaryosunda değişim ortamlarının bir envanterini alarak saldırıyı azaltmalı. Yaşam sonu değişim sürümleri gibi Nisan 2025 hotfix tarafından artık desteklenmeyen sunucuların bağlantısı kesilmelidir.
Kalan tüm sunucular en son kümülatif güncellemelere (Exchange 2019 için CU14 veya CU15 ve Exchange 2016 için CU23) güncellenmeli ve April Hotfix ile yamalı olmalıdır. Daha sonra, yöneticilerin Paylaşılandan Entra ID’deki özel hizmet müdürüne geçiş yapmak için Microsoft’un ConfigureExchangehybridapplication.ps1 PowerShell komut dosyasını çalıştırması gerekir.
CISA, bu hafifletmeleri uygulanamamanın, hibrid ortamların tamamen tehlikeye atılmasına neden olabileceği konusunda uyarıyor.
Ajanslar Pazartesi sabahı teknik iyileştirme adımlarını tamamlamalı ve aynı gün saat 17: 00’e kadar CISA’ya bir rapor göndermelidir.
Hükümet dışı kuruluşların bu direktif kapsamında harekete geçmeleri gerekmese de, CISA tüm kuruluşları saldırıyı azaltmaya çağırıyor.
CISA Vekili Madhu Gottumukkala, “Bu Microsoft Exchange güvenlik açığı ile ilişkili riskler, bu ortamı kullanarak her organizasyon ve sektöre uzanıyor.” Dedi.
Diyerek şöyle devam etti: “Federal ajanslar zorunlu tutulurken, tüm kuruluşları bu acil durum direktifindeki eylemleri benimsemeye şiddetle tavsiye ediyoruz.”
Şifre mağazalarını hedefleyen kötü amaçlı yazılımlar, saldırganlar gizli mükemmel soygun senaryolarını yürütürken, kritik sistemleri sızdırarak ve sömürerek 3 kat arttı.
Saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 Miter ATT & CK tekniklerini keşfedin.