Microsoft Exchange Server hibrid dağıtımlarında kritik bir güvenlik açığı açıklanmıştır ve bu da şirket içi saldırganların, kolayca tespit edilebilir izler olmadan bulut ortamlarına yönelik ayrıcalıkları artırmaya izin vermesine izin verir.
CVE-2025-53786 olarak izlenen güvenlik açığı, bir güvenlik araştırmacının Black Hat Siber Güvenlik Konferansı’ndaki gösterisini takiben 6 Ağustos 2025’te Microsoft tarafından resmi olarak belgelendi.
Güvenlik açığı, geleneksel olarak şirket içi değişim sunucuları arasında paylaşılan bir hizmet prensibi kullanan ve kimlik doğrulaması için çevrimiçi olarak çevrimiçi bir hizmet prensipini kullanan Microsoft’un Exchange Hybrid Dağıtım Mimarisinden kaynaklanmaktadır.
Güvenlik Araştırmacısı Dirk-Jan Molema, Outsider Security, Black Hat 2025’te ayrıntılı sömürü teknikleri sundu ve saldırganların kullanıcı şifrelerini değiştirmek, bulut kullanıcılarını hibrid kullanıcılara dönüştürmek ve hibrit kullanıcıları taklit etmek için bu yapılandırmayı nasıl kullanabileceğini gösterdi.
“Bu belirteçler, temelde 24 saat boyunca geçerlidirler. Onları iptal edemezsiniz. Yani birisi bu jetona sahipse, savunma açısından yapabileceğiniz hiçbir şey yok,” diye açıkladı Molema sunumu sırasında.
Güvenlik açığı, çalındıktan sonra iptal edilemeyen Microsoft 365 ile Exchange Sunucusu iletişimi için kullanılan özel erişim belirteçlerinden yararlanır ve saldırganlara 24 saate kadar kontrol edilmemiş erişim sağlar.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) bunu kurumsal güvenlik için önemli etkileri olan yüksek şiddetli bir kırılganlık olarak değerlendirmiştir.
CISA’nın uyarısına göre, güvenlik açığı “şirket içi bir Microsoft Exchange sunucusuna idari erişimi olan bir siber tehdit oyuncunun, savunmasız hibritle birleştirilmiş konfigürasyonlardan yararlanarak ayrıcalıkları artırmasına izin veriyor”.
Microsoft Exchange Server Güvenlik Açığı
Kusur, bir kuruluşun değiştirilmeden bırakılırsa, bir kuruluşun değişim çevrimiçi hizmetinin kimlik bütünlüğünü etkileyebilir.
Özellikle, Microsoft, 18 Nisan 2025’te açıklanan güvenlik değişiklikleri yoluyla bu güvenlik açığını ele almaya başlamıştı. Şirket, hibrid değişim dağıtımlarının güvenliğini artırmak için, güvenlik dışı bir sıcak düzeltmenin yanı sıra hibrid dağıtım rehberliği için Exchange Server Güvenlik değişikliklerini yayınladı.
Bununla birlikte, müteakip araştırma, bu yapılandırma adımlarının gerçek bir güvenlik açığı ele aldığını ve Microsoft’un kusuru resmi olarak belgelemek için CVE-2025-53786 yayınlamasını istediği ortaya çıktı.
Nisan duyurusu, paylaşılan hizmet prensiplerinden özel değişim hibrit uygulamalarına geçiş getirdi. Bu değişiklik, güvenlik açığını mümkün kılan güvenlik sınırı sorunlarını ortadan kaldırmak için tasarlanmıştır.
Microsoft’un resmi belgeleri, Exchange Server’ın daha önce takvim paylaşımı ve kullanıcı profili resimleri gibi hibrit özellikler için “Exchange Online ile aynı uygulamaya sahip paylaşılan bir hizmet müdürü” kullandığını açıklıyor.
Güvenlik açığı, şirket içi değişim sunucularına ilk idari erişimi olan rakiplerin bağlı bulut ortamlarında ayrıcalıkları artırabileceği karmaşık saldırı senaryolarını mümkün kılar.
CISA’nın değerlendirmesine göre, başarılı sömürü saldırganların “kuruluşun bağlantılı bulut ortamında kolayca tespit edilebilir ve denetlenebilir iz bırakmadan” ayrıcalıkları artırmasını sağlayabilir.
Saldırı karmaşıklığı yüksek olarak derecelendirilir ve ilk önce saldırganların bir değişim sunucusunda yönetici erişimine sahip olmasını gerektirir. Bununla birlikte, bu ön koşul karşılandıktan sonra, güvenlik açığının kapsam değişimi derecesi, sömürünün başlangıçta tehlikeye atılan bileşenin ötesindeki kaynakları etkileyebileceğini gösterir.
Bu özellik, hibrit değişim dağıtımları olan kuruluşlar için özellikle tehlikeli hale getirir, çünkü tek bir tehlikeye atılan şirket içi sunucu kapsamlı bulut erişimi sağlayabilir.
Güvenlik uzmanları, güvenlik açığının özellikle kimlik katmanında çalıştığı için, potansiyel olarak saldırganların yönetici izinlerini değiştirmesine ve şirket içi değişim ve Microsoft 365 sistemleri arasında kalıcı erişim sağlamasına izin verdiği için ilgili olduğunu belirtmiştir.
Microsoft, açıklama tarihi itibariyle güvenlik açığının gözlemlenmediğini belirtti, ancak güvenlik araştırmacıları kavram kanıtı saldırıları gösterdi.
| Etkilenen ürün | Etkilenen yapı |
|---|---|
| Microsoft Exchange Server 2019 Kümülatif Güncelleme 15 | 15.02.1748.024 |
| Microsoft Exchange Server 2019 Kümülatif Güncelleme 14 | 15.02.1544.025 |
| Microsoft Exchange Server 2016 Kümülatif Güncelleme 23 | 15.01.2507.055 |
| Microsoft Exchange Server Abonelik Edition RTM | 15.02.2562.017 |
CISA, etkilenen kuruluşlar için özel iyileştirme rehberliği sağlamıştır:
- Microsoft’un Nisan 2025 Exchange Server Hotfix güncellemelerini şirket içi Exchange sunucularına yükleyin.
- Özel Exchange hibrid uygulamalarını dağıtmak için Microsoft’un yapılandırma talimatlarını izleyin.
- Microsoft’un Hizmet Ana Temel Temel Mod Rehberliği Servis Temel Anahtar Temelleri Sıfırlama için Gözden Geçirin.
- Ek adımların gerekip gerekmediğini belirlemek için Microsoft Exchange Sağlık Denetleyicisini çalıştırın.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın