CISA ve NSA, Microsoft Exchange Server ve Windows Server Update Services (WSUS) bileşenlerinde ortaya çıkan kritik güvenlik açıklarına karşı acil önlemler alınması gerektiğini duyurdu. Yönetici erişimlerinin sınırlandırılması, çok faktörlü kimlik doğrulaması (MFA) uygulanması ve sıfır güven (Zero Trust) modeli prensiplerinin benimsenmesi, kurumların siber saldırılara karşı dayanıklılığını artırıyor.

Microsoft Exchange Sunucularında Güvenlik Önlemleri

Ajanslar, özellikle kullanım ömrü dolmuş veya yanlış yapılandırılmış Exchange sunucularının hedef alındığını vurguladı. Microsoft 365’e geçiş sonrası eski Exchange sunucularının devre dışı bırakılması önerilirken, Exchange Acil Müdahale Hizmeti’nin etkin tutulması kritik önem taşıyor. Ayrıca, Exchange Yönetim Merkezi (EAC) ve uzak PowerShell erişimlerinin kısıtlanması, en az ayrıcalık ilkesi ile birlikte uygulanmalı.

Exchange Server’da antivirüs çözümleri, Windows Antimalware Tarama Arayüzü (AMSI), Saldırı Yüzeyi Azaltma (ASR), AppLocker ve Uç Nokta Tespiti ve Yanıtı (EDR) gibi modern güvenlik teknolojilerinin entegre edilmesi tavsiye ediliyor. Taşıma Katmanı Güvenliği (TLS), HTTP Strict Transport Security (HSTS) ve Genişletilmiş Koruma (EP) gibi protokollerle kimlik doğrulama ve şifreleme güçlendirilmeli, Kerberos ve NTLM yerine SMB yapılandırmaları tercih edilmeli.

WSUS Güvenlik Açığı CVE-2025-59287 ve Sömürü Faaliyetleri

CISA, WSUS bileşeninde uzaktan kod yürütmeye olanak tanıyan CVE-2025-59287 numaralı güvenlik açığına karşı güncellenmiş uyarısını yayımladı. Sophos ve diğer güvenlik firmalarının raporlarına göre, bu açığı kullanan tehdit aktörleri ABD’deki üniversiteler, teknoloji, üretim ve sağlık sektörlerindeki kuruluşlardan hassas veriler toplamaya başladı. Saldırganlar, wsusservice.exe ve w3wp.exe süreçleri üzerinden SYSTEM yetkileriyle Base64 kodlu PowerShell komutları çalıştırarak verileri webhook.site gibi dış uç noktalara aktarıyor.

Splunk’tan Michael Haag, bu açığın beklenenden daha karmaşık olduğunu belirterek, WSUS Yönetim Konsolu’nun açılması veya “Sunucu Düğümünü Sıfırla” seçeneğinin tetiklenmesiyle mmc.exe üzerinden cmd.exe’nin çalıştırıldığını ve 7053 Olay Günlüğü çökmesine neden olduğunu açıkladı. Bu teknik detay, saldırı zincirinin derinliğini ve karmaşıklığını gösteriyor.

Önerilen Güvenlik Uygulamaları ve İzleme

Kurumlar, WSUS ve Exchange sunucularında düzenli güvenlik yamalarını uygulamalı, şüpheli süreçleri ve alt süreçleri sistematik olarak izlemeli. Özellikle Base64 kodlu PowerShell komutları ve iç içe geçen PowerShell süreçleri dikkatle incelenmeli. Ayrıca, konteyner tabanlı uygulamalarda rastgele atanmış SSH portları gibi saldırı yüzeylerini azaltacak yapılandırmalar tercih edilmeli. AsyncRAT gibi uzaktan erişim araçlarının benzer teknikleri kullanabileceği göz önünde bulundurularak, uç nokta tespiti ve yanıtı çözümleri entegre edilmelidir.

Sonuç olarak, Exchange ve WSUS sunucularının güvenliği, kurumsal iletişim ve operasyonların sürekliliği açısından hayati önem taşıyor. Siber güvenlik ekiplerinin bu sistemlerin güvenlik duruşunu sürekli değerlendirmesi ve güncel tehditlere karşı hızlı aksiyon alması gerekiyor.

Daha fazla gönderi

Aralık 28, 2025Aralık 28, 2025

Türkiye Firmaları İçin Safetica DLP: Veri Kaybını Önlemede Kritik Bir Çözüm

Safetica DLP, Türkiye'deki firmalar için veri kaybını önlemede kritik bir çözüm sunar. KVKK uyumu ve iç tehditlere karşı geliştirilmiş teknik özellikleriyle, kurumların veri güvenliğini sağlamada önemli bir rol oynar.

Daha Fazla Oku

Aralık 25, 2025Aralık 25, 2025

Digiever DS-2105 Pro NVR Cihazlarında Kritik Uzaktan Kod Çalıştırma Açığı Aktif İstismar Ediliyor

Digiever DS-2105 Pro ağ video kayıt cihazlarındaki CVE-2023-52163 numaralı kritik uzaktan kod çalıştırma açığı, aktif olarak kötü amaçlı botnetler tarafından hedefleniyor. Güvenlik yamalarının bulunmaması ve cihazların kullanım ömrünün sonuna yaklaşması nedeniyle, kurumların riskleri azaltmak için acil önlemler alması gerekiyor.

Daha Fazla Oku

Aralık 25, 2025Aralık 25, 2025

FortiOS SSL VPN’de 2FA Atlama Açığı: Teknik Detaylar ve Korunma Yöntemleri

Fortinet'in FortiOS SSL VPN ürününde bulunan CVE-2020-12812 kodlu kimlik doğrulama açığı, belirli LDAP ve yerel kullanıcı yapılandırmalarında iki faktörlü kimlik doğrulamasını atlamaya olanak sağlıyor. Bu zafiyet, özellikle yönetici ve VPN kullanıcılarını etkiliyor ve aktif olarak istismar ediliyor. Güvenlik ekipleri için kapsamlı önlemler ve yapılandırma önerileri kritik önem taşıyor.

Daha Fazla Oku

Aralık 20, 2025Aralık 20, 2025

ForumTroll Kimlik Avı Kampanyası: Rus Akademisyenlere Yönelik Yeni Taktikler ve Teknik Detaylar

Ekim 2025'te başlayan ForumTroll operasyonu, Rusya'daki akademisyenleri hedef alan karmaşık kimlik avı saldırılarıyla dikkat çekiyor. Sahte eLibrary e-postaları ve Google Chrome sıfır gün açığı (CVE-2025-2783) üzerinden yürütülen bu kampanya, gelişmiş zararlılar ve kişiselleştirilmiş saldırı zinciriyle öne çıkıyor. Siber güvenlik profesyonelleri için kritik teknik detaylar ve savunma önerileri bu

Daha Fazla Oku

P	S	Ç	P	C	C	P
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31