Yönetişim ve Risk Yönetimi, Eski Altyapı Güvenliği
CISA, federal ajansların kusuru düzeltmesini gerektiren acil durum direktifi
Akhabokan Akan (Athokan_akhsha), David Perera (@Daveperera) •
7 Ağustos 2025
Exchange hibrid dağıtımlarında bir güvenlik açığı, saldırganların ayrıcalıkları artırmasına ve bulut tabanlı ortamlara idari erişim kazanmasına izin verebilir.
Ayrıca bakınız: Hibrit altyapıların güvenliği
CVE-2025-53786 olarak izlenen güvenlik açığı, saldırganların kuruluş içindeki herhangi bir posta kutusundan e-postaları okumasına, dışarı atmasına ve silmesine izin verir. Harici hesaplara otomatik olarak e-postalar yapabilirler. Bir hacker, saldırının başarılı olması için şirket içi bir değişim sunucusuna idari erişimin zaten ihtiyacı olacaktır. CVSS ölçeğinde 8.0 kusur oranları.
Microsoft, Salı günü, sömürü ve “güçlü” bir şekilde “güçlü” önerilen sıcak düzeltme güncellemelerinin kurulmasını ve hibrit dağıtımlar için güncellenmiş yapılandırma kılavuzunu izlemenin “güçlü” olmadığını söyledi.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı Perşembe günü Acil Durum Direktifi Otoritesini Federal Ajansları Microsoft’un azaltma rehberliğini derhal uygulamak için yönlendirmek için kullandı. Missive, CISA’nın da herhangi bir aktif sömürünün farkında olmadığını söylüyor.
Exchange sunucuları, 2021’de hükümetleri, askeri yüklenicileri ve üniversiteleri süpüren küresel bir siberlik operasyonunda proxylogon kusuru olarak bilinen dört sıfır günlük güvenlik açıkları kullanan ipek tayfun olarak izlenen Çinli hackerlar da dahil olmak üzere ulus devlet bilgisayar korsanları için tekrar eden bir hedeftir (bkz: bkz: bkz: bkz: ABD: Çin hükümeti Microsoft Exchange Saldırıları yürüttü).
Bazı kuruluşlar – özellikle daha önce ayrı e -posta sistemlerinin mirasını taşıyanlar – birleşik küresel adres listeleri, paylaşılan takvimler ve paylaşılan bir alan ad alanı gibi özellikler elde etmek için yerel olarak yönetilen değişim sunucularının bir Exchange Online bulut arka uçlarıyla bir kombinasyonunu kullanırlar. CVE-2025-53786’nın sömürülmesi, şirket içi sunucu ile bulut arasındaki iletişimi doğrulamak için kullanılan paylaşılan bir hizmet ana nesnesinden yararlanır. Şirket içi sunucuya idari erişime sahip bilgisayar korsanları, komutan gelen kutularına buluta sahte jetonlar veya API çağrıları gönderebilir.
Rapid7 kıdemli baş araştırmacı Stephen Lesser Stephen Lesser, bilgisayar korsanlarının denetlenebilir izler bırakmayacağı için güvenlik açığı söz konusu. Diyerek şöyle devam etti: “Bu güvenlik açığı, şirket içi ciddi bir değişim ihlalini tam ölçekli, tespit edilmesi zor bir bulut uzlaşmasına dönüştürüyor-savunucuların tespit edilmesi zor olan karadan yaşamadan oluşan tekniklerden yararlanıyor.”
Microsoft tarafından Nisan ayında açıklanan değişiklikler, paylaşılan hizmet ana nesnesini 31 Ekim’de zorunlu hale getirecek daha güvenli bir yedekle değiştirmeyi amaçlıyor. Bilgisayar devi Çarşamba günü yeni, özel değişim hibrid uygulamasına müşteri göçünün düşük olduğundan şikayet etti. Bakan, “müşterinin benimsenmesini hızlandırmak” için paylaşılan hizmet müdürünü kullanarak web hizmetleri trafiğini değiştirmek için kasıtlı olarak “kısa aksamalar” getireceğini söyledi. İlk aksamalar iki gün sürecek ve 19 Ağustos’ta başlayacak.
Kontrast Güvenlik Kurucu Ortağı ve CTO’su Jeff Williams, Bilgi Güvenliği Medya Grubuna güvenlik açığı tehlikesinin abartıldığını, çünkü bilgisayar korsanlarının şirket içi bir sunucuya zaten idari erişim kazanmasını gerektirdiğini söyledi. “Bu dünyanın sonu değil, izinlerinizin temizlenmesi” dedi.
Değişimin hibrit dağıtımının son derece karmaşık olduğunu söyledi. “Tavsiyem şirket içi değişimden kurtulmaya çalışmak olacak. Çoğu kuruluşun yürütülmesi çok karmaşık. Borsayı çalıştırması gereken tek organizasyonun Microsoft olduğunu söylediğini duydum.”