Microsoft Exchange Sunucularında Kritik Zero-Day Açığı: CVE-2026-42897 Siber Güvenlik

Microsoft Exchange Sunucularında Kritik Zero-Day Açığı: CVE-2026-42897

Microsoft, şirket içi Exchange sunucularını hedef alan kritik bir zero-day açığı (CVE-2026-42897) için uyarı yayınladı. Saldırganlar özel hazırlanmış

Microsoft, Mayıs 2026'da yayınladığı güvenlik bülteniyle, şirket içi (on-premises) Exchange Server sistemlerini etkileyen ciddi bir zero-day açığını duyurdu. CVE-2026-42897 olarak izlenen bu güvenlik açığı, Outlook kullanıcılarına özel hazırlanmış bir e-posta gönderilmesi yoluyla saldırganın hedef sisteme rastgele kod enjekte etmesine olanak tanıyor. Açık, web sayfası oluşturma sırasında girdinin yanlış nötralize edilmesinden kaynaklanan bir siteler arası betik çalıştırma (XSS) zafiyeti olarak sınıflandırılıyor.

Microsoft'un Common Vulnerability Scoring System (CVSS) üzerinden 8.1 puan verdiği bu yüksek önem dereceli açık, Exchange Server 2016, 2019 ve Subscription Edition (SE) sürümlerinin tüm mevcut yapılarını etkiliyor. Öte yandan, bulut tabanlı Exchange Online hizmeti bu açıktan etkilenmiyor. Bu durum, şirket içi altyapı kullanan kuruluşlar için acil bir tehdit oluşturuyor.

Henüz resmi bir güvenlik yaması yayınlanmamış olsa da Microsoft, açığın kötüye kullanılmasını önlemek için iki geçici çözüm yöntemi paylaştı. İlk yöntem, Exchange Acil Azaltma (EM) Hizmeti üzerinden otomatik olarak uygulanan bir önlem. EM Hizmeti varsayılan olarak etkin olduğu için çoğu sistemde bu önlem zaten devreye alınmış durumda. Yöneticiler, EM Hizmeti'nin durumunu Exchange Health Checker betiği ile kontrol edebilir ve gerekirse hizmeti etkinleştirebilir. Ancak, Mart 2023'ten eski sürümler bu hizmetten yeni azaltma güncellemeleri alamıyor.

Sistem Güvenliği

İkinci geçici çözüm yöntemi, EM Hizmeti'nin kullanılamadığı bağlantısız veya hava boşluklu (air-gapped) ortamlar için tasarlanmış. Bu yöntemde yöneticiler, Exchange Şirket İçi Azaltma Aracı'nın (EOMT) en son sürümünü indirip PowerShell betiğini çalıştırarak azaltmayı manuel olarak uygulayabiliyor. Microsoft, her iki yöntemin de OWA Takvim Yazdırma veya Satır İçi Görseller gibi bazı özelliklerde geçici sorunlara yol açabileceğini kabul ediyor.

Microsoft, etkilenen Exchange sunucuları için güvenlik yamaları üzerinde çalışıyor. Exchange SE güncellemesi herkese açık bir güvenlik güncellemesi olarak yayınlanırken, Exchange 2016 ve 2019 güncellemeleri yalnızca Exchange Server ESU programının 2. Dönemine kayıtlı müşterilere sunulacak. Kuruluşların, yama çıkana kadar geçici çözümleri uygulaması ve sistemlerini güncel tutması kritik önem taşıyor.

Gelecekte Ne Bekleniyor?

Bu zero-day açığı, şirket içi Exchange sunucularının hala ciddi bir tehdit altında olduğunu gösteriyor. Özellikle kurumsal e-posta altyapısını yöneten BT ekipleri, geçici çözümleri bir an önce devreye almalı ve resmi yama yayınlandığında hızlıca uygulamalı. Ayrıca, Exchange Online'a geçiş yapmak, bu tür şirket içi açıklara karşı uzun vadeli bir koruma sağlayabilir.

Kaynak: infosecurity-magazine.com

Paylaş: