Geçen ay Exchange sunucularını güncel tutmanın önemini vurguladıktan sonra Microsoft, yöneticilere bu sunucularda antivirüs taramasının kapsamını genişletmelerini tavsiye ediyor.
Saldırganların hedefindeki Microsoft Exchange sunucuları
Siber saldırganlar, Microsoft Exchange sunucularını genellikle sıfır gün güvenlik açıkları aracılığıyla ve aynı zamanda bilinen güvenlik açıkları aracılığıyla hedeflemeyi severler.
Microsoft Exchange sunucuları posta sunucularıdır, bu nedenle hedefli kimlik avı saldırıları düzenlemek için kullanılabilecek çalışanlar hakkında bilgiler de dahil olmak üzere birçok hassas kurumsal bilgiyi barındırırlar. Ayrıca, Exchange ekibinin de belirttiği gibi, “Exchange, Active Directory içinde derin bağlantılara ve izinlere ve hibrit bir ortamda, bağlı bulut ortamına erişime sahiptir.”
Hangi istisnaları kaldırmalısınız?
Microsoft, bazı dizinler, işlemler ve dosya adı uzantıları tarama dışında bırakılırsa, Microsoft Exchange sunucularında virüsten koruma yazılımının (Microsoft Defender) kullanılmasını teşvik eder.
“En büyük olası sorun, bir Windows virüsten koruma programının Exchange’in değiştirmesi gereken açık bir günlük dosyasını veya veritabanı dosyasını kilitleyebilmesi veya karantinaya alabilmesidir. Bu, Exchange Server’da ciddi hatalara neden olabilir ve ayrıca 1018 olay günlüğü hatası oluşturabilir. Bu nedenle, bu dosyaların Windows antivirüs programı tarafından taranmaması çok önemlidir” diye açıklıyor şirket.
İstisnalar, hem bellekte yerleşik hem de dosya düzeyinde tarama için yapılandırılmalıdır.
Liste uzun ama bundan sonra şunları içermiyor:
- Geçici ASP.NET Dosyaları ve Inetsrv klasörleri (%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Geçici ASP.NET Dosyaları Ve %SystemRoot%\System32\Inetsrv)
- Powershell ve w3wp işlemleri (%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe Ve %SystemRoot%\System32\inetsrv\w3wp.exe)
Microsoft, siber güvenlik ortamının değiştiğini ve “bu dışlamaların sürdürülmesi, en yaygın güvenlik sorunlarını temsil eden IIS web kabuklarının ve arka kapı modüllerinin algılanmasını önleyebilir” dedi.
Web kabukları ve arka kapılar, saldırganlara sunucuya (sürekli) uzaktan erişim ve sunucuda kod yürütme yetenekleri sağlar.
İstisnaların kaldırılması Exchange Server 2019, 2016 ve 2013’te kararlılık sorunlarına yol açmamalıdır, ancak ortaya çıkarsa bunlar tekrar yerine konulabilir.