Microsoft, kurumsal kullanıcıları yakından ilgilendiren kritik bir güvenlik uyarısı yayınladı. Şirket, on-premises Exchange Server'larda yüksek önem derecesine sahip bir sıfır gün güvenlik açığı tespit ettiğini duyurdu. CVE-2026-42897 olarak izlenen bu zafiyet, saldırganların Outlook kullanıcılarına özel hazırlanmış e-postalar göndererek hedef sistemde kod çalıştırmasına izin veriyor. Bu durum, özellikle kurumsal e-posta altyapısını hedef alan saldırılar için ciddi bir risk oluşturuyor.
Güvenlik açığı, Microsoft Exchange Server'ın web sayfası oluşturma sırasında girdileri düzgün şekilde temizlememesinden kaynaklanıyor. Bu, siteler arası betik çalıştırma (XSS) olarak bilinen bir zafiyet türü. CVSS puanı 8.1 olan bu yüksek önem dereceli güvenlik açığı, yetkisiz bir saldırganın ağ üzerinden kimlik sahtekarlığı yapmasına olanak tanıyor. Microsoft, 14 Mayıs'ta yayınladığı güvenlik danışma belgesinde bu zafiyetin Exchange Online'ı etkilemediğini, yalnızca şirket içi sunucuları hedef aldığını belirtti.
Etkilenen sürümler arasında tüm mevcut Exchange Server 2016, Exchange Server 2019 ve Exchange Server Subscription Edition (SE) sürümleri yer alıyor. Microsoft henüz bu güvenlik açığı için bir yama yayınlamadı ancak geçici çözümler sunuyor. Şirket, güvenlik ekiplerinin yamalar hazır olana kadar potansiyel istismarları azaltmak için kullanabileceği iki farklı yaklaşım paylaştı.
Önemli Gelişmeler
Microsoft'un önerdiği ilk seçenek, Exchange Acil Azaltma (EM) Hizmeti'ni kullanmak. EM Hizmeti varsayılan olarak etkin olduğundan, azaltma otomatik olarak uygulanmış oluyor. Yöneticiler, belgeler aracılığıyla CVE-2026-42897 için uygulanan azaltmaları kontrol edebilir veya Exchange Health Checker betiğini çalıştırarak EM Hizmeti durumunu ve uygulanan azaltmaları hızlıca doğrulayabilir. Microsoft, EM Hizmeti devre dışıysa etkinleştirilmesini şiddetle tavsiye ediyor.
Uzmanların Görüşleri
İkinci azaltma seçeneği, EM Hizmeti'ni kullanamayan ortamlar için tasarlanmış. Örneğin, bağlantısız veya hava boşluklu ortamlarda çalışan yöneticiler, Exchange Şirket İçi Azaltma Aracı'nın (EOMT) en son sürümünü indirerek ve PowerShell betiğini yükseltilmiş Exchange Yönetim Kabuğu'ndan çalıştırarak azaltmayı manuel olarak uygulayabilir. Bu işlem, CVE-2026-42897 tanımlayıcısı kullanılarak tek bir sunucuya veya tüm sunuculara aynı anda uygulanabilir.
Microsoft, her iki azaltma önleminin de bazı sorunlara yol açabileceğini kabul ediyor. Örneğin, OWA Takvim Yazdırma veya Satır İçi Görseller gibi özellikler devre dışı kalabilir veya bozulabilir. Şirket, etkilenen Exchange sunucuları için güvenlik yamaları üzerinde çalışıyor. Exchange SE güncellemesi herkese açık bir güvenlik güncellemesi olarak yayınlanırken, Exchange 2016 ve 2019 güncellemeleri yalnızca Dönem 2 Exchange Sunucu ESU programına kayıtlı müşterilere sunulacak.
Kurumsal güvenlik ekiplerinin, bu geçici çözümleri mümkün olan en kısa sürede uygulaması ve Microsoft'un yayınlayacağı resmi yamaları takip etmesi kritik önem taşıyor. Özellikle Exchange Server 2016 ve 2019 kullanan kuruluşların, ESU programına kayıtlı olup olmadıklarını kontrol etmeleri ve gerekirse kaydolmaları gerekiyor. Ayrıca, EM Hizmeti'nin etkin olduğundan emin olmak ve düzenli olarak Exchange Health Checker betiğini çalıştırmak, olası saldırılara karşı korunmada önemli bir adım.
Nasıl Önlem Alınmalı?
Son olarak, kullanıcıların ve yöneticilerin şüpheli e-postalara karşı dikkatli olmaları, bilinmeyen kaynaklardan gelen bağlantılara tıklamamaları ve güvenlik politikalarını güncel tutmaları öneriliyor. Bu tür sıfır gün açıkları, genellikle yama yayınlanana kadar geçen sürede aktif olarak istismar edilebileceğinden, geçici çözümlerin hızlıca uygulanması büyük önem taşıyor.
Kaynak: infosecurity-magazine.com