Microsoft, sunucuların güvenliğini artırmak için yöneticilerin Exchange sunucuları için önceden önerilen bazı antivirüs dışlamalarını kaldırması gerektiğini söylüyor.
Şirketin açıkladığı gibi, Geçici ASP.NET Dosyaları ve Inetsrv klasörleri ile PowerShell ve w3wp işlemlerini hedefleyen hariç tutmalar artık kararlılığı veya performansı etkilemediği için gerekli değildir.
Ancak yöneticiler, kötü amaçlı yazılım dağıtmak için yapılan saldırılarda sıklıkla kötüye kullanıldıkları için bu konumları ve süreçleri taramaya özen göstermelidir.
Exchange Ekibi, “Bu dışlamaların sürdürülmesi, en yaygın güvenlik sorunlarını temsil eden IIS web kabuklarının ve arka kapı modüllerinin algılanmasını önleyebilir” dedi.
“En son Exchange Server güncellemelerini çalıştıran Exchange Server 2019’da Microsoft Defender kullanırken bu işlemleri ve klasörleri kaldırmanın performansı veya kararlılığı etkilemediğini doğruladık.”
Bu dışlamaları, Exchange Server 2016 ve Exchange Server 2013 çalıştıran sunuculardan da güvenle kaldırabilirsiniz, ancak bunları izlemeli ve ortaya çıkabilecek sorunları hafifletmeye hazır olmalısınız.
Dosya düzeyinde virüsten koruma tarayıcılarından kaldırılması gereken klasör ve işlem istisnalarının listesi şunları içerir:
%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
%SystemRoot%\System32\Inetsrv
%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe
%SystemRoot%\System32\inetsrv\w3wp.exe
Bu, tehdit aktörlerinin dünya çapında yama uygulanmamış Microsoft Exchange sunucularına arka kapı olarak girmek için kötü niyetli İnternet Bilgi Servisleri (IIS) web sunucusu uzantılarını ve modüllerini kullanmasından sonra gelir.
Benzer taktikler kullanan saldırılara karşı savunma yapmak için, Exchange sunucularınızı her zaman güncel tutmalı, kötü amaçlı yazılımdan koruma ve güvenlik çözümleri kullanmalı, IIS sanal dizinlerine erişimi kısıtlamalı, uyarılara öncelik vermeli ve yapılandırma dosyalarında ve bin klasörlerinde şüpheli dosyalar olup olmadığını düzenli olarak incelemelisiniz.
Redmond ayrıca son zamanlarda müşterilerini, acil durum güvenlik güncellemelerini dağıtmaya hazır hale getirmek için en son Toplu Güncellemeyi (CU) uygulayarak şirket içi Exchange sunucularını güncel tutmaya çağırdı.
Ayrıca, genel yapılandırma sorunlarını veya basit bir ortam yapılandırma değişikliğiyle giderilebilecek diğer sorunları algılamak için güncelleştirmeleri dağıttıktan sonra her zaman Exchange Server Sağlık Denetleyicisi komut dosyasını çalıştırmanız önerilir.
Shadowserver Foundation’daki güvenlik araştırmacılarının Ocak ayında keşfettiği gibi, İnternet’e maruz kalan on binlerce Microsoft Exchange sunucusu (o sırada 60.000’den fazla), ProxyNotShell açıklarından yararlanan saldırılara karşı hala savunmasız.
Shodan ayrıca, binlercesinin 2021’in en çok yararlanılan güvenlik açıklarından ikisi olan ProxyShell ve ProxyLogon açıklarını hedef alan saldırılara karşı savunmasız olduğu birçok Exchange sunucusunu da gösteriyor.