Microsoft, Exchange Server’ın şirket içi sürümlerini etkileyen ve bir saldırganın belirli koşullar altında yüksek ayrıcalıklar kazanmasına izin verebilecek yüksek şiddetli bir güvenlik kusuru için bir danışmanlık yayınladı.
Güvenlik açığı, CVE-2025-537868.0 CVSS skoru taşır. Outsider güvenliğine sahip Dirk-Jan Molema, hatayı bildirdiği için kabul edildi.
“Exchange hibrit dağıtımında, ilk olarak şirket içi değişim sunucusuna idari erişim kazanan bir saldırgan, kuruluşun bağlı bulut ortamındaki ayrıcalıkları kolayca tespit edilebilir ve dente kalır izler bırakmadan artırabilir.” Dedi.
“Bu risk, Exchange Server ve Exchange Online’ın hibrid yapılandırmalarda aynı hizmet anaparasını paylaşması nedeniyle ortaya çıkıyor.”
Şirket, kusurun başarılı bir şekilde kullanılmasının, bir saldırganın kolayca tespit edilebilir ve denetlenebilir izler bırakmadan kuruluşun bağlı bulut ortamında ayrıcalıkları artırmasına izin verebileceğini de sözlerine ekledi. Ancak, saldırı zaten yöneticinin bir değişim sunucusuna erişimi olan tehdit aktörüne bağlı.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), kendi bülteninde, kırılganlığın, bir kuruluşun alışverişi çevrimiçi hizmetinin kimlik bütünlüğünü etkileyebileceğini söyledi.
Mitigasyonlar olarak, müşterilerin hibrid dağıtımlar için Exchange Server Güvenlik değişikliklerini incelemeleri, Nisan 2025 sıcak düzeltmesini (veya daha yeni) yüklemeleri ve yapılandırma talimatlarını izlemeleri önerilir.
Microsoft, “Daha önce Exchange Hibrid veya OAuth kimlik doğrulamasını Exchange Server ve Exchange Online Organizasyonu arasında yapılandırdıysanız, ancak artık kullanmadıysanız, hizmet müdürünün anahtarlıklarını sıfırladığınızdan emin olun.” Dedi.
Geliştirme, Windows Maker’ın, özel Exchange Hybrid uygulamasının müşterinin benimsenmesini artırmak ve hibrid ortamın güvenlik duruşunu artırmak amacıyla bu aydan itibaren Exchange Online Paylaşılan Hizmet Müdürü’nü kullanarak Exchange Web Hizmetleri (EWS) trafiğini geçici olarak engellemeye başlayacağını söylediği gibi geliyor.
Microsoft’un CVE-2025-53786 danışmanlığı, CISA’nın toplu olarak araç küstahı olarak izlenen yakın zamanda açıklanan SharePoint kusurlarının sömürülmesinden sonra konuşlandırılan çeşitli kötü amaçlı eserleri analiziyle de çakışıyor.
Bu, bir ASP.NET uygulamasının yapılandırmasında makine anahtar ayarlarını almak için tasarlanmış iki Base64 kodlu DLL ikili ve dört etkin sunucu sayfası genişletilmiş (ASPX) dosyasını içerir ve komutları yürütmek ve dosyaları yüklemek için bir web kabuğu olarak hareket eder.
Ajans, “Siber tehdit aktörleri, kriptografik anahtarları çalmak ve ana bilgisayar sistemini parmak izlemek ve verileri dışarı atmak için Base64 kodlu bir PowerShell komutunu yürütmek için bu kötü amaçlı yazılımlardan yararlanabilir.” Dedi.
CISA ayrıca varlıkları, eski sürümlerin kullanımını durdurmaktan bahsetmiyorum bile, Exchange Server’ın veya SharePoint Server’ın ömür sonu (EOL) veya hizmet sonu internetten ulaşan kamuya açık sürümlerini kesmeye çağırıyor.