Microsoft 13 Ağustos 2025 tarihinde Exchange Server için kritik güvenlik güncellemelerini yayımladı. Bu güncellemeler kurumların e-posta altyapısını hedef alan yüksek önem dereceli güvenlik açıklarını kapatmakta ve operasyonel istikrarı artırmayı amaçlamaktadır.
Önemli bir hatırlatma Exchange Online kullanıcıları bu güvenlik açıklarından etkilenmezken on-premises Exchange Server kurulumlarını yöneten tüm kurumların en kısa sürede bu yamaları uygulaması gerekmektedir.
Hangi Sürümler Etkileniyor?
Microsoft’un yayımladığı güvenlik güncellemeleri Aşağıdaki sürümleri kapsamaktadır:
- Exchange Server 2016 – Cumulative Update 23 (CU23)
- Exchange Server 2019 – Cumulative Update 14 ve 15 (CU14, CU15)
- Exchange Server Subscription Edition (SE) – RTM sürümü
Eğer sunucularınız bu sürümlerde değilse önce en güncel Cumulative Update seviyesine yükseltme yapmanız, ardından güvenlik yamalarını uygulamanız zorunludur.
Çözülen Güvenlik Açıkları ve CVE Detayları
Bu güncellemeler ile kapatılan açıklar kurumların karşı karşıya kaldığı en kritik risklerden bazılarını ortadan kaldırmaktadır.
- CVE-2025-25005 – Tampering (Manipülasyon Açığı)
Saldırganların Exchange bileşenlerinde değişiklik yapabilmesine imkân tanıyabilecek güvenlik açığı. - CVE-2025-25006 – Spoofing (Kimlik Sahteciliği)
Kötü niyetli aktörlerin sahte kimlik bilgileri ile iletişimi manipüle etmesine sebep olabilecek açık. - CVE-2025-25007 – Spoofing (Gelişmiş Sahtecilik Senaryosu)
Yanlış input doğrulaması nedeniyle saldırganların sahte kimlik doğrulama süreçlerini tetikleyebileceği açık. - CVE-2025-33051 – Information Disclosure (Bilgi İfşası)
Yetkisiz erişimle hassas bilgilerin açığa çıkmasına yol açabilecek güvenlik zafiyeti.
Bu CVE’lerin CVSS skorları orta ile yüksek arasında değişmekte olup özellikle hibrit ortamlarda kimlik sahteciliği ve bilgi ifşası riskleri öne çıkmaktadır.
Operasyonel Sorunlara Getirilen Çözümler
Güncellemeler yalnızca güvenlik açıklarını değil aynı zamanda uzun süredir raporlanan bazı performans ve işlevsel sorunları da çözmektedir:
- eDiscovery hataları: Arama sonuçlarının discovery mailbox’a aktarılamaması sorunu düzeltildi.
- MSIPC kaynaklı performans sorunları: Uygulama havuzlarının yanıt vermemesi ve performans kaybı giderildi.
- Public Folder yönetimindeki yanlış ACE düzenlemesi: Outlook üzerinden yönetim sırasında oluşan yetkilendirme hataları düzeltildi.
Bu düzeltmeler özellikle büyük kurumlarda denetim süreçleri, arşivleme ve performans yönetimi açısından büyük kolaylık sağlayacaktır.
Extended Protection: Zorunlu mu, Önerilen mi?
Microsoft’un sıkça vurguladığı Extended Protection özelliği kimlik doğrulama relay saldırılarına ve Man-in-the-Middle (MITM) tehditlerine karşı ek bir güvenlik katmanı sağlar.
- Zorunluluk durumu: Extended Protection, bu güvenlik güncellemesini yüklemek için ön koşul değildir.
- Öneri: Güvenlik güncellemelerinden sonra mutlaka etkinleştirilmesi şiddetle önerilmektedir.
- Kontrol aracı: Kurulum sonrası Exchange Health Checker script’inin çalıştırılması, yapılandırmanın doğru olduğundan emin olmanızı sağlar.
Hibrit Ortamlardaki Durum
Exchange Online ile Hybrid yapı kullanan kurumların dikkat etmesi gereken kritik noktalar:
- Exchange Online otomatik olarak korunmaktadır.
- Ancak on-premises Exchange Server’lar, yalnızca yönetim için kullanılsa dahi yamalanmalıdır.
- Güncelleme sonrası Hybrid Configuration Wizard (HCW) tekrar çalıştırılmasına gerek yoktur.
- Microsoft ve CISA, hibrit yapılarda ek olarak shared service principal ve kimlik bilgileri güvenliğinin gözden geçirilmesini önermektedir.
Yönetim Araçları (Management Tools) için Durum
Sadece Exchange Management Tools kullanılan istemcilerde de bu güvenlik yamalarının uygulanması gerekir. Aksi halde, istemci ile sunucu arasındaki uyumsuzluk ve yönetim hataları riski doğar.
Kurulum ve İyileştirme Stratejisi
- Mevcut CU sürümünü kontrol edin.
- CU23 (2016), CU14/CU15 (2019) veya SE RTM değilse, önce uygun CU güncellemesini kurun.
- Ağustos 2025 Security Update paketini uygulayın.
- Güncelleme sonrası IIS ve Exchange servislerini yeniden başlatın.
- Extended Protection özelliğini devreye alın.
- MITM saldırılarına karşı ek güvenlik katmanı sağlayın.
- Exchange Health Checker çalıştırın.
- Potansiyel uyumsuzluk ve eksiklikleri kontrol edin.
- Hibrit yapılarda güvenlik incelemesi yapın.
- Kimlik yönetimi ve log görünürlüğünü doğrulayın.