Microsoft Exchange'te Kritik Sıfırıncı Gün Açığı: E-posta ile Saldırı Mümkün Yazılım

Microsoft Exchange'te Kritik Sıfırıncı Gün Açığı: E-posta ile Saldırı Mümkün

Microsoft, şirket içi Exchange Server'ları etkileyen kritik bir sıfırıncı gün açığını duyurdu. Saldırganlar e-posta yoluyla kod çalıştırabiliyor.

Microsoft, şirket içi Exchange Server'ları etkileyen yüksek önem dereceli bir sıfırıncı gün güvenlik açığını duyurdu. CVE-2026-42897 olarak izlenen bu açık, saldırganların Outlook kullanıcılarına özel hazırlanmış bir e-posta göndererek rastgele kod çalıştırmasına olanak tanıyor. Açık, Exchange Server'da web sayfası oluşturma sırasında girdilerin yanlış temizlenmesinden kaynaklanan bir siteler arası betik çalıştırma (XSS) zafiyeti olarak tanımlanıyor.

Bu yüksek önem dereceli açık (CVSS puanı 8.1), 14 Mayıs'ta Microsoft tarafından kamuoyuna duyuruldu ve şu anda Exchange Server 2016, 2019 ve Subscription Edition (SE) sürümlerinin tüm mevcut versiyonlarını etkiliyor. Exchange Online kullanıcıları bu açıktan etkilenmiyor. Microsoft henüz bir yama yayınlamamış olsa da, güvenlik ekiplerinin açıktan korunmak için uygulayabileceği geçici çözümler mevcut.

İlk geçici çözüm olarak Microsoft, Exchange Acil Durum Azaltma (EM) Hizmeti'nin kullanılmasını öneriyor. Varsayılan olarak etkin olan bu hizmet, azaltma önlemini otomatik olarak uygulamış durumda. Yöneticiler, EM Hizmeti'nin durumunu Exchange Health Checker betiği ile kontrol edebilir. Ancak Mart 2023'ten eski sürümler bu hizmetten yararlanamıyor. İkinci seçenek ise, bağlantısız veya hava boşluklu ortamlar için Exchange Şirket İçi Azaltma Aracı (EOMT) ile manuel olarak PowerShell betiği çalıştırmak.

Microsoft, geçici çözümlerin bazı özellikleri devre dışı bırakabileceğini veya bozabileceğini kabul ediyor (örneğin, OWA Takvim Yazdırma, Satır İçi Görseller). Şirket, etkilenen Exchange sunucuları için güvenlik yamaları üzerinde çalışıyor. Exchange SE güncellemesi herkese açık olarak yayınlanırken, Exchange 2016 ve 2019 güncellemeleri yalnızca Period 2 Exchange Server ESU programına kayıtlı müşterilere sunulacak.

Paylaş: