Açık hibrit Exchange yapılarını hedef alıyor
CVE-2025-53786 güvenlik açığı, Microsoft Exchange Server 2016, 2019 ve Subscription Edition sürümlerini etkiliyor. Hibrit yapılarda yerel sunucu ve Exchange Online arasında paylaşılan servis hesabı kullanılması nedeniyle, saldırganlar yetkili token veya API çağrılarını taklit ederek bulut tarafına erişim sağlayabiliyor.

Tespit edilmesi zor
Microsoft’un açıklamasına göre, saldırılar yerel Exchange sunucularından geldiğinde Microsoft Purview gibi bulut tabanlı loglama araçları bu etkinlikleri kaydetmeyebiliyor. Bu durum saldırıların fark edilmesini güçleştiriyor.

Araştırmacı Black Hat’te gösterdi
Outsider Security’den araştırmacı Dirk-Jan Mollema, Black Hat konferansında açığı göstererek Microsoft’a üç hafta önce rapor ettiğini açıkladı. Microsoft, konferansla eş zamanlı olarak güvenlik duyurusu ve gerekli yamaları yayımladı.

Federal kurumlara zorunlu adımlar
CISA’nın 25-02 sayılı acil direktifine göre kurumlar:

• Microsoft Health Checker script ile Exchange ortamlarını tarayacak,

• Destek dışı sunucuları ağdan ayıracak,

• Güncel kümülatif yamaları (Exchange 2019 için CU14/15, 2016 için CU23) yükleyecek,

• Nisan 2025 hotfix’ini uygulayacak,

• Ardından ConfigureExchangeHybridApplication.ps1 scripti ile paylaşımlı servis hesabından özel hibrit uygulamaya geçiş yapacak.

Kurumların teknik düzeltmeleri Pazartesi sabahına kadar tamamlaması ve aynı gün 17.00’ye kadar CISA’ya rapor sunması gerekiyor.

Tüm kuruluşlara uyarı
CISA, zorunluluk yalnızca federal kurumlar için geçerli olsa da, açığın tüm sektörlerde risk oluşturduğunu belirterek özel kuruluşları da güncelleme yapmaya çağırdı.

Kaynak: CUMHA – CUMHUR HABER AJANSI