Teknoloji Haberleri - Microsoft Exchange Server Güvenlik Güncellemesi, şirket içi Exchange altyapıları kullanan kurumlar için dağıtıma açıldı. Microsoft, Haziran 2026 güvenlik paketleriyle birlikte son haftalarda dünya genelinde yoğun şekilde gündeme gelen CVE-2026-42897 güvenlik açığını kalıcı olarak giderirken, Exchange sunucularının gelecekteki koruma mekanizmalarından yararlanabilmesi için önemli değişiklikleri de devreye aldı. Güncellemeler yalnızca yeni zafiyetleri kapatmakla sınırlı kalmıyor; aynı zamanda Exchange Emergency Mitigation ekosisteminin gelecekte çalışmaya devam edebilmesi açısından da kritik önem taşıyor.
Mayıs ayında kamuoyuna açıklanan CVE-2026-42897, Outlook Web Access (OWA) bileşenini hedef alan ve saldırganların özel hazırlanmış e-postalar aracılığıyla kullanıcı oturumlarını tehlikeye atabilmesine imkan tanıyan yüksek önem dereceli bir güvenlik açığı olarak öne çıkmıştı. Microsoft, söz konusu açığın aktif olarak istismar edildiğini doğrulamış ve geçici mitigasyonlar yayımlamıştı. Haziran güncellemesiyle birlikte ise ürün seviyesinde kalıcı düzeltme sunulmuş oldu.
Hangi Exchange Sürümleri Güncelleme Alıyor?
Microsoft’un yayımladığı güvenlik paketi şu sürümleri kapsıyor:
Exchange Server Subscription Edition (SE) RTM
Exchange Server 2019 CU14 ve CU15
Exchange Server 2016 CU23
Burada dikkat çeken detay ise Exchange Server 2016 ve Exchange Server 2019 kullanıcıları için geçerli olan erişim şartı. Microsoft, bu sürümlere ait güncellemelerin yalnızca Period 2 Extended Security Update (ESU) programına kayıtlı müşterilere sunulacağını bir kez daha hatırlattı. ESU kapsamı dışında kalan kurumlar güncellemeleri resmi kanallar üzerinden alamayacak.
Buna karşılık Exchange Online kullanan müşteriler için herhangi bir risk bulunmuyor. Microsoft, bulut tabanlı Exchange hizmetlerinin bu güvenlik açığından etkilenmediğini açıkladı. Ancak Exchange Online ile hibrit çalışan kurumların veri merkezlerinde bulunan şirket içi Exchange sunucularını güncellemeleri gerektiği özellikle vurgulanıyor.
CVE-2026-42897 Neden Kritik Görülüyor?
Siber güvenlik dünyasının son dönemde en çok konuştuğu Exchange açıklarından biri haline gelen CVE-2026-42897, OWA üzerinde çalışan bir Cross-Site Scripting (XSS) ve sahtecilik zinciri oluşturabiliyor. Saldırganlar, özel hazırlanmış bir e-postanın kullanıcı tarafından açılması durumunda tarayıcı oturumu içerisinde yetkisiz JavaScript çalıştırabiliyor. Bu durum oturum ele geçirme, posta kutusu manipülasyonu ve kimlik avı saldırıları için ciddi bir risk oluşturuyor. Açığın CVSS puanı ise 8.1 olarak değerlendiriliyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) bilinen aktif olarak istismar edilen güvenlik açıkları listesine dahil ettiği zafiyet, Exchange altyapıları kullanan kurumlar açısından öncelikli risk kategorisinde değerlendiriliyor.
Exchange Emergency Mitigation İçin Yeni Dönem Başlıyor
Haziran güncellemesinin en önemli detaylarından biri de Exchange Emergency Mitigation (EM) ve Exchange Flighting servislerine ilişkin değişiklikler oldu.
Microsoft, Temmuz 2026 ve sonrasında yayımlanacak yeni mitigasyonların alınabilmesi için Exchange sunucularının en az Haziran 2026 güvenlik güncellemesi seviyesinde olması gerektiğini açıkladı. Güncelleme yapılmayan sistemlerde mevcut mitigasyonlar çalışmaya devam edecek olsa da gelecekte dağıtılacak yeni koruma katmanları otomatik olarak uygulanamayacak.
Bu yaklaşım, Microsoft’un Exchange güvenlik mimarisini daha dinamik bir modele taşıdığını gösteriyor. Artık yalnızca güvenlik açığını kapatmak yeterli değil; gelecekte yayınlanacak otomatik koruma mekanizmalarından yararlanabilmek için de belirli güncelleme seviyelerinde kalmak gerekiyor.
Mevcut Mitigasyonlar Şimdilik Kaldırılmamalı
Microsoft’un yöneticilere verdiği bir diğer önemli tavsiye ise Mayıs ayında dağıtılan geçici korumalarla ilgili.
Şirket, CVE-2026-42897 için uygulanan mitigasyonların güncelleme sonrasında otomatik olarak kaldırılmayacağını açıkladı. Kurumsal ortamlarda beklenmeyen senaryolara karşı ek güvenlik katmanı oluşturulabilmesi amacıyla mevcut mitigasyonların bir süre daha aktif bırakılması öneriliyor.
Özellikle internet erişimine açık Exchange sunucularında çok katmanlı güvenlik yaklaşımının sürdürülmesi tavsiye edilirken, mitigasyonları kaldırmak isteyen yöneticilerin önce yeniden uygulanmasını engellemesi ve ardından ilgili IIS kurallarını temizlemesi gerekiyor.
Exchange 2016 ve 2019 İçin Zaman Daralıyor
Microsoft’un son açıklamaları, Exchange Server 2016 ve Exchange Server 2019 kullanan kuruluşlar için kritik bir döneme işaret ediyor.
Şirket, bu sürümlerin artık standart destek sürecinin dışında olduğunu yeniden hatırlatırken, Mayıs 2026 ile Ekim 2026 arasındaki güvenlik güncellemelerinin yalnızca ESU kapsamındaki müşterilere sunulacağını belirtiyor. ESU programına dahil olmayan kurumların ise mümkün olan en kısa sürede Exchange Server Subscription Edition sürümüne geçiş planlarını hazırlaması öneriliyor.
Microsoft’un uzun vadeli Exchange stratejisinde Subscription Edition merkezi konuma yerleşmiş durumda. Yeni güvenlik güncellemeleri ve güvenlik mimarisi geliştirmeleri öncelikli olarak bu sürüm üzerinde şekilleniyor.
Güncelleme Sonrasında Hangi Adımlar İzlenmeli?
Microsoft, güncelleme öncesinde Exchange Server Health Checker aracının çalıştırılmasını öneriyor. Araç; eksik güvenlik güncellemelerini, uyumsuz birikimli güncellemeleri ve manuel müdahale gerektiren yapılandırma problemlerini tespit edebiliyor.
Güncelleme tamamlandıktan sonra ise sunucunun yeniden başlatılması, Exchange servislerinin doğrulanması ve Health Checker’ın yeniden çalıştırılması tavsiye ediliyor. Kurulum sırasında hata oluşması durumunda SetupAssist aracından yararlanılabiliyor.
Ayrıca hibrit Exchange ortamlarında kimlik doğrulama sertifikalarında değişiklik yapılmışsa Hybrid Configuration Wizard’ın yeniden çalıştırılması öneriliyor.
Kurumlar Bu Güncellemeyi Ertelememeli
Haziran 2026 Exchange güvenlik güncellemesi, sıradan bir aylık yama paketinden daha fazlasını temsil ediyor. Bir yandan aktif olarak istismar edilen CVE-2026-42897 açığını kalıcı olarak ortadan kaldırırken diğer yandan Exchange Emergency Mitigation servislerinin gelecekte dağıtacağı koruma mekanizmalarının temelini oluşturuyor.
Özellikle internet erişimine açık Exchange altyapıları kullanan kurumların güncellemeyi geciktirmesi yalnızca mevcut tehditlere karşı risk oluşturmakla kalmıyor, ileride yayımlanacak güvenlik önlemlerinin de kaçırılmasına yol açabiliyor. Bu nedenle Exchange 2016 ve 2019 kullanan kuruluşların ESU durumlarını gözden geçirmeleri ve Subscription Edition geçiş planlarını hızlandırmaları her zamankinden daha kritik hale gelmiş durumda.
Exchange altyapısını yöneten ekipler için son dönemde güvenlik güncellemeleri her zamankinden daha kritik hale geldi. Sizce kurumlar Exchange Server Subscription Edition’a geçiş sürecini hızlandırmalı mı? Düşüncelerinizi ve yaşadığınız deneyimleri yorumlarda aktarabilirsiniz. Teknoloji Haberleri - Teknoloji Medya – Telegram
Şirketlerin halen Exchange 2016 ve 2019 üzerinde çalışıyor olması aslında ne kadar kritik bir geçiş döneminde olduğumuzu gösteriyor. Güvenlik açıklarının artık çok daha hızlı istismar edildiği düşünülürse güncellemelerin ertelenmesi ciddi risk yaratıyor. Özellikle hibrit yapı kullanan kurumların sadece Exchange Online tarafına güvenmemesi gerektiği net şekilde görülüyor. Bu güncellemenin kısa sürede uygulanması birçok kurum için önemli bir güvenlik kazanımı sağlayacaktır.