İçindekiler
- CVE-2026-42897 Nedir?
- Etkilenen Exchange Server Sürümleri
- Kısa Risk Özeti
- İlk Kontrol Edilmesi Gerekenler
- Exchange Server Sürümünü Kontrol Etme
- Seçenek 1: Exchange Emergency Mitigation Service ile Otomatik Mitigation
- Exchange Server EM Service Durumunu Kontrol Etme
- Exchange Server’da Uygulanan Mitigation’ları Kontrol Etme
- Exchange Emergency Mitigation Servisini Get-Mitigations.ps1 ile Kontrol
- Health Checker ile Kontrol
- Seçenek 2: EOMT ile Manuel Mitigation Uygulama
- Tek Sunucuda EOMT ile Mitigation Uygulama
- Tüm Exchange Sunucularında EOMT ile Mitigation Uygulama
- EOMT ile Mitigation Durumunu Kontrol Etme
- Mitigation Geri Alınabilir mi?
- CVE-2026-42897 mitigation Sonrasında Bilinen Yan Etkiler
- Mitigation Kalıcı Çözüm Değildir
- Kalıcı Çözüm İçin Beklenen Security Update
- Exchange 2016 ve Exchange 2019 Kullananlar İçin Not
- OWA İnternete Açıksa Ek Güvenlik Kontrolleri
- Sık Sorulan Sorular
- Sonuç
- Ilgili Yazilar
Microsoft, 14 Mayıs 2026 tarihinde Exchange Server Outlook Web Access yani OWA bileşenini etkileyen CVE-2026-42897 güvenlik açığını duyurdu. Bu açık, on-premises Exchange Server ortamlarını ilgilendiriyor.
Microsoft’un duyurusunda zafiyet, özel hazırlanmış bir e-postanın kullanıcıya gönderilmesi ve kullanıcının bu e-postayı Outlook Web Access üzerinden açması durumunda, belirli kullanıcı etkileşim koşulları oluşursa tarayıcı bağlamında JavaScript çalıştırılabilmesi olarak açıklanıyor.
Burada özellikle bir noktayı net belirtmek gerekiyor. Exchange Team duyurusunda doğrudan “XSS” ifadesi kullanılmamaktadır. Ancak Microsoft CSS-Exchange EOMT dokümantasyonunda CVE-2026-42897, OWA XSS olarak listeleniyor ve uygulanacak mitigation yöntemi, OWA HTML yanıtlarına Content-Security-Policy header ekleyen bir URL Rewrite kuralı olarak belirtilmektedir.
CVE-2026-42897 Nedir?
CVE-2026-42897, Exchange Server Outlook Web Access bileşenini etkileyen bir güvenlik açığıdır.
Microsoft’un açıklamasına göre saldırgan, özel hazırlanmış bir e-postayı hedef kullanıcıya gönderebilir. Kullanıcı bu e-postayı Outlook Web Access üzerinden açarsa ve belirli etkileşim koşulları oluşursa, saldırgan tarafından hazırlanmış JavaScript kodu kullanıcının tarayıcı bağlamında çalıştırılabilir.
Bu durum doğrudan Exchange Server üzerinde uzaktan kod çalıştırma anlamına gelmemektedir. Risk, kullanıcının OWA oturumu ve tarayıcı bağlamı üzerinde oluşuyor. Yani etki alanı, kullanıcının OWA oturumu, tarayıcı güvenlik sınırları ve kullanıcının OWA üzerinde gerçekleştirebildiği işlemlerle ilişkilidir.
Ancak OWA gibi kurumsal e-posta erişim noktalarında istemci taraflı script çalıştırma ihtimali her zaman ciddiye alınmalıdır. Çünkü e-posta içeriği, kullanıcı oturumu, kurum içi yazışmalar ve kullanıcı aksiyonları güvenlik açısından hassas kabul edilir.
Etkilenen Exchange Server Sürümleri
Microsoft’un açıklamasına göre aşağıdaki on-premises Exchange Server sürümleri CVE-2026-42897 güvenlik açığından etkilenmektedir.
| Ürün | Etkilenme Durumu |
|---|---|
| Exchange Server 2016 | Etkileniyor |
| Exchange Server 2019 | Etkileniyor |
| Exchange Server Subscription Edition | Etkileniyor |
Exchange Server 2016, Exchange Server 2019 veya Exchange Server Subscription Edition kullanan kurumların bu zafiyet için hızlıca kontrol yapması gerekir.
Kısa Risk Özeti
| Başlık | Açıklama |
|---|---|
| CVE | CVE-2026-42897 |
| Etkilenen bileşen | Outlook Web Access |
| Etkilenen ortam | On-premises Exchange Server |
| Saldırı yöntemi | Özel hazırlanmış e-posta |
| Kullanıcı etkileşimi | Gerekli |
| Geçici çözüm | Exchange Emergency Mitigation Service veya EOMT |
| Kalıcı çözüm | Microsoft tarafından yayımlanacak Security Update |
Benim bu tip zafiyetlerde önerdiğim yaklaşım, önce ortamın gerçekten etkilenip etkilenmediğini tespit etmek, ardından EM Service’in mitigation uygulayıp uygulamadığını doğrulamak ve son olarak kalıcı Security Update için hazırlık yapmaktır.
İlk Kontrol Edilmesi Gerekenler
CVE-2026-42897 için aksiyon almadan önce ortamda aşağıdaki kontroller yapılmalıdır.
- Exchange Server sürümleri kontrol edilmeli.
- Exchange Emergency Mitigation Service aktif mi kontrol edilmeli.
- CVE-2026-42897 mitigation’ı uygulanmış mı doğrulanmalı.
- EM Service kullanılamıyorsa EOMT ile manuel mitigation uygulanmalı.
- OWA tarafında bilinen yan etkiler servis masası ve operasyon ekipleriyle paylaşılmalı.
- Microsoft tarafından yayımlanacak kalıcı Security Update takip edilmeli.
Exchange Server Sürümünü Kontrol Etme
Öncelikle ortamda çalışan Exchange Server sürümlerini kontrol etmek gerekir.
Get-ExchangeServer | Format-Table Name,Edition,AdminDisplayVersion,ServerRole -Auto
Daha okunabilir çıktı almak için aşağıdaki komut da kullanılabilir.
Get-ExchangeServer | Select-Object Name,Edition,AdminDisplayVersion,ServerRole | Format-Table -Auto
Seçenek 1: Exchange Emergency Mitigation Service ile Otomatik Mitigation
Microsoft’un önerdiği ilk yöntem Exchange Emergency Mitigation Service yani EM Service kullanılmasıdır.
EM Service, Exchange Server üzerinde bilinen tehditlere karşı Microsoft tarafından yayımlanan geçici mitigation’ları otomatik olarak uygulamak için tasarlanmıştır.
CVE-2026-42897 için Microsoft tarafından mitigation yayımlandıysa ve ortamda EM Service aktif durumdaysa, mitigation otomatik olarak uygulanmış olmalıdır. Yine de production ortamlarında bunu varsaymak yerine mutlaka kontrol etmek gerekmektedir.
Exchange Server EM Service Durumunu Kontrol Etme
Exchange Management Shell üzerinde aşağıdaki komut ile EM Service’in servis durumunu kontrol edebilirsiniz.
Get-Service MSExchangeMitigation
Servis çalışıyorsa Running durumunda görünmelidir.
Organizasyon seviyesinde mitigation ayarını kontrol etmek için:
Get-OrganizationConfig | Format-List MitigationsEnabled
Sunucu seviyesinde mitigation ayarlarını kontrol etmek için:
Get-ExchangeServer | Format-List Name,MitigationsEnabled
Eğer MitigationsEnabled değeri $true ise EM Service otomatik mitigation uygulayabilir durumdadır.
Exchange Server’da Uygulanan Mitigation’ları Kontrol Etme
Tüm Exchange Server’lar üzerinde uygulanan mitigation’ları görmek için aşağıdaki komut kullanılabilir.
Get-ExchangeServer | Format-List Name,MitigationsApplied
Hem uygulanan hem de bloklanan mitigation’ları birlikte görmek için:
Get-ExchangeServer | Format-List Name,MitigationsApplied,MitigationsBlocked
Belirli bir sunucu için kontrol etmek isterseniz:
Get-ExchangeServer -Identity EX01 | Format-List Name,MitigationsApplied,MitigationsBlocked
Bu kontrollerde CVE-2026-42897 ile ilişkili mitigation’ın uygulanıp uygulanmadığı kontrol edilmelidir.
Exchange Emergency Mitigation Servisini Get-Mitigations.ps1 ile Kontrol
Exchange Server kurulum dizini altında bulunan Scripts klasöründe Get-Mitigations.ps1 script’i yer alır. Bu script ile mitigation bilgileri daha detaylı incelenebilir.
Örnek kullanım:
cd "C:\Program Files\Microsoft\Exchange Server\V15\Scripts"
.\Get-Mitigations.ps1
Belirli bir Exchange Server için çalıştırmak isterseniz:
.\Get-Mitigations.ps1 -Identity EX01
CSV çıktı almak için:
.\Get-Mitigations.ps1 -Identity EX01 -ExportCSV "C:\Temp\ExchangeMitigations.csv"
Ben özellikle birden fazla Exchange Server bulunan ortamlarda bu çıktının saklanmasını öneririm. Çünkü hangi sunucuda hangi mitigation’ın uygulandığını operasyonel olarak takip etmek daha kolay olur.
Health Checker ile Kontrol
Microsoft’un Exchange Health Checker script’i de bu tip durumlarda mutlaka çalıştırılması gereken araçlardan biridir.
Health Checker ile Exchange Server sürümü, güvenlik durumu, EM Service kontrolleri ve genel yapılandırma hataları daha okunabilir şekilde raporlanabilir.
.\HealthChecker.ps1
HTML rapor üretmek için:
.\HealthChecker.ps1 -BuildHtmlServersReport
HTML raporda EEMS yani Exchange Emergency Mitigation Service kontrolleri ayrıca incelenmelidir.
Seçenek 2: EOMT ile Manuel Mitigation Uygulama
Bazı ortamlarda EM Service kullanılamayabilir. Özellikle internete kapalı, proxy kısıtlı Exchange Server ortamlarında otomatik mitigation mekanizması çalışmayabilir.
Bu durumda Microsoft’un Exchange On-premises Mitigation Tool yani EOMT* aracı kullanılması gerekmektedir.
Microsoft CSS-Exchange EOMT dokümantasyonunda CVE-2026-42897 için mitigation yöntemi, OWA HTML response’larına Content-Security-Policy header ekleyen Outbound URL Rewrite kuralı olarak belirtilmektedir.
EOMT aracı ile mitigation uygulamak için öncelikle güncel EOMT script’i indirilmelidir.
Resmi kısa bağlantı:
https://aka.ms/UnifiedEOMT
Tek Sunucuda EOMT ile Mitigation Uygulama
Elevated Exchange Management Shell açılarak aşağıdaki komut çalıştırılabilir.
.\EOMT.ps1 -CVE "CVE-2026-42897"
Bu işlem ilgili sunucuda CVE-2026-42897 için mitigation uygulamaktadır.
Tüm Exchange Sunucularında EOMT ile Mitigation Uygulama
Birden fazla Exchange Server bulunan ortamlarda aşağıdaki komut kullanılabilir.
Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"
Edge Transport sunucuları bu zafiyet kapsamında OWA barındırmadığı için filtrelenmiştir.
Alternatif olarak belirli sunucular hedeflenebilir.
.\EOMT.ps1 -ExchangeServerNames "EX01","EX02" -CVE "CVE-2026-42897"
EOMT ile Mitigation Durumunu Kontrol Etme
EOMT ile yalnızca mevcut durumu görmek için aşağıdaki komut kullanılabilir.
.\EOMT.ps1 -ShowMitigationStatus -CVE "CVE-2026-42897"
Bu komut değişiklik yapmadan mevcut durumu raporlar.
EOMT çıktısında özellikle aşağıdaki durumlara dikkat edilmelidir.
| Durum | Anlamı |
|---|---|
| Security Update yüklü | Sunucu kalıcı güncelleme ile korunuyor olabilir |
| Mitigation present | Geçici mitigation uygulanmış |
| Disabled rule | Kural var ancak devre dışı olabilir |
| Rule conflict | Aynı isimde veya farklı davranışta kural çakışması olabilir |
| Action required | Sunucu korumasız olabilir |
Eğer mitigation uygulanmamış görünüyorsa, EOMT ile mitigation tekrar uygulanmalıdır.
Mitigation Geri Alınabilir mi?
EOMT ile uygulanan mitigation gerektiğinde rollback edilebilir.
Tek sunucuda rollback için:
.\EOMT.ps1 -RollbackMitigation -CVE "CVE-2026-42897"
Tüm Exchange Server’larda rollback için:
Get-ExchangeServer | .\EOMT.ps1 -RollbackMitigation -CVE "CVE-2026-42897"
Ancak rollback işlemi yapılmadan önce neden geri alınmak istendiği netleştirilmelidir. Çünkü Security Update henüz yüklenmediyse mitigation’ı kaldırmak sunucuyu tekrar riskli duruma getirebilir.
CVE-2026-42897 mitigation Sonrasında Bilinen Yan Etkiler
Microsoft, CVE-2026-42897 mitigation’ı uygulandıktan sonra bazı bilinen yan etkiler olabileceğini belirtmektedir.
| Bilinen Sorun | Açıklama | Geçici Çözüm |
|---|---|---|
| OWA Print Calendar çalışmayabilir | OWA üzerinden takvim yazdırma fonksiyonu etkilenebilir | Takvim verisi kopyalanabilir, ekran görüntüsü alınabilir veya Outlook Desktop kullanılabilir |
| Inline image görüntüleme sorunu | OWA reading pane içinde inline görseller doğru görüntülenmeyebilir | Görseller ek dosya olarak gönderilebilir veya Outlook Desktop kullanılabilir |
| Mitigation açıklaması hatalı görünebilir | “Mitigation invalid for this exchange version.” mesajı görülebilir | Status Applied ise mitigation uygulanmış kabul edilebilir |
Burada özellikle son madde önemli. Mitigation detaylarında açıklama hatalı görünse bile durum Applied olarak görünüyorsa mitigation uygulanmış kabul edilmelidir.
Mitigation invalid for this exchange version mesajı görünürse ne yapılmalı?
Bu mesaj Microsoft tarafından bilinen kozmetik bir sorun olarak belirtilmiştir. Eğer mitigation durumu Applied görünüyorsa, mitigation uygulanmış kabul edilebilir.
Yine de aşağıdaki kontroller yapılmalıdır.
Get-ExchangeServer | Format-List Name,MitigationsApplied,MitigationsBlocked
EOMT ile ayrıca kontrol etmek için:
.\EOMT.ps1 -ShowMitigationStatus -CVE "CVE-2026-42897"
Mitigation Kalıcı Çözüm Değildir
Burada en kritik nokta şudur: EM Service veya EOMT ile uygulanan mitigation kalıcı çözüm değildir.
Mitigation, Security Update yayımlanana ve kurulana kadar riski azaltmak için uygulanır. Kalıcı çözüm, Microsoft tarafından yayımlanacak ilgili Exchange Server Security Update’in kurulmasıdır.
Bu nedenle mitigation uygulandıktan sonra işlem tamamlandı gibi düşünülmemelidir. Ortam takip edilmeli, Microsoft’un yayımlayacağı Security Update planlanmalı ve uygun bakım penceresinde kurulmalıdır.
Kalıcı Çözüm İçin Beklenen Security Update
Microsoft, CVE-2026-42897 için etkilenen Exchange Server sürümlerine yönelik Security Update yayımlayacağını belirtmiştir.
Güncellemenin aşağıdaki sürümler için yayımlanması beklenmektedir.
| Sürüm | Güncelleme Durumu |
|---|---|
| Exchange Server SE RTM | Public Security Update olarak yayımlanacak |
| Exchange Server 2019 CU14 | ESU Period 2 müşterilerine sunulacak |
| Exchange Server 2019 CU15 | ESU Period 2 müşterilerine sunulacak |
| Exchange Server 2016 CU23 | ESU Period 2 müşterilerine sunulacak |
Exchange Server 2016 ve Exchange Server 2019 kullanan kurumlar için burada ESU konusu önemlidir. Çünkü bu sürümler standart destek kapsamından çıktığı için Security Update erişimi ESU programına bağlıdır.
Exchange 2016 ve Exchange 2019 Kullananlar İçin Not
Exchange Server 2016 ve Exchange Server 2019 artık standart destek kapsamında değildir. Bu nedenle bu sürümleri kullanan kurumların sadece CVE-2026-42897 özelinde değil, genel güvenlik stratejisi açısından da Exchange Server SE veya Exchange Online geçiş planı hazırlaması gerekir.
Benim önerdiğim yaklaşım şu şekildedir:
- Kısa vadede CVE-2026-42897 mitigation’ı uygulanmalı.
- ESU Period 2 kapsamı kontrol edilmeli.
- Exchange Server SE geçiş planı hazırlanmalı.
- OWA internetten yayınlanıyorsa ek erişim kontrolleri gözden geçirilmeli.
- Microsoft’un yayımlayacağı Security Update için bakım penceresi planlanmalı.
OWA İnternete Açıksa Ek Güvenlik Kontrolleri
OWA internetten erişilebilir durumdaysa, bu tip zafiyetlerde risk daha dikkatli yönetilmelidir. CVE-2026-42897 kullanıcı etkileşimi gerektiriyor olsa da, OWA’nın dış dünyaya açık olması saldırı yüzeyini artırır.
Aşağıdaki kontrollerin yapılmasını öneririm.
| Kontrol | Açıklama |
|---|---|
| MFA | OWA erişiminde mümkünse çok faktörlü kimlik doğrulama kullanılmalı |
| Reverse Proxy veya WAF | OWA trafiği güvenlik katmanından geçirilmeli |
| IP veya ülke kısıtlaması | Gereksiz lokasyonlardan erişim sınırlandırılmalı |
| IIS log takibi | OWA ve IIS logları düzenli incelenmeli |
| SIEM entegrasyonu | Exchange logları merkezi log yönetimine gönderilmeli |
| Health Checker | Exchange Health Checker düzenli çalıştırılmalı |
| Eski CU kontrolü | Desteklenmeyen CU seviyeleri güncellenmeli |
Bu kontroller sadece CVE-2026-42897 için değil, genel Exchange Server güvenliği için de önemlidir.
Sık Sorulan Sorular
CVE-2026-42897 Exchange Online’ı etkiliyor mu?
Hayır. Microsoft’un açıklamasına göre Exchange Online bu güvenlik açığından etkilenmemektedir. Bu açık on-premises Exchange Server ortamlarını ilgilendirir.
CVE-2026-42897 hangi Exchange Server sürümlerini etkiliyor?
Exchange Server 2016, Exchange Server 2019 ve Exchange Server Subscription Edition bu güvenlik açığından etkilenmektedir.
Bu açık doğrudan Exchange Server üzerinde RCE midir?
Paylaşılan açıklamaya göre bu zafiyet doğrudan Exchange Server üzerinde uzaktan kod çalıştırma olarak değerlendirilmemelidir. Risk, OWA üzerinde kullanıcının tarayıcı bağlamında JavaScript çalıştırılabilmesiyle ilişkilidir.
Exchange Team blog yazısında XSS yazıyor mu?
Exchange Team blog yazısında doğrudan “XSS” ifadesi kullanılmıyor. Ancak Microsoft CSS-Exchange EOMT dokümantasyonunda CVE-2026-42897, “OWA XSS” olarak listelenmektedir.
EM Service açıksa ayrıca EOMT çalıştırmam gerekir mi?
Önce EM Service’in mitigation uygulayıp uygulamadığı kontrol edilmelidir. Eğer mitigation uygulanmış görünüyorsa ayrıca EOMT ile tekrar uygulama yapmak gerekmeyebilir. Ancak doğrulama için EOMT -ShowMitigationStatus parametresiyle çalıştırılabilir.
EOMT mitigation kalıcı çözüm mü?
Hayır. EOMT veya EM Service ile uygulanan mitigation geçici koruma sağlar. Kalıcı çözüm, Microsoft tarafından yayımlanacak Security Update’in kurulmasıdır.
Mitigation sonrası OWA’da sorun yaşanabilir mi?
Evet. Microsoft, OWA Calendar Print fonksiyonunda ve inline image görüntülemede sorun yaşanabileceğini belirtmektedir. Bu durumda Outlook Desktop kullanılabilir veya görseller ek dosya olarak gönderilebilir.
Mitigation invalid for this exchange version mesajı ne anlama gelir?
Bu mesaj mitigation detaylarında görülebilen kozmetik bir sorun olarak belirtilmiştir. Eğer status Applied görünüyorsa mitigation uygulanmış kabul edilebilir.
Sonuç
CVE-2026-42897, on-premises Exchange Server ortamlarında OWA bileşenini etkileyen önemli bir güvenlik açığıdır.
Benim önerim, öncelikle Exchange Emergency Mitigation Service durumunun kontrol edilmesi ve mitigation’ın uygulanıp uygulanmadığının doğrulanmasıdır. EM Service kullanılamayan ortamlarda EOMT ile manuel mitigation uygulanmalıdır.
Ancak burada unutulmaması gereken en önemli nokta, mitigation’ın kalıcı çözüm olmadığıdır. Microsoft tarafından yayımlanacak Security Update takip edilmeli ve uygun bakım penceresinde kurulmalıdır.
Exchange Server 2016 ve Exchange Server 2019 kullanan kurumlar için ESU durumu ayrıca kontrol edilmelidir. Uzun vadede ise Exchange Server SE’ye geçiş planının hazırlanması veya Exchange Online/hybrid mimari seçeneklerinin değerlendirilmesi daha doğru olacaktır.
Ilgili Yazilar
Bu yazi ile iliskili diger teknik icerikler:
