Siber güvenlik topluluğu, tarama verilerinin 28.000’den fazla satılmamış Microsoft Exchange sunucularının, CVE-2025-53786 tarihli kritik bir güvenlik kusuruna karşı savunmasız kaldığını ortaya koyduğundan önemli bir tehditle karşı karşıya.
10 üzerinden 8,0 CVSS puanı taşıyan bu yüksek şiddetli güvenlik açığı, şirket içi değişim sunucularına idari erişimi olan saldırganların, kolayca tespit edilebilir denetim parkurları bırakmadan bağlı Microsoft 365 bulut ortamlarında ayrıcalıkları artırmasını sağlar.
Keşif, acil durum güvenlik önlemleri uygulamaya yönelik derhal hükümet müdahalesi ve acil kuruluşların acil çağrılarını başlattı.
Büyük küresel maruziyet güvenliği tehdit ediyor
Güvenlik açığı, Microsoft Exchange Server hibrid dağıtımlarını etkiler, Shadowserver Foundation’dan ABD, Almanya ve Rusya’yı tanımlayan verilerin, açıkta kalan savunmasız sunucuların en yüksek konsantrasyonlarını barındıran ilk üç ülke olarak tanımlayan verileri etkiler.
CVE-2025-53786 olarak izlenen kusur, Black Hat Siber Güvenlik Konferansı’nda Güvenlik Araştırmacısı Dirk-Jan Molema tarafından Outsider Güvenlik Molema tarafından gösterilen ayrıntılı sömürü tekniklerinin ardından 6 Ağustos 2025’te Microsoft tarafından resmi olarak belgelenmiştir.
Güvenlik açığı, geleneksel olarak şirket içi değişim sunucuları arasında paylaşılan bir hizmet prensibi kullanan ve kimlik doğrulaması için çevrimiçi olarak çevrimiçi bir hizmet prensipini kullanan Microsoft’un Exchange Hybrid Dağıtım Mimarisinden kaynaklanmaktadır.
Bu konfigürasyon, şirket içi sistemleri ödün veren saldırganlar bulut ortamlarına erişimlerini genişletebileceğinden, ayrıcalık artış saldırıları için tehlikeli bir yol oluşturur.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) bunu kurumsal güvenlik için önemli etkileri olan yüksek şiddetli bir kırılganlık olarak değerlendirmiştir.
CISA, 7 Ağustos’ta 25-02 acil durum direktifi vererek bu tehdide hızlı bir şekilde yanıt verdi ve federal ajansları 11 Ağustos Pazartesi günü saat 9: 00’da güvenlik açığını ele almaya zorladı.
CISA Vekili Müdür Madhu Gottumukkala, durumun eleştirel doğasını vurguladı ve ajansın “Amerikalıların bağımlı olduğu federal sistemler için önemli, kabul edilemez bir risk oluşturan bu kırılganlığı azaltmak için acil eylemde bulunduğunu” belirtti.
Acil durum direktifi, başarılı bir sömürü saldırganların “kuruluşun bağlı bulut ortamındaki kolayca tespit edilebilir ve denetlenebilir iz bırakmadan” ayrıcalıklarını artırmasını sağlayabileceğinden potansiyel etkinin şiddetini yansıtır.
Microsoft ve CISA, Nisan 2025 güvenlik rehberliğini uygulamamış olan hibrit yapılandırmalar işleten kuruluşlara “önemli, kabul edilemez risk” konusunda uyarıyorlar.
Sömürü ve azaltma stratejileri
Güvenlik açığı, çalındıktan sonra iptal edilemeyen Microsoft 365 ile Exchange Sunucusu iletişimi için kullanılan özel erişim belirteçlerinden yararlanır ve saldırganlara 24 saate kadar kontrol edilmemiş erişim sağlar.
Molya’nın siyah şapka sunumu sırasında açıkladığı gibi, “Bu belirteçler, temelde 24 saat geçerlidir.
Onları iptal edemezsin. Birisi bu jetona sahipse, savunma açısından yapabileceğiniz hiçbir şey yok ”.
Kuruluşlar, aşağıdaki kritik adımlarla sistemlerini korumak için derhal harekete geçmelidir:
- Microsoft’un Nisan 2025 Exchange Server Hotfix güncellemelerini yükleyin altta yatan güvenlik açığını yamalamak için.
- Özel Exchange Hibrid Uygulamaları Dağıtım Paylaşılan hizmet ana konfigürasyonlarını değiştirmek için.
- Eski Hizmet Ana Kimlik Bilgilerini Temizle Yetkisiz erişim yolları sağlayabilir.
- Yapılandırma değişikliklerini uygulayın Exchange Server hibrid ortamlarında Microsoft’un güvenlik rehberliğinde belirtildiği gibi.
- Koşullu Erişim Politikalarını İnceleyin ve Güncelleyin Kimlik doğrulama kontrollerini güçlendirmek için.
Microsoft, 18 Nisan 2025’te açıklanan güvenlik değişiklikleri yoluyla bu güvenlik açığını ele almaya başlamış ve paylaşılan hizmet prensiplerinden özel değişim hibrit uygulamalarına geçiş getirmiştir.
Microsoft, daha güvenli bir grafik API mimarisine geçişinin bir parçası olarak 31 Ekim 2025’ten sonra paylaşılan hizmet müdürünü kullanarak Web Hizmetleri trafiğini kalıcı olarak engellemeyi planlıyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!