Microsoft, şirket içi Exchange Server'ları hedef alan yüksek önem dereceli bir sıfırıncı gün güvenlik açığını duyurdu. CVE-2026-42897 olarak izlenen bu açık, saldırganların Outlook kullanıcılarına özel hazırlanmış bir e-posta göndererek hedef sistemde rastgele kod çalıştırmasına olanak tanıyor. Açık, Exchange Server'ın web sayfası oluşturma sırasında girdileri düzgün şekilde temizlememesinden kaynaklanıyor ve bu da bir tür siteler arası betik çalıştırma (XSS) zafiyeti oluşturuyor. Microsoft, bu zafiyetin ağ üzerinde kimlik sahtekarlığı yapmak için kullanılabileceğini belirtiyor.
Açığın CVSS puanı 8.1 olarak belirlenmiş ve yüksek önem derecesine sahip. Microsoft, 14 Mayıs'ta yayınladığı güvenlik bildirimiyle bu açığın şu an için yalnızca şirket içi Exchange Server sürümlerini etkilediğini duyurdu. Etkilenen sürümler arasında Exchange Server 2016, 2019 ve Subscription Edition (SE) tüm mevcut sürümleri yer alıyor. Exchange Online kullanan bulut tabanlı hizmetler ise bu açıktan etkilenmiyor. Bu, özellikle hibrit veya tamamen şirket içi e-posta altyapısı kullanan kuruluşların dikkatli olması gerektiği anlamına geliyor.
Microsoft henüz bu güvenlik açığı için resmi bir yama yayınlamadı. Ancak Exchange Ekibi, 14 Mayıs'ta yayınladıkları güvenlik bildiriminde, yama hazır olana kadar kuruluşların alabileceği iki geçici önlem paylaştı. İlk ve önerilen yöntem, Exchange Acil Durum Azaltma (EM) Hizmeti'ni kullanmak. EM Hizmeti varsayılan olarak etkin olduğu için, bu hizmeti kullanan sunuculara otomatik olarak azaltma uygulanmış durumda. Yöneticiler, EM Hizmeti'nin durumunu Exchange Health Checker betiği ile kontrol edebilir ve gerekirse hizmeti etkinleştirebilir.
EM Hizmeti'nin kullanılamadığı ortamlar (örneğin, ağ bağlantısı olmayan veya hava boşluklu sistemler) için ikinci bir geçici çözüm sunuluyor. Bu yöntemde, yöneticilerin Exchange Şirket İçi Azaltma Aracı'nı (EOMT) indirip PowerShell betiğini çalıştırması gerekiyor. Betik, tek bir sunucuya veya tüm sunuculara aynı anda uygulanabiliyor. Ancak Microsoft, her iki geçici çözümün de bazı özellikleri devre dışı bırakabileceği veya aksatabileceği konusunda uyarıyor. Örneğin, OWA Takvim Yazdırma veya Satır İçi Görseller gibi özellikler etkilenebilir.
Microsoft, etkilenen Exchange sunucuları için güvenlik yamaları üzerinde çalışıyor. Exchange SE sürümü için güncelleme herkese açık bir güvenlik güncellemesi olarak yayınlanacak. Ancak Exchange 2016 ve 2019 için güncellemeler yalnızca Dönem 2 Exchange Server ESU programına kaydolan müşterilere sunulacak. Bu, genişletilmiş güvenlik güncellemeleri (ESU) kapsamında olmayan kuruluşların, bu eski sürümleri kullanmaya devam ediyorlarsa, yamayı almak için ESU programına katılmaları gerekebileceği anlamına geliyor.
Sonuç ve Değerlendirme
Bu açık, özellikle şirket içi Exchange sunucularını yöneten BT ve güvenlik ekipleri için acil bir eylem çağrısı niteliği taşıyor. Geçici çözümlerin uygulanması, yama yayınlanana kadar sistemlerin korunmasına yardımcı olabilir. Ancak geçici çözümlerin bazı özellikleri etkileyebileceği unutulmamalı. Kuruluşların, Exchange sunucularını mümkün olan en kısa sürede güncellemeleri ve düzenli güvenlik taramaları yapmaları öneriliyor. Ayrıca, Exchange Online kullanan kuruluşlar bu açıktan etkilenmediği için, buluta geçiş yapmayı düşünenler için bu bir fırsat olabilir.
Kaynak: infosecurity-magazine.com