Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi
ABD Siber Savunma Ajansı, Değişim Ortamlarını Güçlendirmek İçin En İyi Uygulamaları Açıkladı
Chris Riotta (@chrisriotta) •
30 Ekim 2025
ABD siber savunma yetkilileri ve uluslararası ortakları, dünya çapındaki hükümetlerin hibrit ortamlardaki şirket içi Exchange sunucularını hedef alan ısrarlı izinsiz giriş kampanyalarıyla boğuşmaya devam ettiği bir dönemde, Microsoft Exchange güvenlik açıklarını azaltmak için yeni bir plan yayınladı.
Ayrıca bakınız: 2024 Dolandırıcılık Analizleri Raporu
Siber Güvenlik ve Altyapı Güvenliği Ajansı ve Ulusal Güvenlik Ajansı Perşembe günü, hala korumasız veya yanlış yapılandırılmış Microsoft Exchange sunucularını çalıştıran kuruluşlar için ayrıntılı kılavuz yayınladı. Ajanslar, bu sistemlerin “yüksek risk altında” olduğu konusunda uyardı ve yöneticileri, kullanıcı kimlik doğrulamasını ve erişimini sertleştirmeye, güçlü ağ şifrelemesini uygulamaya ve bilgisayar korsanlığı girişimlerini engellemek için açıkta kalan uygulama yüzeylerini azaltmaya çağırdı.
CISA yetkilileri, Bilgi Güvenliği Medya Grubu’na yaptığı açıklamada, planın önceki acil durum direktiflerine dayandığını ve şirket içi Exchange ortamlarının istismarını sınırlamaya yönelik devam eden çabaları yansıttığını söyledi. CISA’nın siber güvenlik bölümü yönetici yardımcısı Nick Andersen, yeni kılavuzun “kuruluşlara tehditleri proaktif bir şekilde azaltma, kurumsal varlıkları koruma ve operasyonlarının dayanıklılığını sağlama konusunda yetki verdiğini” söyledi.
Plan, Exchange yöneticilerinin desteklenmeyen sunuculara derhal yama yapmasını ve yüksek risk taşıyan kullanım ömrü sonu yazılımlardan uzaklaşmasını gerektiriyor. Yöneticilerden ayrıca, yönetim arayüzlerini kısıtlayarak varsayılan olarak reddet erişim modelini uygulamaya koymaları, Active Directory Federasyon Hizmetleri aracılığıyla modern çok faktörlü kimlik doğrulamayı etkinleştirmeleri ve ortadaki düşman saldırılarını önlemek için güçlü TLS şifrelemesi yapılandırmaları istenmektedir.
Kılavuz ayrıca kuruluşlara, savunma kurallarını otomatik olarak uygulamak ve eski protokolleri devre dışı bırakarak ve tehlikeye atılmış sunucularda web kabuğu oluşturmayı engelleyerek saldırı yüzeylerini azaltmak için Microsoft’un Acil Durum Azaltma Hizmetini açmalarını tavsiye ediyor. Önlemler, kuruluşlar için saldırı yüzeyini en aza indiren ve hibrit Exchange ortamlarındaki potansiyel istismarı engelleyen bir “önleme duruşu” oluşturmayı amaçlıyor.
Analistler, sistemlerin hassas verileri işlemesi ve genellikle yama uygulama ve yapılandırma konusunda daha güvenli bulut dağıtımlarının gerisinde kalması nedeniyle, ulus devlet bilgisayar korsanlarının hükümet ortamlarındaki şirket içi Exchange sunucularını defalarca hedef aldığını söylüyor.
Andersen, Perşembe öğleden sonra düzenlenen bir medya brifinginde, CISA ve diğer kilit kurumlardaki birçok ön cephe federal siber savunucusunun ücretsiz çalıştığını söyledi. Devam eden federal hükümetin kapatılmasından Demokrat Parti’yi sorumlu tuttu.
“Demokratların kapatma sırasında harekete geçmeyi reddetmesi, bu ön saflardaki uzmanların çoğunu ücretsiz çalışmaya zorluyor” dedi. “Ulus devletler, Amerikalıları kritik sistemlerde sömürme çabalarını yoğunlaştırırken bile, bu gerçekten de ulusal savunmamız üzerinde kabul edilemez ve gereksiz bir yüktür.”
Rus ve İranlı gruplar, kimlik bilgilerini çalmak, web kabukları dağıtmak ve kritik sistemlere daha derinlemesine girmek için yama yapılmamış Exchange kurulumlarına saldırmaya devam ederken, devlet kullanıcılarını taklit etmek ve daha yüksek değerli varlıklara geçmek için e-posta kimlik doğrulamasındaki zayıflıklardan yararlanıyor (bkz:: Cumhuriyet Valileri Birliği Borsa Saldırılarında Hedef Alındı).
Microsoft son yıllarda bir dizi büyük siber saldırıyla karşı karşıya kaldı; bunlar arasında geçen yılın sonlarında Rus devlet korsanlarının nispeten basit taktikler kullanarak üst düzey yöneticilerin gelen kutularını ihlal ettiği ve şirketin uzun süredir devam eden güvenlik revizyon çabalarına kamuya açık bir darbe indirdiği bir olay da dahil. Microsoft, Midnight Blizzard olarak bilinen grubun, kendi operasyonlarına ilişkin soruşturma hakkında istihbarat toplamak amacıyla liderlik, siber güvenlik ve hukuk personeli de dahil olmak üzere sınırlı sayıda kurumsal hesaptan e-posta ve belge sızdırdığını söyledi (bkz.: Microsoft’un Son Hack’i Büyük Güvenlik Kaygılarına Yol Açtı).
Teknoloji devi, artan siber saldırılarla mücadele etmeyi ve gizlilik korumalarını güçlendirmeyi amaçlayan Güvenli Gelecek Girişimi’ni genişletme çabası da dahil olmak üzere, 2024 yılında güvenlik uygulamalarında revizyon yapılacağını duyurdu. Duyuru, Storm-0558 olarak bilinen Çin merkezli bir tehdit aktörünün Microsoft Outlook sistemlerine erişim sağladığı ve ABD Dışişleri Bakanlığı dahil 25 kuruluşun e-postalarını çaldığı yönündeki raporların ardından geldi (bkz: Microsoft, Büyük İhlallerden Sonra Güvenlik Uygulamalarını Yeniliyor ).
Daha yakın bir zamanda Microsoft, Azure ve Microsoft 365 hizmetlerinin yavaşlamasına veya arızalanmasına neden olan hatalı bir yapılandırma değişikliğinin ardından Çarşamba günü geniş bir sistem kesintisi yaşadı. Mühendisler, önceki kararlı kuruluma geri dönerek işlevselliği geri getirdi ve Azure SQL Database, Entra ID ve Microsoft Sentinel dahil olmak üzere çok çeşitli bulut hizmetlerinde yaşanan kesintiyi sona erdirdi (bkz.: Microsoft Azure Bulut Uygulamaları Yapılandırma Hatası Nedeniyle Kapatıldı).