Algunas carpetas y procesos de Microsoft Exchange, que la empresa sugirió anteriormente que se excluyeran del antivirus (se abre en una pestaña nueva) los escaneos por razones de estabilidad, ya no deberían ser excluidos, ha anunciado.
Al explicar el cambio de opinión, Microsoft dijo que los procesos ya no afectan la estabilidad o el rendimiento de los servidores de Exchange, y agregó que incluso podría ser beneficioso ya que algunos actores de amenazas también podrían tener puertas traseras ocultas allí.
Algunos de los procesos y carpetas incluyen archivos ASP.NET temporales, carpetas Inetsrv, así como los procesos de PowerShell y w3wp.
No excluir más
«Mantener estas exclusiones puede evitar la detección de webshells de IIS y módulos de puerta trasera, que representan los problemas de seguridad más comunes», dijo el equipo de Exchange. «Hemos validado que la eliminación de estos procesos y carpetas no afecta el rendimiento ni la estabilidad cuando se usa Microsoft Defender en Exchange Server 2019 con las últimas actualizaciones de Exchange Server».
Las nuevas recomendaciones afectan a Exchange Server 2016 y Exchange Server 2013. Sin embargo, Microsoft agregó que los equipos de TI deben monitorear estos procesos en caso de que algo salga mal.
Aquí hay una lista completa de exclusiones que ya no son necesarias:
- %SystemRoot%Microsoft.NETFramework64v4.0.30319Archivos ASP.NET temporales
- %SystemRoot%System32Inetsrv
- %SystemRoot%System32WindowsPowerShellv1.0PowerShell.exe
- %SystemRoot%System32inetsrvw3wp.exe
Se ha observado que los actores de amenazas utilizan módulos y extensiones de servidor web maliciosos de Internet Information Services (IIS) para agregar puertas traseras a servidores de Microsoft Exchange sin parches.
La mejor manera de mantenerse seguro es aplicar siempre los últimos parches y actualizaciones de Exchange, usar programas antivirus, restringir el acceso a los directorios virtuales de IIS, priorizar alertas e inspeccionar constantemente los archivos de configuración y las carpetas bin en busca de archivos sospechosos, agregó la publicación.
Finalmente, los equipos de TI siempre deben ejecutar la secuencia de comandos de Exchange Server Health Checker después de las actualizaciones, para abordar cualquier posible problema de configuración incorrecta.
Los servidores de Exchange son uno de los objetivos más populares para los ciberdelincuentes en todo el mundo, ya que a menudo están desprotegidos o mal configurados. Al mismo tiempo, muchos ofrecen un verdadero tesoro de información confidencial que puede venderse en el mercado negro o usarse como palanca en una negociación de rescate.
Vía: BleepingComputer (se abre en una pestaña nueva)