Microsoft, Outlook on the web kullanıcılarını hedef alan ve kimliği doğrulanmamış saldırganların tarayıcı bağlamında keyfi JavaScript kodu çalıştırmasına olanak tanıyan yüksek önem dereceli bir Exchange Server güvenlik açığı konusunda müşterilerini uyardı. CVE-2026-42897 Exchange aldatma açığı olarak izlenen bu zafiyet, güncel Exchange Server 2016, Exchange Server 2019 ve Exchange Server Subscription Edition (SE) yazılımlarını etkiliyor. Microsoft, kalıcı yamalar henüz hazır olmadığı için Exchange Emergency Mitigation Service (EEMS) üzerinden otomatik geçici önlem sağlayacağını duyurdu.

Saldırganlar Özel Hazırlanmış E-postalarla Sistemlere Sızıyor

Exchange ekibinin yaptığı açıklamaya göre bir saldırgan, hedef kullanıcıya özel hazırlanmış bir e-posta göndererek bu açığı devreye sokabiliyor. Outlook Web Access JavaScript enjeksiyonu sayesinde kullanıcının Outlook Web Access üzerinde e-postayı açması ve belirli etkileşim koşullarının sağlanması durumunda, tarayıcı bağlamında keyfi JavaScript kodu çalıştırılabiliyor. Exchange sıfır gün açığı olarak nitelendirilen bu zafiyet için kurumların en kısa sürede önlem alması gerekiyor.

Microsoft, kuruluşların bu güvenlik açığını hemen azaltmak için EM Service’i kullanmasını öneriyor. Şirket, halihazırda EM Service devre dışı olan yöneticilerin bu özelliği hemen aktif hale getirmelerini tavsiye ediyor. Exchange Emergency Mitigation Service aktifleştirme işlemi için sunucu Mart 2023’ten daha eski bir Exchange Server sürümü çalıştırıyorsa EM Service’in yeni önlemleri kontrol edemeyeceği de belirtiliyor.

Yöneticiler İçin Acil Eylem Adımları Belirlendi

EEMS, Eylül 2021’de şirket içi Exchange sunucuları için otomatik koruma sağlamak amacıyla tanıtılmıştı. Bu güvenlik özelliği, yüksek riskli ve aktif olarak kullanılan güvenlik açıkları için geçici önlemler uygulayarak devam eden saldırılara karşı koruma sağlıyor. Exchange otomatik koruma mekanizması, Posta Kutusu rolüne sahip sunucularda otomatik olarak etkinleştiriliyor. Bu özellik, daha önce birçok hacker grubunun ProxyLogon ve ProxyShell gibi sıfır gün açıklarını kullanarak internete açık Exchange sunucularını ihlal etmesinin ardından eklenmişti.

Hava boşluklu ortamlarda (air-gapped) sunucuları bulunan yöneticiler, en son Exchange on-premises Mitigation Tool (EOMT) sürümünü indirerek ve yükseltilmiş bir Exchange Management Shell üzerinden betiği çalıştırarak da bu güvenlik açığını azaltabilir. EOMT Exchange güvenlik önlemi uygulamak için tek sunucu için “.\EOMT.ps1 -CVE “CVE-2026-42897″” komutunu, tüm sunucular içinse “Get-ExchangeServer | Where-Object { $_.ServerRole -ne “Edge” } | .\EOMT.ps1 -CVE “CVE-2026-42897″” komutunu kullanmak gerekiyor.

👉️ İlginizi Çekebilir: Cisco Catalyst SD-WAN Cihazlarında Kritik Kimlik Doğrulama Zafiyeti Tespit Edildi

Kalıcı Yamalar İçin Tarih Henüz Net Değil

Microsoft, Exchange SE RTM, Exchange 2016 CU23 ve Exchange Server 2019 CU14 ile CU15 için yamalar yayınlamayı planlıyor. Ancak Exchange 2016 ve 2019 için güncellemelerin yalnızca Dönem 2 Exchange Server ESU programına kayıtlı müşterilere sunulacağı belirtiliyor. Exchange Server güvenlik açığı yaması henüz yayınlanmadığı için kurumların geçici önlemleri uygulaması hayati önem taşıyor.

Ekim ayında, Exchange 2016 ve 2019’un destek süresinin dolmasından haftalar sonra, CISA ve NSA, BT yöneticilerine Microsoft Exchange sunucularını saldırılara karşı güçlendirme konusunda rehberlik yayınlamıştı. ProxyLogon ProxyShell benzeri saldırı riskine karşı kurumların EM Service’i etkinleştirerek veya EOMT aracını kullanarak derhal harekete geçmesi gerekiyor.