Microsoft, müşterileri Exchange Server hibrid dağıtımlarında, saldırganların herhangi bir iz bırakmadan çevrimiçi bulut ortamlarında ayrıcalıklarını artırmasına izin verebilecek yüksek şiddetli bir güvenlik açığını azaltmaları konusunda uyardı.
Exchange Hibrit Yapılandırmalar Şirket içi değişim sunucularını çevrimiçi olarak (Microsoft 365’in bir parçası) alışverişe bağlayarak, paylaşılan takvimler, global adres listeleri ve posta akışı da dahil olmak üzere şirket içi ve takvim özelliklerinin şirket içi ve bulut posta kutuları arasında kesintisiz entegrasyonuna izin verir.
Bununla birlikte, hibrid Exchange dağıtımlarında, şirket içi Exchange Server ve Exchange Online, iki ortam arasında kimlik doğrulama için kullanılan paylaşılan bir kimlik olan aynı Hizmet Müdürünü de paylaşır.
Bu paylaşılan kimliği kötüye kullanarak, şirket içi değişimi kontrol eden saldırganlar, şirket içi sunucuya dolaylı olarak güvendiği için bulut tarafının meşru olarak kabul edeceği güvenilir jetonları veya API çağrılarını potansiyel olarak dövebilir veya manipüle edebilir.
Ayrıca, şirket içi değişimden kaynaklanan eylemler, Microsoft 365’te kötü niyetli davranışlarla ilişkili günlükler üretmez; Bu nedenle, geleneksel bulut tabanlı denetim (Microsoft Purview veya M365 denetim günlükleri gibi) şirket içi kaynaklarsa güvenlik ihlallerini yakalayamayabilir.
Microsoft, Çarşamba günü CVE-2025 güvenlik açığı tanımlayan bir güvenlik danışmanında, “Exchange hibrit dağıtımında, şirket içi değişim sunucusuna ilk olarak idari erişim sağlayan bir saldırgan, kuruluşun bağlantılı bulut ortamında kolayca tespit edilebilir ve dinlenebilir bir iz bırakmadan potansiyel olarak artırabilir.” Dedi.
Güvenlik açığı, Geleneksel Perpetual Lisans modelini abonelik tabanlı bir modelle değiştiren en son sürüm olan Exchange Server 2016 ve Exchange Server 2019’un yanı sıra Microsoft Exchange Server abonelik sürümü etkiler.
Microsoft henüz wild Insouring’i gözlemlememiş olsa da, şirket bunu “sömürü daha olası” olarak etiketlemiştir, çünkü analizi bu kırılganlığı sürekli olarak sömürmek için sömürü kodunun geliştirilebileceğini ve saldırganlara olan çekiciliğini arttırmak için geliştirilebileceğini ortaya koymuştur.
“Toplam Alan Uzlaşması”
CISA, bu sorunu ele alan ayrı bir danışma yayınladı ve CVE-2025-53786 kusurunu hedefleyen potansiyel saldırılara karşı değişim hibrit dağıtımlarını güvence altına almak isteyen ağ savunucularına aşağıdakiler verdi:
CISA, bu güvenlik açığını azaltamamanın “hibrit bir buluta ve şirket içi toplam alan uzlaşmasına yol açabileceği” ve yöneticileri Exchange Server veya SharePoint Server’ın hizmet sonu sürümlerini internetten çıkarmaya çağırmaya çağırdı.
Ocak ayında Microsoft, Adams’a Exchange 2016 ve Exchange 2019’un Ekim ayında genişletilmiş desteğin sonlarına ulaşacağını ve modası geçmiş sunucuları hizmetten çıkarması gereken kişiler için rehberlik yapacağını ve online alışveriş yapmak veya Exchange Server Aboneliği Sürümü’ne (SE) yükseltme konusunda geçmelerini tavsiye etti.
Son yıllarda, finansal olarak motive edilen ve devlet destekli bilgisayar korsanları, sunucuları ihlal etmek için proxylogon ve proxyshell sıfır günleri de dahil olmak üzere birden fazla değişim güvenlik açıklamasından yararlandı.
Örneğin, Hafnium veya ipek tayfun olarak izlenen Çin destekli bir tehdit grubu da dahil olmak üzere Mart 2021’de en az on hackleme grubu Proxylogon’dan yararlandı.
İki yıl önce, Ocak 2023’te Microsoft, müşterileri her zaman acil güvenlik güncellemelerini dağıtmaya hazır olduklarından emin olmak için desteklenen en son kümülatif güncellemeyi (CU) uygulamaya ve şirket içi değişim sunucularını güncel tutmaya çağırdı.
Şifre mağazalarını hedefleyen kötü amaçlı yazılımlar, saldırganlar gizli mükemmel soygun senaryolarını yürütürken, kritik sistemleri sızdırarak ve sömürerek 3 kat arttı.
Saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 Miter ATT & CK tekniklerini keşfedin.