Beş Göz eyaletinden üçü (Avustralya, Kanada ve ABD), son kullanıcı kuruluşlarının Microsoft Exchange Server örneklerini güvence altına almasına yardımcı olmak için kılavuz yayınladı; bu kılavuz, kısmen ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA), yaygın olarak kullanılan ürünün tüm sürümlerini etkileyen bir ayrıcalık yükselmesi (EoP) kusuru olan CVE-2025-53786 ile ilgili olarak Ağustos ayında yayınladığı acil durum uyarısından kaynaklanıyor.
Belge, hibrit ortamların bir parçası olarak şirket içi Exchange Sunucuları içindeki tehditleri ele almak ve hassas verileri ve iletişimleri korumak için bir dizi proaktif önleme tekniğini ortaya koyuyor ve CISA, bunu Microsoft Exchange’e güvenen kullanıcılar için kritik bir kaynak olarak tanımladı.
Ajansın Siber Güvenlik Bölümü yönetici yardımcısı Nick Anderson şunları söyledi: “Exchange sunucularına yönelik tehdidin kalıcı olması nedeniyle, önleme duruşunun uygulanması ve bu en iyi uygulamalara bağlı kalınması, kritik iletişim sistemlerimizin korunması için çok önemlidir. Bu kılavuz, kuruluşlara tehditleri proaktif olarak azaltma, kurumsal varlıkları koruma ve operasyonlarının dayanıklılığını sağlama konusunda güç verir.
“Ayrıca CISA, kuruluşların kendi iletişim hizmetlerini barındırmayla ilgili karmaşıklıkları yönetmek yerine bulut tabanlı e-posta hizmetlerinin kullanımını değerlendirmesini öneriyor. CISA, Güvenli Bulut İş Uygulamalarımız aracılığıyla bunlar için güvenli temeller sağlıyor. [SCuBA] programı.”
Kılavuz, yöneticilerin Exchange güvenlik duruşlarını optimize etmek için atmaları gereken birkaç adımı özetlemektedir; bunların çoğu, erişimi kısıtlama, çok faktörlü kimlik doğrulamayı (MFA) uygulama, katı aktarım güvenliği yapılandırmalarını zorunlu kılma ve sıfır güven ilkelerini zorunlu kılma gibi en iyi siber güvenlik uygulamalarının temel öğelerini oluşturur.
Ayrıca, Microsoft Exchange Server Subscription Edition’ın (SE) artık Exchange’in desteklenen tek şirket içi sürümü olduğundan (önceki sürümler Windows 10 ile birlikte 14 Ekim 2025’te destek dışı kalmıştır), desteklenmeyen sürümleri çalıştıranların SE’ye veya desteklenen alternatif bir e-posta sunucusu yazılımına veya hizmetine geçmesi gerektiğini vurgulamaktadır.
Bunun hemen mümkün olmaması halinde, yöneticiler eski Exchange Server örneklerini özel bir ağ bölümünde izole etmeyi ve bunları yalnızca dahili olarak kullanmayı düşünebilir; harici olarak kullanılmaları gerekiyorsa, yöneticiler bunları ayrı ve desteklenen bir e-posta güvenlik ağ geçidi aracısının arkasına, genel internet bağlantılarından gizlemeyi düşünebilir.
Kılavuzun yazarları, “Kurumsal iletişimlerin ve işlevlerin bütünlüğünü ve gizliliğini korumak için Exchange sunucularının güvenliğini sağlamak çok önemlidir” diye yazdı.
“Kuruluşlar, bu belgede özetlenen en iyi uygulamalara bağlı kalarak siber tehditlere karşı risklerini önemli ölçüde azaltabilir. Bu iletişim sunucularının siber güvenlik duruşunu sürekli olarak değerlendirmek ve güçlendirmek, gelişen siber tehditlerin önünde kalmak ve birçok kuruluşun operasyonel çekirdeğinin bir parçası olarak Exchange’in sağlam bir şekilde korunmasını sağlamak için kritik öneme sahiptir.”
‘Yıkıcı bir yorum’
Obama ve ilk Trump yönetimleri sırasında Beyaz Saray’ın siber politika lideri olan ve şu anda Kaliforniya Stanford Üniversitesi’nde görev yapan eski bir Beyaz Saray siber politikası lideri olan AJ Grotto, yayının Microsoft’a pek de iyi yansımayan alışılmadık bir hareket olduğunu söyledi.
Grotto, “Hükümetler normalde özel şirketler adına ürünlerini güvenli bir şekilde nasıl çalıştıracakları konusunda ayrıntılı rehberlik sağlamak için devreye girmiyor” dedi. “Güvenlik ve istihbarat teşkilatlarından oluşan çok taraflı bir koalisyonun böyle bir şey üretme zorunluluğu hissetmesi, Microsoft’un güvenlik duruşuna yönelik yıkıcı bir yorumdur.
“Microsoft ihmalinin yanına kalıyor çünkü müşterileri kendi ekosistemlerine kilitlenmiş durumda; bu da Microsoft’a risk ve giderleri müşterilerine aktarma konusunda avantaj sağlıyor. Bu hiç de iyi bir görünüm değil.”