Abone Ol
GÜNCEL
Google'ın Yapay Zeka Arama Modu Yayıncıların Web Trafiğini %58 Oranında AzaltıyorFitbit Air: 8 günlük pil ömrü pahasına aylık ücretli sağlık özellikleriGoogle DeepMind 2029'a kadar AGI'ye ulaşabileceğini söylerken neden özel araçlardan genel ajan sistemlerine geçiyor?Google'ın arama sonuçlarına zorunlu AI ekleme planı kullanıcıları DuckDuckGo'ya yöneltiyoriPhone 18 Pro 2026'de kalınlaşacak, MagSafe tasarımı basitleşecek: Apple'ın asıl oyunu premium ayrıştırmaGoogle'ın 180 milyar dolarlık Gemini bahsi: 900 milyon kullanıcı, 7 kat token artışı, ama para kazanma hala muallakKali365: Cihaz kodu phishing'i Microsoft 365 kullanıcılarının MFA'sını atlatan yeni tehditSamsung Z Fold 8: Üretim maliyeti %23 arttığında neden özellikleri kesiyor?Google'ın Yapay Zeka Arama Modu Yayıncıların Web Trafiğini %58 Oranında AzaltıyorFitbit Air: 8 günlük pil ömrü pahasına aylık ücretli sağlık özellikleriGoogle DeepMind 2029'a kadar AGI'ye ulaşabileceğini söylerken neden özel araçlardan genel ajan sistemlerine geçiyor?Google'ın arama sonuçlarına zorunlu AI ekleme planı kullanıcıları DuckDuckGo'ya yöneltiyoriPhone 18 Pro 2026'de kalınlaşacak, MagSafe tasarımı basitleşecek: Apple'ın asıl oyunu premium ayrıştırmaGoogle'ın 180 milyar dolarlık Gemini bahsi: 900 milyon kullanıcı, 7 kat token artışı, ama para kazanma hala muallakKali365: Cihaz kodu phishing'i Microsoft 365 kullanıcılarının MFA'sını atlatan yeni tehditSamsung Z Fold 8: Üretim maliyeti %23 arttığında neden özellikleri kesiyor?
Siber Güvenlik

Microsoft Exchange'in Kırmızı Alarm: Aktif Saldırılar Başladı, Domain Yöneticilerinin 14 Günü Var

CVE-2026-42897 adlı açık, CISA'nın acil listesine girdi ve şu anda gerçek saldırılarda kullanılıyor. CVSS skoru 8.1 olan bu cross-site scripting açığı, Exchange Server 2016, 2019 ve Subscription Edition sürümlerini hedefliyor. Tek bir yanlış yapılandırılmış sunucu tüm domain'i ele geçirmek için yeterli. Federal kurumlar 29 Mayıs 2026'ya kadar savunma alması gerekli.

Microsoft Exchange'in Kırmızı Alarm: Aktif Saldırılar Başladı, Domain Yöneticilerinin 14 Günü Var

15 Mayıs 2026 sabahı CISA, CVE-2026-42897 kodlu Exchange Server açığını Known Exploited Vulnerabilities Catalog'a ekledi ve federal kurumlara 29 Mayıs'a kadar harekete geçmeleri için on dört gün süre tanıdı. Açık o an aktif olarak istismar ediliyordu ve Microsoft henüz tam bir yama yayımlamaya hazır değildi.

Exchange sunucuları haftanın en riskli açığıyla karşı karşıya: CVE-2026-42897 nedir?

CVE-2026-42897, CVSS puanı 8.1 olan bir cross-site scripting (XSS) açığıdır ve Exchange Server 2016, 2019 ve Subscription Edition'ın tüm güncelleme seviyelerini etkiliyor. Microsoft'un 14 Mayıs 2026'da resmi olarak doğruladığı bu güvenlik açığı, şirket içi sunucularda çalışan Exchange ortamlarını hedef alıyor. Exchange Online müşterileri bu açıktan etkilenmiyor; sorun tamamen on-premises altyapılarda.

Açığın tehlike derecesini yükselten unsur, aktif istismar ediliyor olması. CISA'nın hızlı tepkisi bu durumun ciddiyetini gösteriyor: federal kurumlar için zorunlu iyileştirme süresi yalnızca iki hafta. Damon Small, tek bir yanlış yapılandırılmış Exchange sunucusunun tüm domain'i tehlikeye atabileceği konusunda uyarıyor.

Zafiyet, Outlook Web Access (OWA) üzerinden tetikleniyor ve özel hazırlanmış e-postalar aracılığıyla JavaScript kodu çalıştırılmasına izin veriyor. Şirket içi Exchange ortamlarının kurumsal altyapılarda merkezi konumu nedeniyle, bu tür bir güvenlik açığı sadece e-posta sistemini değil, kimlik doğrulama ve yetkilendirme zincirinin tamamını riske atıyor.

Kimlik doğrulaması yok, sadece bir e-posta yeterli: Saldırı nasıl işliyor?

CVE-2026-42897'nin en endişe verici özelliği, kimlik doğrulaması gerektirmeden uzaktan kod yürütülmesine izin vermesi. Saldırganlar, hedef kullanıcıya kötü niyetli bir e-posta gönderip kullanıcı bu e-postayı Outlook Web Access üzerinden açtığında keyfi JavaScript çalıştırabiliyor.

Teknik olarak açık, crafted e-postaların OWA arayüzünde belirli etkileşim koşulları altında JavaScript yürütülmesine olanak tanıyor. Bu, saldırganın hedef kullanıcının tarayıcı oturumunu ele geçirmesi, oturum çerezlerini çalması veya dahili ağa erişim sağlaması gibi sonuçlara yol açabilir. Exchange gibi kritik bir altyapı bileşeninde XSS saldırısı gerçekleştiğinde, etki çarpıcı olabiliyor.

Açığın nasıl tam olarak istismar edildiği, tehdit aktörünün kimliği ve saldırıların gerçek başarı oranı henüz bilinmiyor. Microsoft ve güvenlik topluluğu istismar detaylarını sınırladığı için saldırganların elinde tam bir exploit kiti olup olmadığı veya saldırıların ne kadar yaygın olduğu net değil. Ancak CISA'nın zafiyeti KEV kataloğuna eklemesi, istismarın sadece teorik değil gerçek ve aktif olduğunu doğruluyor.

Kimlik doğrulamasına ihtiyaç duyulmaması, saldırı yüzeyini büyütüyor. Saldırganın bir kullanıcı hesabını ele geçirmesine veya karmaşık social engineering senaryosu kurmasına gerek yok; hedef kitleyi doğru şekilde seçilmiş bir e-posta kampanyası yeterli olabilir.

EEMS hafifletmesi ve ESU kısıtlamaları: Microsoft'un yama stratejisi

Microsoft, Exchange Emergency Mitigation Service (EEMS) aracılığıyla otomatik ve varsayılan olarak etkin bir geçici çözüm yayımladı. EEMS, Exchange Server yöneticilerinin müdahalesine gerek kalmadan tehdit azaltma kuralları uygulayan bir sistemdir ve 2021'deki ProxyShell saldırılarının ardından hayata geçirilmişti.

Ancak bu geçici çözümün sınırlamaları var. EEMS hafifletmesi aktif olduğunda OWA Calendar yazdırma işlevi ve satır içi görseller çalışmayabiliyor. Bazı kuruluşlar için bu yan etkiler kabul edilebilir iken, özellikle kullanıcı deneyimine duyarlı ortamlarda sorun yaratabilir. Geçici çözümler tam bir yama değil; saldırıyı engellemek için tasarlanmış geçici önlemler.

Asıl sorun ise Microsoft'un tam yamasında. Microsoft yamasını sadece Period 2 Exchange Server ESU (Extended Support Update) programına kayıtlı müşterilere sunacak. Bu, özellikle Exchange Server 2016 gibi destek süresi dolan sürümleri kullanmaya devam eden ve ESU aboneliği olmayan kuruluşların tam yamaya erişemeyeceği anlamına geliyor.

Exchange 2016'nın ana desteği 2018'de, genişletilmiş desteği ise 2025'te sona ermişti. Exchange 2019 ana desteği devam ediyor ancak genişletilmiş destek 2029'a kadar uzanıyor. ESU programı ücretli bir hizmet olduğu için, yama erişimi artık ticari bir karar ile bağlantılı. Bütçe kısıtlamaları olan veya ESU yatırımını ertelemiş kuruluşlar güvensiz kaldı.

Microsoft'un bu politikası, yaşam döngüsü yönetimini teşvik etmeye yönelik olsa da aktif saldırıların olduğu bir durumda tartışmalı. Geçici çözüm yeterli olabilir, ancak tam bir yama her zaman daha güvenli seçenektir.

Son beş yılda Exchange hedeflenmeye devam ediyor: Neden bu kadar değerli?

Exchange Server, son beş yılda siber saldırganların en çok hedeflediği platformlardan biri haline geldi. CISA, son beş yılda Microsoft Exchange Server açıklarından 19 tanesini Known Exploited Vulnerabilities Catalog'a ekledi. Bu açıkların 14'ünün fidye yazılımı saldırılarında kullanıldığı biliniyor.

2021'deki ProxyLogon ve ProxyShell saldırıları, binlerce Exchange sunucusunun ele geçirilmesine ve büyük çaplı veri sızıntılarına yol açmıştı. 2022'de ProxyNotShell, 2023'te birden fazla sıfır gün açığı ortaya çıktı. Bu sürekli hedeflenme, Exchange'in kurumsal altyapılardaki konumundan kaynaklanıyor.

Exchange sunucuları sadece e-posta sunmuyor; Active Directory ile entegre çalışıyor, kimlik doğrulama zincirinin bir parçası, genellikle yönetici haklarına sahip servis hesapları çalıştırıyor ve kuruluşun iç ağına doğrudan bağlı. Bir saldırgan Exchange sunucusunu ele geçirdiğinde, genellikle domain yöneticisi seviyesinde erişim kazanmak için yalnızca birkaç adım uzakta kalıyor.

Fidye yazılımı grupları bu gerçeği çok iyi biliyor. Exchange açıkları, ilk erişim aracı olarak idealdir çünkü internet'e açık olan sunucular kolayca taranabilir, kuruluşun kritik iletişim altyapısını kontrol eder, domain içinde ayrıcalık yükseltme fırsatları sunar ve veri sızıntısı için zengin hedefler (e-posta arşivleri, kişiler, takvimler) içerir.

CVE-2026-42897'nin bu geçmişte istismar edilen açıklarla doğrudan bağlantısı henüz kurulmamış olsa da, Exchange açıklarının fidye yazılımı kampanyalarında sıklıkla kullanıldığı bir gerçek. Bu açığın da benzer amaçlar için kullanılma riski yüksek.

Acil adımlar: EEMS etkinleştirmesi ve ESU durumunun kontrol edilmesi

CISA'nın federal kurumlar için belirlediği 29 Mayıs 2026 tarihini ciddiye almak gerekiyor. Özel sektör kuruluşları için zorunlu olmasa da, bu tarih bir kılavuz olarak kullanılabilir.

İlk adım, Exchange Emergency Mitigation Service'in aktif olduğundan emin olmak. EEMS varsayılan olarak etkin olsa da, Exchange Admin Center'dan veya PowerShell üzerinden kontrol edilebilir. EEMS servisinin güncellemeleri otomatik alıp almadığını doğrulamak kritik; manuel müdahale gerektiren kurulumlar varsa bunlar hızla ele alınmalı.

ESU programına kayıtlı kuruluşlar Microsoft'tan tam yamayı bekleyebilir, ancak yama gelene kadar EEMS hafifletmesi tek savunma hattı. ESU aboneliği olmayan kuruluşlar, geçici çözüme tamamen güvenmek zorunda.

OWA erişimini sınırlamak veya geçici olarak devre dışı bırakmak radikal bir adım gibi görünse de bazı kuruluşlar için değerlendirilebilir. Kullanıcılar OWA yerine Outlook masaüstü istemcisi veya mobil cihazlara yönlendirilebilir; CVE-2026-42897 sadece OWA'yı etkiliyor. Ancak bu çözüm operasyonel sürekliliği tehdit edebileceği için iş gereksinimlerine göre karar verilmeli.

Network segmentasyonu ve access control listleri de kısa vadede değer sağlayabilir. Exchange sunucularına erişimi yalnızca güvenilir IP aralıklarına sınırlamak, saldırı yüzeyini daraltır. Bu, tam bir çözüm değil ama savunma derinliği stratejisinin bir parçası olabilir.

Güvenlik izleme ve log analizi gözden geçirilmeli. OWA üzerinden anormal JavaScript yürütme denemeleri, beklenmedik HTTP istekleri veya tarayıcı tabanlı anomaliler tespit edilmeye çalışılmalı. SIEM ve EDR çözümleri, Exchange sunucularına odaklı kurallarla güçlendirilebilir.

Uzun vadede, Exchange sunucuları şirket içinde barındırılmaya devam edecekse strateji netleştirilmeli. Exchange Online'a geçiş, bulut altyapısının güvenlik güncellemelerini Microsoft'un yönettiği ve bu tür sıfır gün açıklarından etkilenmediği bir çözüm sunuyor. Ancak bu geçiş hızlı bir karar değil; planlama, maliyet analizi ve veri göçü gerektiriyor.

Okumaya devam et

27 May 2026 6 dk

Google DeepMind 2029'a kadar AGI'ye ulaşabileceğini söylerken neden özel araçlardan genel ajan sistemlerine geçiyor?

Demis Hassabis, Axios'a verdiği söyleşide dört yıl içinde yapay genel zekaya erişilebileceğini iddia ederken, Google I/O'da araştırma ekipleri AlphaFold gibi uzmanlaşmış araçlardan genel amaçlı ajan sistemlerine yönlendiriliyor. Çelişkili görünen bu iki hamle aslında aynı stratejinin iki yüzü: acil bir tehdit algısı oluşturma ile o tehdidi kontrol edecek araçlar inşa etme.