A Microsoft diz que os administradores devem remover algumas exclusões de antivírus recomendadas anteriormente para servidores Exchange. De acordo com a empresa, essa prática aumentará a segurança dos servidores.
Microsoft recomenda remoção de algumas exclusões de antivírus de servidores Exchange
De acordo com a Microsoft, as exclusões direcionadas aos arquivos temporários ASP.NET e às pastas Inetsrv e aos processos PowerShell e w3wp não são necessárias, pois não afetam mais a estabilidade ou o desempenho. No entanto, os administradores devem verificar esses locais e processos porque eles costumam ser abusados em ataques para implantar malware.
De acordo com a equipe do Exchange, “manter essas exclusões pode impedir a detecção de webshells IIS e módulos backdoor, que representam os problemas de segurança mais comuns.
Confirmamos que a remoção desses processos e pastas não afeta o desempenho ou a estabilidade ao usar o Microsoft Defender no Exchange Server 2019 executando as atualizações mais recentes do Exchange Server.
Você também pode remover com segurança essas exclusões de servidores que executam o Exchange Server 2016 e o Exchange Server 2013, mas você deve monitorá-los e estar pronto para mitigar quaisquer problemas que possam surgir.
Lista de exclusões
A lista de exclusões de pastas e processos que devem ser removidas dos verificadores antivírus em nível de arquivo inclui:
- %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
- %SystemRoot%\System32\Inetsrv
- %SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe
- %SystemRoot%\System32\inetsrv\w3wp.exe
Essa decisão foi tomada em função de que os agentes de ameaças têm usado extensões e módulos de servidor da Web mal-intencionados do Internet Information Services (IIS) para backdoor servidores Microsoft Exchange não corrigidos em todo o mundo. Assim, para se defender contra ataques usando táticas semelhantes, você deve sempre manter seus servidores Exchange atualizados, usar antimalware e soluções de segurança, restringir o acesso a diretórios virtuais do IIS, priorizar alertas e inspecionar regularmente arquivos de configuração e pastas bin em busca de arquivos suspeitos.
A Microsoft também pediu recentemente aos clientes que mantenham os servidores Exchange locais atualizados, aplicando a atualização cumulativa (CU) mais recente para prepará-los para implantar atualizações de segurança de emergência. Além disso, também é recomendável sempre executar o script Exchange Server Health Checker após a implantação de atualizações para detectar problemas comuns de configuração ou outros problemas que podem ser corrigidos com uma simples alteração na configuração do ambiente.
Como pesquisadores de segurança da Shadowserver Foundation descobriram em janeiro (Via: Bleeping Computer), dezenas de milhares de servidores Microsoft Exchange expostos à Internet (mais de 60.000 na época) ainda são vulneráveis a ataques que aproveitam as explorações do ProxyNotShell.
Há muitos servidores Exchange expostos online, com milhares deles indefesos contra ataques direcionados às falhas ProxyShell e ProxyLogon, duas das vulnerabilidades mais exploradas de 2021.