Exchange Server

Exchange Server Hybrid Deployment Privilege Escalation Güvenlik Açığı CVE-2025-53786

Microsoft, CVE-2025-53786 olarak izlenen yeni bir güvenlik açığını duyurdu. Bu açık, özellikle Exchange Server Hybrid Deployment yapılandırmalarında yetki yükseltme (Elevation of Privilege) zafiyeti doğurmaktadır.

Zafiyet, Exchange Server ile Exchange Online arasındaki hybrid entegrasyonun kullandığı service principal (hizmet sorumlusu) üzerinde uygunsuz kimlik doğrulama (CWE-287: Improper Authentication) nedeniyle ortaya çıkmaktadır.

Bu zafiyet, Microsoft’un Secure Future Initiative (SFI) kapsamında 18 Nisan 2025’te duyurduğu Exchange Server Security Changes for Hybrid Deployments | Microsoft Community Hub blog yazısındaki değişikliklerle doğrudan ilişkili. Eğer bu değişiklikler doğru uygulanmadıysa, ortamlar hala risk altında kalabiliyor.

Bu durum, saldırganların on-premises Exchange Server üzerinde yönetici haklarını ele geçirmeleri halinde, hibrit ortam üzerinden bulut tarafında ek ayrıcalıklar kazanmalarına olanak tanıyabilir. En kritik nokta ise bu işlemin kolayca denetlenemeyen ve izlenemeyen şekilde gerçekleşebilmesidir.

CVE-2025-53786 CVSS Skoru ve Etkisi

  • CVSS v3.1 Temel Skor: 8.0 (Önemli)
  • Saldırı Vektörü: Ağ (Network)
  • Saldırı Karmaşıklığı: Yüksek (High)
  • Gereken Yetki: Yüksek (High)
  • Kapsam: Değişmiş (Scope Changed)
  • Gizlilik, Bütünlük ve Kullanılabilirlik Etkisi: Yüksek

Bu metrikler, saldırının gerçekleşmesi için önceden Exchange Server üzerinde yönetici ayrıcalıklarının ele geçirilmesini gerektirse de, başarıyla istismar edildiğinde hem on-prem hem de cloud tarafında kritik etkilere yol açabileceğini göstermektedir

CVE-2025-53786 Zafiyetinin Temel Sebebi

Nisan 2025’te Microsoft, Hybrid Exchange ortamlarında güvenliği artırmak için bir duyuru ve non-security Hot Fix yayımlamıştı. Daha sonra yapılan incelemeler, bu adımların eksik uygulanması durumunda özel güvenlik riskleri oluşturabileceğini ortaya koydu.

  • Zafiyet nedeni: Hibrit ortamda Exchange Server ile Exchange Online’ın aynı service principal (Office 365 Exchange Online – App ID: 00000002-0000-0ff1-ce00-000000000000) üzerinden kimlik doğrulaması yapması.
  • Sorun: keyCredentials temizlenmediği sürece, yetkiler yükseltilebilir.
  • Etki: On-prem admin → Exchange Online Organization Management seviyesine çıkış.
  • CVSS v3.1 Skoru: 8.0 (Important)
  • Kapsam (Scope): Changed → Yani saldırgan on-prem’den buluta atlayabiliyor.

Sorunun kaynağı:

  • Hybrid yapılandırmada Exchange Server ve Exchange Online’ın aynı service principal’ı kullanması
  • Bu durumda anahtar (keyCredentials) temizliği yapılmadığında yetkisiz yükseltmelerin mümkün hale gelmesi

Microsoft’un Güvenlik Güncellemeleri

TarihÜrünKBBuildAçıklama
12 Ağustos 2025Exchange Server 2016 CU23KB505067415.01.2507.055Elevation of Privilege
12 Ağustos 2025Exchange Server 2019 CU14KB505067315.02.1544.025Elevation of Privilege
12 Ağustos 2025Exchange Server 2019 CU15KB505067215.02.1748.024Elevation of Privilege
12 Ağustos 2025Exchange Server SE RTMKB504715515.02.2562.017Elevation of Privilege

Not: Exchange Server SE RTM sürümü bu korumaları yerleşik olarak içeriyor.

DedicatedHybirdApp 1536x700 1
Exchange Server Hybrid Deployment Privilege Escalation Güvenlik Açığı CVE-2025-53786 5

Exchange Hybrid Güvenlik Değişiklikleri (Nisan 2025)

Microsoft, hibrit güvenliği artırmak için iki büyük değişiklik duyurdu:

Dedicated Exchange Hybrid App’e Geçiş

  • Artık hibrit yapılandırmalarda paylaşılan service principal kullanımı sonlandırılıyor.
  • Yerine, her tenant için dedicated Exchange hybrid application oluşturuluyor.
  • Bu geçiş Ekim 2025’e kadar zorunlu.
  • HCW veya ConfigureExchangeHybridApplication.ps1 scripti ile yapılandırılmalı.

EWS → Microsoft Graph API Geçişi

  • Hibrit ortamlarda kullanılan Exchange Web Services (EWS) çağrıları emekliye ayrılıyor.
  • Yerine Microsoft Graph API kullanılacak.
  • Güncelleme Q3 2025’te Exchange 2016/2019 için yayımlanacak.
  • Geçişin tamamlanması için Ekim 2026’ya kadar süre var.

Etkilenen Özellikler (Rich Coexistence)

  • Free/Busy paylaşımı
  • MailTips
  • Kullanıcı profil fotoğrafı paylaşımı

Bu özellikler için dedicated app + Graph API geçişi yapılmazsa çalışmayacak.


Kimler Ne Yapmalı?

Kullanım SenaryosuYapılması GerekenSon Tarih
Rich coexistence kullanan müşteriler (Free/Busy, MailTips, profil fotoğrafı)Dedicated hybrid app’e geçiş (HCW veya script) → Sonrasında Graph API geçişiApp: Ekim 2025 / Graph: Ekim 2026
Sadece migration, SMTP relay vb. kullanan müşterilerDedicated app zorunlu değil. Yine de Service Principal Clean-Up Mode scripti ile sertifikaları shared app’ten temizleyin.Ekim 2025
Hibrit yapı kurmuş ama artık kullanmayan müşterilerMutlaka keyCredentials resetleme ve sertifika temizliği yapılmalı.Acil
dha01 1024x437 1 1
Exchange Server Hybrid Deployment Privilege Escalation Güvenlik Açığı CVE-2025-53786 6

Yapılması Gereken Adımlar

Exchange Sunucularını Güncelleyin

  • Nisan 2025 Hotfix veya Ağustos 2025 SU yüklenmeli.

HCW (Hybrid Configuration Wizard) Çalıştırın

  • HCW’nin en güncel sürümünü indirip çalıştırın.
  • Yeni sürüm artık dedicated hybrid app oluşturmayı destekliyor.

ConfigureExchangeHybridApplication.ps1 Scriptini Çalıştırın

.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication
  • Bu script:
    • Dedicated hybrid app oluşturur.
    • Shared app üzerindeki eski keyCredentials temizlenir.
    • Yeni AuthServer ayarlarını yapılandırır.

Service Principal Clean-Up Mode

  • Hybrid kullanılmıyor olsa bile, shared service principal üzerindeki sertifikaları temizlemek için script çalıştırılmalı.

Health Checker ile Doğrulama

  • Microsoft Exchange Health Checker ile ortamı kontrol edin.
  • CU seviyeleri, dedicated app konfigürasyonu ve sertifika temizliği doğrulanmalı.

Geçici Kısıtlamalar

  • HCW/Script çalıştırma sonrası kısa süreli kesintiler yaşanabilir.
  • EWS → Graph API geçişinde tenant bazında yeni izinler (ör. full_access_as_app) tanımlanacak.
  • OAuth bağımlısı servislerde (Teams, Cloud Voicemail, Scheduler) geçici kesintiler olabilir.
image 1 1024x443 1 1
Exchange Server Hybrid Deployment Privilege Escalation Güvenlik Açığı CVE-2025-53786 7

Sonuç

CVE-2025-53786, hibrit ortamlarda bulut ve on-prem güvenliği arasında köprü zafiyeti oluşturuyor.

Güvende olmak için:

  • Yamaları uygulayın
  • HCW veya script ile dedicated hybrid app geçişini yapın
  • Service principal temizliğini ihmal etmeyin
  • Graph API geçişine hazırlanın

Bu adımlar tamamlandığında ortamınız hem CVE-2025-53786 hem de Ekim 2025/Ekim 2026 sonrası hibrit kısıtlamalarına karşı güvenceye alınacaktır.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu