Microsoft, Şirket İçi Exchange Sunucularında Kritik Sıfırıncı Gün Açığı Buldu Windows

Microsoft, Şirket İçi Exchange Sunucularında Kritik Sıfırıncı Gün Açığı Buldu

Microsoft, Exchange Server'da CVE-2026-42897 kodlu kritik bir sıfırıncı gün açığı duyurdu. Açık, saldırganın hedefe özel e-posta göndererek kod çalışt

Microsoft, şirket içi Exchange sunucularını etkileyen yüksek önem derecesine sahip bir sıfırıncı gün güvenlik açığı konusunda uyarı yayınladı. CVE-2026-42897 olarak takip edilen bu açık, Exchange Server'daki bir çapraz site betik çalıştırma (XSS) zafiyetinden kaynaklanıyor. Saldırgan, Outlook kullanıcısına özel hazırlanmış bir e-posta göndererek hedef sisteme rastgele kod enjekte edebiliyor. Bu sayede yetkisiz bir saldırgan ağ üzerinden kimlik sahteciliği yapabiliyor.

14 Mayıs'ta açıklanan bu yüksek önem dereceli güvenlik açığı (CVSS puanı 8.1), şu anda mevcut tüm Exchange Server 2016, Exchange Server 2019 ve Exchange Server Subscription Edition (SE) sürümlerini etkiliyor. Exchange Online ise bu açıktan etkilenmiyor. Microsoft henüz bu açık için resmi bir yama yayınlamadı ancak geçici çözümler sundu.

Microsoft, yama geliştirilene kadar açığın etkisini azaltmak için iki geçici çözüm öneriyor. İlk seçenek, varsayılan olarak etkin olan Exchange Acil Durum Azaltma (EM) Hizmeti'ni kullanmak. Yöneticiler, EM Hizmeti'nin durumunu Exchange Health Checker betiği ile kontrol edebilir. EM Hizmeti etkin değilse Microsoft etkinleştirilmesini öneriyor. Ancak Mart 2023'ten eski sürümler yeni azaltmaları alamıyor.

İkinci seçenek ise bağlantısız veya hava boşluklu ortamlar için. Yöneticiler, Exchange Şirket İçi Azaltma Aracı'nı (EOMT) indirip PowerShell betiğini çalıştırarak manuel olarak azaltma uygulayabiliyor. Microsoft, her iki azaltma yönteminin de OWA Takvim Yazdırma gibi bazı özellikleri devre dışı bırakabileceğini belirtiyor. Şirket, etkilenen Exchange sunucuları için güvenlik yamaları üzerinde çalışıyor. Exchange SE güncellemesi herkese açık olurken, Exchange 2016 ve 2019 güncellemeleri yalnızca Periyot 2 Exchange Server ESU programına kayıtlı müşterilere sunulacak.

Paylaş: