Microsoft Çarşamba günü yaptığı açıklamada, “Exchange hibrit dağıtımında, şirket içi değişim sunucusuna ilk olarak idari erişim kazanan bir saldırgan, Microsoft Çarşamba günü yaptığı açıklamada, kuruluşun bağlı bulut ortamındaki ayrıcalıkları potansiyel olarak artırabilir.”
Ayrıcalık yükseltme, hibrit yapılandırmalarda aynı hizmet prensipini (Office 365 Exchange online uygulaması) paylaşan yeni açıklanan bir güvenlik açığı olan CVE-2025-53786’dan yararlanarak gerçekleştirilebilir. (Uygulama, Exchange Server ile Çevrimiçi Exchange arasındaki iletişimi doğrulamak ve güvence altına almak için kullanılır.)
Exchange hibrit dağıtım nedir?
Microsoft Exchange Server’ın hibrit dağıtım, şirket içi Microsoft Exchange sunucusu ortamını, çoğu Microsoft 365 aboneliğinde paketlenmiş bulut tabanlı sürüm olan Exchange Online ile bağlayan bir yapılandırma içerir.
Şu anda, böyle bir dağıtıma dayanan kuruluşlar, Office 365 Exchange Online uygulamasını kullanmaktan hala kurtulabilir, ancak uzun süredir: Microsoft, Exchange Online Paylaşılan Hizmet Müdürünü kullanarak Exchange Web Hizmetleri (EWS) trafiğini geçici olarak engellemeye başlayacaktır.
Microsoft’un Echange ekibi, “Bu, özel Exchange Hybrid uygulamasının müşterinin benimsenmesini hızlandırmak ve müşterimizin ortamlarını daha güvenli hale getirmek için aşamalı bir stratejinin bir parçası” diyor.
Exchange Web Hizmetleri’nin (EWS) Exchange’de (Microsoft Graph API lehine) emekliye ayrılması ve Office 365 Exchange Online uygulamasından özel bir Exchange Hibrid uygulamasına geçiş bir süre Microsoft tarafından planlanmıştır.
Şirket, Exchange Server 2019 CU 14 ve CU 15, Exchange Server 2016 CU 23 ve Exchange Server abonelik baskısı RTM için Hotfix güncellemelerini yayınlayarak ve müşterileri şirket içi değişim sunucularına yüklemeye çağırarak işlemi bu yılın başlarında harekete geçirdi.
Kurulumun ardından, Exchange Hibrid’i “paylaşılan ana” yapılandırmadan özel Exchange Hibrid uygulamasına değiştirmek ve dağıtmak için bir PowerShell komut dosyası çalıştırmak zorunda kaldılar.
(Geçişin son adımı, grafik API çağrılarını kullanmak için değişim hibridini değiştirmeyi ve özel uygulama izinlerini Ekim 2026’ya kadar gerçekleştirilmesi gereken daha ayrıntılı bir grafik izin modeline güncellemeyi içerir.)
Ancak değişim ekibine göre, “Özel hibrid uygulamayı destekleyen sunucu sürümlerinin benimsenmesi iyi olsa da, özel uygulamayı oluşturan müşteri sayısı çok düşük.”
Bu nedenle Microsoft, hem şirket içi hem de çevrimiçi olarak barındırılan kullanıcı posta kutularına sahip olan müşterileri etkileyecek, bu posta kutuları tarafından paylaşılan özellikleri, bu yılın başlarında piyasaya sürülen hotfix güncellemelerinden birine güncellenmemiş olan ve/veya etkinleştirilmeyen müşterileri etkileyecek iki ve üç günlük değişim web hizmetleri trafiğini planladı.
Şirket, “31 Ekim 2025’ten sonra, paylaşılan hizmet müdürünün kullanımı kalıcı olarak engellenecek. (…) Hibrid özellikleri, özel uygulama yapılandırılmamışsa çalışmayı durduracak” dedi.
CVE-2025-53786 HAKKINDA
Eklenen bir “teşvik” olarak Microsoft, Exchange Server ve Exchange online aynı hizmet anaparasını paylaşan tehlikeyi ortaya çıkardı: Saldırganlar, kuruluşun bağlı bulut ortamına gizlice erişmek için kullanabilirler.
“Başarılı bir şekilde sömürül [CVE-2025-53786] Bir saldırganın bir Exchange sunucusunda yönetici erişimi kazanmasını veya sahip olmasını gerektirir ”dedi.
Böylece şirket kuruluşlara aşağıdakileri tavsiye eder:
Microsoft, “Daha önce Exchange Server ve Exchange çevrimiçi kuruluşunuz arasında Exchange Hibrid veya OAuth kimlik doğrulamasını yapılandırdıysanız, ancak artık kullanmadıysanız, hizmet müdürünün anahtarlıklarını sıfırladığınızdan emin olun” dedi.
Cisa içeri girer
Güvenlik Danışmanlığına göre, CVE-2025-53786 şu anda kullanılmıyor. (Olsaydı, kuruluşlar, ayrıcalık artışının saldırganlar tarafından gerçekleştirilebileceği için “ayrılmadan” söyleyebilir mi? [an] kolayca tespit edilebilir ve denetlenebilir iz ”?
Bununla birlikte, şimdi bu bilgi açıkta olduğuna göre, bazı saldırganlar bu zayıflıktan yararlanmak için ellerini deneyebilirler.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), kuruluşlara Microsoft’un yönergelerini takip etmelerini ve daha fazla adımın gerekip gerekmediğini belirlemek için Microsoft Exchange Sağlık Denetleyicisi’ni çalıştırmalarını tavsiye etti.
Ajans, “CISA, Yaşam Sonu (EOL) veya Hizmet Sonu’na ulaşan Exchange Server’ın veya SharePoint Server’ın kamuya açık sürümlerini internetten ayırmasını tavsiye ediyor. Örneğin, SharePoint Server 2013 ve önceki sürümler EOL’dir ve hala kullanılmaktadır.”
Exchange 2016 ve Exchange 2019 için genişletilmiş desteğin sonu 14 Ekim 2025’te planlanıyor.
Bu yılın başlarında Microsoft, e-posta sunmak için TH Exchange Online Hizmetini kullanmak istiyorlarsa, kuruluşları yükseltmeye ve düzenli olarak Microsoft Exchange sunucularını yükseltmeye zorlamaya başladı. Şirketin belirtilen hedefi, son birkaç yılda değişim sunucularına yönelik saldırıların sıklığındaki önemli bir artış karşısında değişim ekosisteminin güvenlik profilini yükseltmektir.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!