Microsoft, şirket içi (on-premises) Exchange Server kullanıcılarını uyaran kritik bir güvenlik duyurusu yayınladı. CVE-2026-42897 koduyla izlenen bu sıfırıncı gün (zero-day) açığı, saldırganın Outlook kullanıcısına özel hazırlanmış bir e-posta göndererek hedef sistemde keyfi kod çalıştırmasına olanak tanıyor. Açık, Exchange Server'ın web sayfası oluşturma sırasında girdiyi düzgün şekilde temizlememesinden kaynaklanıyor ve bu da bir siteler arası betik çalıştırma (XSS) zafiyeti oluşturuyor. Microsoft, bu güvenlik açığını 8.1 CVSS puanıyla 'yüksek önem dereceli' olarak sınıflandırdı.
Açıktan etkilenen sürümler şunları içeriyor: Exchange Server 2016, Exchange Server 2019 ve Exchange Server Subscription Edition (SE) sürümlerinin tüm mevcut yapıları. Önemli bir not: Exchange Online (bulut tabanlı) bu açıktan etkilenmiyor. Microsoft, henüz resmi bir güvenlik yaması yayınlamadı ancak geçici çözümler sunarak sistem yöneticilerine zaman kazandırmayı hedefliyor.
İlk geçici çözüm, Microsoft'un önerdiği Exchange Acil Durum Azaltma (Emergency Mitigation - EM) Hizmeti'ni kullanmak. Varsayılan olarak etkin olan bu hizmet, zaten otomatik olarak koruma sağlıyor. Yöneticiler, EM Hizmeti'nin durumunu Exchange Health Checker betiğiyle kontrol edebilir ve gerekirse etkinleştirebilir. Ancak, Mart 2023'ten eski sürümleri çalıştıran sunucular bu hizmetten yararlanamıyor.
İkinci geçici çözüm, EM Hizmeti'nin kullanılamadığı ortamlar (örneğin bağlantısız veya hava boşluklu ağlar) için tasarlanmış. Yöneticiler, Exchange Şirket İçi Azaltma Aracı'nı (EOMT) indirip PowerShell betiğini çalıştırarak manuel olarak koruma uygulayabilir. Bu işlem, CVE-2026-42897 tanımlayıcısı kullanılarak tek bir sunucuya veya tüm sunuculara aynı anda uygulanabiliyor.
Sonuç ve Değerlendirme
Microsoft, her iki geçici çözümün de bazı özellikleri devre dışı bırakabileceğini veya bozabileceğini kabul ediyor. Örneğin, OWA Takvim Yazdırma ve Satır İçi Görseller gibi özellikler etkilenebilir. Bu nedenle yöneticilerin, geçici çözümleri uygulamadan önce olası etkileri değerlendirmesi önem taşıyor.
Detaylar ve Etkileri
Resmi güvenlik yamaları üzerinde çalışıldığı belirtilirken, Exchange SE güncellemesinin herkese açık olarak yayınlanacağı, Exchange 2016 ve 2019 güncellemelerinin ise yalnızca Exchange Server ESU programının 2. Dönemine kayıtlı müşterilere sunulacağı duyuruldu. Bu durum, eski sürümleri kullanan kurumların güvenlik yamasına erişim için ek adımlar atması gerektiğini gösteriyor.
Bu sıfırıncı gün açığı, özellikle şirket içi Exchange sunucularını hedef alan saldırıların artabileceğine işaret ediyor. Uzmanlar, sistem yöneticilerinin acilen geçici çözümleri uygulamasını ve resmi yamalar yayınlandığında gecikmeden güncellemeyi öneriyor. Ayrıca, kullanılmayan özelliklerin devre dışı bırakılması ve ağ trafiğinin izlenmesi gibi ek güvenlik önlemleri de alınması tavsiye ediliyor.
Kaynak: infosecurity-magazine.com