Güvenlik Açıkları
0

Exchange ActiveSync’te Kritik Açık: CVE-2025-58107 Mobil Senkronizasyondan Düz Metin Veri Sızdırıyor

Exchange ActiveSync’te Kritik Açık: CVE-2025-58107 Mobil Senkronizasyondan Düz Metin Veri Sızdırıyor
Yazı Özetini Göster

Microsoft Exchange Server üzerinde ciddi bir bilgi ifşası güvenlik açığı tespit edildi. CVE-2025-58107 olarak tanımlanan zafiyet, Exchange ActiveSync (EAS) protokolündeki kullanımdan kaldırılmış Basic Authentication mekanizmasının hassas kimlik bilgilerini ve taşıyıcı token’ları düz metin olarak iletmeye devam etmesinden kaynaklanıyor. Microsoft’un bu sorunu çözmeden dosyayı kapatması, güvenlik araştırmacılarını MITRE’ye başvurmaya zorladı ve zafiyet CNA of Last Resort aracılığıyla resmi CVE numarasını aldı.

CVE-2025-58107 Açığı Nedir?

CVE-2025-58107, Microsoft Exchange ActiveSync protokolünde kullanımdan kaldırılmış Basic Authentication mekanizmasının hâlâ aktif olarak düz metin kimlik bilgileri ve OAuth2 taşıyıcı token’ları sızdırmasına yol açan bir bilgi ifşası zafiyetidir. Güvenlik araştırmacıları George Chen ve Chen Zheng Wei tarafından keşfedilen açık, özellikle mobil cihazların eski EAS protokolünü kullanarak kimlik doğrulama verilerini şifrelenmemiş biçimde ilettiği senaryolarda ortaya çıkıyor.

Microsoft, Ekim 2022’de Basic Authentication’ın kalıcı olarak devre dışı bırakılacağını duyurmuştu. Ancak araştırmacıların Ocak 2022’den Haziran 2023’e kadar bir misafir ağını uzaktan izlediği çalışmada, bu tarihten sonra bile hassas düz metin legacy trafiğinin devam ettiği gözlemlendi. Bu durum, kullanımdan kaldırma sürecinin pratikte tam olarak uygulanmadığını veya belirli istemci-sunucu kombinasyonlarında eski davranışın sürdüğünü gösteriyor.

Hangi Veriler Risk Altında?

Zafiyetin istismar edildiği senaryolarda ağ trafiğini dinleyebilen bir saldırgan, şifrelenmemiş olarak iletilen çeşitli kritik bilgilere erişebiliyor. Bunlar arasında kullanıcı adları, e-posta adresleri, cihaz kimlikleri (Device ID), kimlik doğrulama token’ları ve bazı durumlarda Base64 formatında kodlanmış parolalar yer alıyor. Base64 kodlaması bir şifreleme yöntemi olmadığından, bu veriler pratikte açık metin olarak değerlendiriliyor.

Bu tür bir bilgi sızıntısı, saldırganlar için “düşük efor / yüksek etki” kategorisinde bir saldırı yüzeyi oluşturuyor. Misafir ağları, otellerin Wi-Fi ağları, havalimanı kablosuz bağlantıları ve halka açık erişim noktaları, bu saldırı vektörü için özellikle zengin kaynaklar sunuyor. Araştırmacılar, en az bir kırmızı takım tatbikatında bu tekniğin aktif olarak kullanıldığını doğruladı.

Samsung Cihazları ve Sorumluluk Tartışması

Araştırmacılar, zafiyetin özellikle bazı Samsung cihazlarının ActiveSync bağlantılarında belirginleştiğini tespit etti. Samsung ile iletişime geçildiğinde şirket, sorunun Samsung E-posta istemcisindeki bir güvenlik açığı olmadığını, kullanımdan kaldırılmış protokolleri kullanan müşterilerden kaynaklanan bir sorun olduğunu belirtti ve araştırmacıları Microsoft’a yönlendirdi.

Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) yapılan bildirim ise hayal kırıklığıyla sonuçlandı. VULN-149843 ve Vaka 95997 numaralarıyla takip edilen raporun ardından araştırmacılar altı kez güncelleme talep etti. Ancak Microsoft, vakayı çözüm sağlamadan kapattı. Bunun üzerine araştırmacılar MITRE’nin CNA of Last Resort (son çare CVE numaralama otoritesi) mekanizmasına başvurdu ve zafiyet resmi olarak CVE-2025-58107 tanımlayıcısını aldı. Bu süreç, büyük teknoloji şirketlerinin güvenlik bildirimleriyle nasıl ilgilendiğine dair endişe verici bir tablo çiziyor.

Microsoft’un Eski Protokol Temizliği

Bu zafiyet, Microsoft’un Exchange ekosisteminde sürdürdüğü eski protokol temizliği bağlamında daha da anlamlı hale geliyor. Şirket, Aralık 2025’te Exchange Online’ın 1 Mart 2026’dan itibaren 16.1’den eski ActiveSync sürümlerini kullanan cihazların bağlantısını engelleyeceğini duyurdu. EAS 16.1’in Haziran 2016’dan beri mevcut olduğu düşünüldüğünde sektörün bu protokol sürümünü benimsemesi için yaklaşık on yılı olmuştu.

Ancak bu kısıtlama yalnızca Exchange Online için geçerli; on-premises Exchange Server ortamlarını etkilemiyor. CVE-2025-58107’nin esas risk oluşturduğu alan tam da burası: Kendi sunucularında Exchange çalıştıran kurumlar, eski ActiveSync istemcilerinin bağlantısını engelleyen otomatik bir mekanizmadan yoksun ve Basic Authentication’ın tam olarak devre dışı bırakılıp bırakılmadığını manuel olarak doğrulamaları gerekiyor.

Etkilenen Sistemler ve Saldırı Senaryoları

Zafiyet, özellikle şu ortamlarda yüksek risk taşıyor: On-premises Exchange Server kullanan kurumlar, Basic Authentication’ı tamamen devre dışı bırakmamış ortamlar, eski ActiveSync istemcilerinin hâlâ bağlantı kurabildiği yapılandırmalar ve TLS zorunluluğu uygulanmamış ağ yapıları. Saldırı senaryosu nispeten basit: Saldırgan, hedef kullanıcıyla aynı ağ segmentinde bulunarak (örneğin bir otel veya konferans Wi-Fi ağında) ActiveSync trafiğini dinliyor ve düz metin olarak iletilen kimlik bilgilerini yakalıyor.

Exchange ortamında bu tür bir kimlik bilgisi ele geçirme, yalnızca e-posta erişimiyle sınırlı kalmıyor. Yakalanan kimlik bilgileri Active Directory hesaplarına ait olduğundan, saldırgan bu bilgileri kullanarak VPN erişimi, dosya sunucuları, SharePoint ve diğer kurumsal kaynaklara yatay hareket (lateral movement) gerçekleştirebilir. Bu durum, zafiyetin gerçek etkisini bir e-posta güvenlik sorununun çok ötesine taşıyor.

Kurumlar İçin Korunma Yöntemleri

CVE-2025-58107’den korunmak için kurumların atabileceği adımlar net ve uygulanabilir durumda. Öncelikle ActiveSync bağlantıları için TLS 1.2 veya üzeri zorunlu hale getirilmeli. HTTP üzerinden şifrelenmemiş bağlantılar tamamen kapatılmalı ve SSL/TLS zorunluluğu sıkı biçimde uygulanmalı. Eski TLS sürümleri (1.0 ve 1.1) ile tüm legacy protokoller devre dışı bırakılmalı.

Basic Authentication tamamen kapatılarak Modern Authentication (OAuth 2.0) geçişi tamamlanmalı. Exchange sunucular en güncel güvenlik yamalarıyla güncel tutulmalı. Ağ tarafında segmentasyon uygulanarak mobil cihaz trafiği izolasyona alınmalı ve ağ trafiği izleme (monitoring) yapılarak şüpheli düz metin kimlik bilgisi iletimi tespit edilmeli. Son olarak, ortamda hâlâ eski ActiveSync sürümlerini kullanan cihazların envanteri çıkarılmalı ve bu cihazlar güncellenmeli veya erişimleri engellenmelidir.

CVE-2025-58107, klasik bir “yama yayınlanır, kurulur, sorun çözülür” senaryosundan farklı bir zafiyet. Microsoft’un sorunu çözmeden kapatması, korumanın büyük ölçüde kurumların kendi yapılandırma ve ağ güvenliği önlemlerine bırakıldığı anlamına geliyor. Özellikle on-premises Exchange kullanan ve mobil cihaz senkronizasyonuna izin veren her kurum, ActiveSync yapılandırmalarını derhal gözden geçirmeli ve Basic Authentication’ın tamamen devre dışı olduğundan emin olmalıdır.

Sıkça Sorulan Sorular

Zafiyet, Microsoft Exchange ActiveSync protokolünü kullanan tüm Exchange Server sürümlerini etkiliyor. Özellikle on-premises ortamlar ve Basic Authentication’ın tam olarak devre dışı bırakılmadığı yapılandırmalar risk altında.

Hayır, Microsoft Güvenlik Yanıt Merkezi sorunu çözüm sağlamadan kapattı. CVE numarası MITRE’nin CNA of Last Resort mekanizması aracılığıyla atandı. Korunma, kurumların kendi yapılandırma önlemlerine bağlı.

Microsoft, 1 Mart 2026’dan itibaren Exchange Online’da eski ActiveSync sürümlerini engellemeye başladı. Ancak on-premises Exchange ortamlarında bu otomatik koruma mevcut değil ve manuel yapılandırma gerekiyor.

ActiveSync bağlantıları için TLS 1.2 veya üzerini zorunlu hale getirmek ve Basic Authentication’ı tamamen kapatarak Modern Authentication’a (OAuth 2.0) geçiş yapmak en acil adımlardır.

Araştırmacılar bazı Samsung cihazlarında sorunu gözlemledi ancak Samsung, bunun kendi istemcisindeki bir açık olmadığını, kullanımdan kaldırılmış protokolleri kullanan yapılandırmalardan kaynaklandığını belirtti.

Etiketler :

ActiveSyncBasic AuthenticationCVE-2025-58107Microsoft ExchangeSiber GüvenlikVeri Sızıntısı

Bir Yorum Yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Benzer Yazılar