Notebookcheck Logo

Microsoft Exchange Server sıfırıncı günü, hazırlanmış e-posta yoluyla istismar edildi

CVE-2026-42897 açığı, şirket içi Exchange Server'daki Outlook Web Access arayüzünü hedef almaktadır.
ⓘ rawpixel.com
CVE-2026-42897 açığı, şirket içi Exchange Server'daki Outlook Web Access arayüzünü hedef almaktadır.
Microsoft, Exchange Server sıfırıncı gün CVE-2026-42897'nin hazırlanmış e-posta yoluyla aktif olarak kullanıldığını ve şirket içi dağıtımlar için kalıcı bir yama bulunmadığını doğruladı.
Security Software Windows Microsoft Desktop Laptop / Notebook

Microsoft, şirket içi Exchange Server'da saldırganların hazırlanmış bir e-posta göndererek kurbanın tarayıcısında rastgele JavaScript çalıştırmasına olanak tanıyan bir sıfır gün olan CVE-2026-42897'nin aktif olarak kullanıldığını doğruladı. Kalıcı bir yama mevcut değildir. Microsoft 14 Mayıs'ta bir acil durum hafifletmesi yayınladı ve CISA ertesi gün bu açığı Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekleyerek federal kurumların 29 Mayıs'a kadar düzeltmelerini istedi. Exchange Online etkilenmez.

CVE-2026-42897 ne yapar

CVE-2026-42897 şirket içi Microsoft Exchange Server'ın Outlook Web Erişimi bileşeninde CVSS 8.1 olarak derecelendirilen bir siteler arası komut dosyası hatasıdır. Saldırgan bir hedefe özel olarak hazırlanmış bir e-posta gönderir. Alıcı belirli etkileşim koşulları altında e-postayı OWA'da açtığında, tarayıcı oturumunda rastgele JavaScript yürütülür.

Microsoft, güvenlik açığını web sayfası oluşturma sırasında uygunsuz girdi nötralizasyonundan kaynaklanan bir spoofing sorunu olarak sınıflandırmaktadır. Saldırı yolu kimlik doğrulama veya sunucu erişimi gerektirmez. Bir gelen kutusu ile başlar.

Kimler etkilenir

Hata, şirket içi Exchange Server 2016, Exchange Server 2019 ve Exchange Server Abonelik Sürümü'nü herhangi bir güncelleme düzeyinde etkilemektedir. Exchange Online savunmasız değildir.

Şirket içi Exchange, buluta geçmemiş hükümetler, finans kurumları ve işletmeler için kurumsal e-postanın merkezinde yer almaktadır. CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları kataloğunda halihazırda yaklaşık iki düzine Exchange Server açığı listelenmektedir ve fidye yazılım grupları hedeflere saldırmak için bunlardan birkaçını istismar etmiştir. CVE-2026-42897, 120 güvenlik açığını yamalayan ancak sürüm notlarında sıfır gün açıklamayan Mayıs ayındaki Salı Yaması'ndan sadece iki gün sonra geldi.

Kusurun hafifletilmesi

Microsoft, Exchange Acil Durum Azaltma Hizmeti aracılığıyla geçici bir düzeltme dağıttıeEMS, hizmetin varsayılan olarak etkin olduğu Exchange Posta Kutusu sunucularında URL yeniden yazma yapılandırması aracılığıyla hafifletmeyi otomatik olarak uygular. Yöneticiler aka.ms/ExchangeHealthChecker adresindeki Exchange Health Checker komut dosyasını kullanarak durumu doğrulayabilir.

EEMS'nin Microsoft sunucularına ulaşamadığı hava boşluklu veya bağlantısı kesilmiş ortamlar için, yöneticilerin en son Exchange Şirket İçi Azaltma Aracını manuel olarak indirmesi ve yükseltilmiş bir Exchange Yönetim Kabuğu aracılığıyla çalıştırması gerekir. Komut tek bir sunucuyu hedefler ya da tüm Exchange filosunda aynı anda çalıştırılabilir.

Dikkat edilmesi gereken kozmetik bir sorun var. Bazı sunucular, açıklama alanında hafifletme durumunu "Bu Exchange sürümü için hafifletme geçersiz" olarak gösterecektir. Microsoft, bu durumlarda durum sütununda "Uygulandı" yazıyorsa düzeltmenin doğru şekilde uygulandığını onaylar. Görüntülenen metin, araştırılmakta olan bilinen bir kozmetik hatadır.

Hafifletmenin yan etkileri

Düzeltmenin uygulanmasının işlevsel sonuçları vardır. OWA Takvim Yazdır özelliği, hafifletme uygulandıktan sonra çalışmayı durdurur. Satır içi görüntüler artık Outlook Web Access içindeki alıcıların okuma bölmelerinde düzgün görüntülenmiyor.

OWA Light, /?layout=light ile biten bir URL aracılığıyla erişilen eski arabirim de hafifletme uygulandıktan sonra çalışmayı durdurur. Microsoft bu arayüzü yıllar önce kullanımdan kaldırdı ve üretime hazır olarak görmüyor, ancak hala bunu kullanan kuruluşların kullanıcıları standart OWA URL'si üzerinden yönlendirmesi gerekecek.

Henüz kalıcı bir yama yok

Microsoft kalıcı bir düzeltme geliştirmektedir ve bir yayın zaman çizelgesi onaylamamıştır. Kullanılabilir olduğunda, Exchange Server Abonelik Sürümü standart güncelleme kanalı aracılığıyla bunu alacaktır. Exchange Server 2016 ve 2019, kalıcı yamayı yalnızca Microsoft'un 2. Dönem Genişletilmiş Güvenlik Güncellemesi programı aracılığıyla alacaktır.

ESU kaydı olmadan eski sürümlerden birini kullanan kuruluşlar, acil durum hafifletmesini manuel olarak uygulayana kadar maruz kalmaya devam edecekler. CISA, CVE-2026-42897'yi 15 Mayıs'ta Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna eklemiş ve Federal Sivil Yürütme Şubesi kurumlarının 29 Mayıs'a kadar düzeltme yapmasını şart koşmuştur. Microsoft, aktif saldırıların arkasındaki tehdit aktörlerini tanımlamamış veya saldırganların hangi kuruluşları hedef aldığını açıklamamıştır.

CVE-2026-42897'nin zamanlaması, proaktif keşiften güvenlik açığı yaşam döngüsünün diğer ucunda yer almaktadır. Microsoft'un MDASH AI modeli kısa süre önce 16 kritik Windows açığını saldırganlar bunlara ulaşamadan önce tespit etti; CVE-2026-42897'nin tamamen atladığı bir tespit yaklaşımı.

Google LogoAdd as a preferred source on Google
Mail Logo

İlgili makaleler

> Notebooklar Hakkında Aradığınız Herşey > Haberler > Haber Arşivi > Haber arşivi 2026 05 > Microsoft Exchange Server sıfırıncı günü, hazırlanmış e-posta yoluyla istismar edildi
Darryl Linington, 2026-05-17 (Update: 2026-05-17)