ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Ulusal Güvenlik Ajansı (NSA), Avustralya ve Kanada’dan uluslararası ortaklarla birlikte, şirket içi Microsoft Exchange Server örneklerini potansiyel istismardan korumak için kılavuz yayınladı.
CISA, “Yönetici erişimini kısıtlayarak, çok faktörlü kimlik doğrulama uygulayarak, katı aktarım güvenliği yapılandırmalarını uygulayarak ve sıfır güven (ZT) güvenlik modeli ilkelerini benimseyerek kuruluşlar potansiyel siber saldırılara karşı savunmalarını önemli ölçüde güçlendirebilir.” dedi.
Ajanslar, Microsoft Exchange Server’ı hedef alan kötü niyetli etkinliklerin gerçekleşmeye devam ettiğini, korumasız ve yanlış yapılandırılmış örneklerin saldırıların en ağır yüküyle karşı karşıya olduğunu söyledi. Kuruluşların, Microsoft 365’e geçiş yaptıktan sonra kullanım ömrü sona eren şirket içi veya hibrit Exchange sunucularını kullanımdan kaldırmaları önerilir.
Özetlenen en iyi uygulamalardan bazıları aşağıda listelenmiştir:
- Güvenlik güncellemelerini ve yama temposunu koruyun
- Kullanım ömrü sona eren Exchange sunucularını taşıyın
- Exchange Acil Durum Azaltma Hizmetinin etkin kaldığından emin olun
- Exchange Server temel çizgisini, Windows güvenlik temel çizgilerini ve ilgili posta istemcisi güvenlik temel çizgilerini uygulayın ve sürdürün
- Antivirüs çözümünü, Windows Kötü Amaçlı Yazılım Önleme Tarama Arayüzünü (AMSI), Saldırı Yüzeyini Azaltma (ASR), İşletmeler için AppLocker ve Uygulama Denetimi, Uç Nokta Algılama ve Yanıt ile Exchange Server’ın istenmeyen posta önleme ve kötü amaçlı yazılımdan koruma özelliklerini etkinleştirin
- Exchange Yönetim Merkezi’ne (EAC) ve uzak PowerShell’e yönetici erişimini kısıtlayın ve en az ayrıcalık ilkesini uygulayın
- NTLM yerine Aktarım Katmanı Güvenliği (TLS), HTTP Sıkı Aktarım Güvenliği (HSTS), Genişletilmiş Koruma (EP), Kerberos ve Sunucu İleti Bloğu (SMB) ve çok faktörlü kimlik doğrulamayı yapılandırarak kimlik doğrulamayı ve şifrelemeyi güçlendirin
- Exchange Yönetim Kabuğu’ndaki (EMS) kullanıcıların uzaktan PowerShell erişimini devre dışı bırakın
Ajanslar, “Exchange sunucularının güvenliğinin sağlanması, kurumsal iletişim ve işlevlerin bütünlüğünü ve gizliliğini korumak için gereklidir” dedi. “Bu iletişim sunucularının siber güvenlik duruşunu sürekli olarak değerlendirmek ve güçlendirmek, gelişen siber tehditlerin önünde kalmak ve birçok kuruluşun operasyonel çekirdeğinin bir parçası olarak Exchange’in sağlam bir şekilde korunmasını sağlamak açısından kritik öneme sahiptir.”
CISA, CVE-2025-59287 Uyarısını Güncelliyor
Kılavuz, CISA’nın uyarısını, Windows Server Update Services (WSUS) bileşeninde uzaktan kod yürütülmesine neden olabilecek yeni yamalı bir güvenlik açığı olan CVE-2025-59287 ile ilgili ek bilgileri içerecek şekilde güncellemesinden bir gün sonra geldi.
Ajans, kuruluşların kötüye kullanıma açık sunucuları belirlemelerini, Microsoft tarafından yayımlanan bant dışı güvenlik güncelleştirmesini uygulamalarını ve ağlarındaki tehdit etkinliği işaretlerini araştırmalarını öneriyor.
- SİSTEM düzeyindeki izinlerle, özellikle wsusservice.exe ve/veya w3wp.exe’den kaynaklanan şüpheli etkinlikleri ve alt işlemleri izleyin ve inceleyin.
- Base64 kodlu PowerShell komutlarını kullanarak iç içe geçmiş PowerShell işlemlerini izleyin ve inceleyin
Bu gelişme, Sophos’un, tehdit aktörlerinin üniversiteler, teknoloji, üretim ve sağlık hizmetleri de dahil olmak üzere çeşitli sektörleri kapsayan ABD kuruluşlarından hassas verileri toplamak için güvenlik açığından yararlandığını belirten bir raporunun ardından geldi. Yararlanma etkinliği ilk olarak 24 Ekim 2025’te, Microsoft’un güncellemeyi yayınlamasından bir gün sonra tespit edildi.
Bu saldırılarda saldırganların, Base64 kodlu PowerShell komutlarını çalıştırmak ve sonuçları bir web kancasına sızdırmak için savunmasız Windows WSUS sunucularından yararlandıkları tespit edildi.[.]Darktrace, Huntress ve Palo Alto Networks Unit 42’den gelen diğer raporları doğrulayan site uç noktası.
Siber güvenlik şirketi The Hacker News’e bugüne kadar müşteri ortamlarında altı olay tespit ettiğini ancak daha fazla araştırmada en az 50 kurbanın işaretlendiğini söyledi.
Sophos Karşı Tehdit Birimi tehdit istihbaratı direktörü Rafe Pilling, The Hacker News’e yaptığı açıklamada, “Bu aktivite, tehdit aktörlerinin savunmasız kuruluşlardan değerli veriler toplamak için WSUS’taki bu kritik güvenlik açığından hızla yararlandığını gösteriyor.” dedi.
“Bunun bir başlangıç test veya keşif aşaması olması ve saldırganların yeni saldırı fırsatlarını belirlemek için topladıkları verileri analiz etmeleri mümkün. Şu anda daha fazla kitlesel istismar görmüyoruz, ancak yine de erken ve savunmacılar bunu bir erken uyarı olarak değerlendirmeli. Kuruluşlar, sistemlerine tamamen yama uygulandığından ve WSUS sunucularının istismar riskini azaltmak için güvenli bir şekilde yapılandırıldığından emin olmalıdır.”
Cisco’nun sahibi olduğu Splunk’ta baş tehdit araştırma mühendisi olan Michael Haag, X’teki bir gönderisinde CVE-2025-59287’nin “beklenenden daha derine indiğini” ve bir yönetici WSUS Admin Console’u açtığında veya “Sunucu Düğümünü Sıfırla”ya bastığında “cmd.exe”nin yürütülmesini tetiklemek için Microsoft Yönetim Konsolu ikili dosyasının (“mmc.exe”) kullanımını içeren alternatif bir saldırı zinciri bulduklarını belirtti.
Haag, “Bu yol bir 7053 Olay Günlüğü çökmesini tetikliyor” dedi ve bunun Huntress tarafından “C:\Program Files\Update Services\Logfiles\SoftwareDistribution.log” konumunda tespit edilen yığın izlemesiyle eşleştiğini ekledi.