اخبار فناوری

مایکروسافت از مدیران Exchange می خواهد برخی از استثناهای آنتی ویروس خود را حذف کنند

مایکروسافت از مدیران Exchange می خواهد برخی از استثناهای آنتی ویروس خود را حذف کنند

مایکروسافت بیان می کند که مدیران باید برخی از استثناهای آنتی ویروس را که قبلا برای سرورهای Exchange توصیه شده بود را حذف کنند تا امنیت سرورها را افزایش دهند. همانطور که شرکت توضیح داد، استثناهایی که فایل های موقت ASP.NET و پوشه های Inetsrv و فرایندهای PowerShell و w3wp را هدف قرار می‌دهند مورد نیاز نیستند زیرا دیگر بر پایداری یا عملکرد تاثیر نمی گذارند.

با این حال مدیران باید به اسکن این مکان ها و فرایندها توجه کنند زیرا اغلب در حملات برای تعبیه بدافزارها مورد استفاده قرار می گیرند.

تیم Exchange بیان کرد: نگهداری این استثناها ممکن است از شناسایی پوسته های وب IIS و ماژول های بکدورکه نشان دهنده رایج ترین مشکلات امنیتی هستند جلوگیری کند. ما تأیید می کنیم که حذف این فرآیندها و پوشه‌ها بر عملکرد یا پایداری (هنگام استفاده از Microsoft Defender در Exchange Server 2019 که آخرین به‌روزرسانی‌های Exchange Server را اجرا می‌کند) تأثیر نمی‌گذارد.

همچنین می‌توانید با خیال راحت این موارد استثنا را از سرورهایی که Exchange Server 2016 و Exchange Server 2013 دارند حذف کنید، اما باید آنها را زیر نظر داشته باشید و آماده باشید تا هرگونه مشکلی که ممکن است پیش بیاید را کاهش دهید.

لیستی از پوشه ها و فرایندهایی که باید از اسکنرهای آنتی ویروس سطح فایل باید حذف شوند شامل موارد زیر است:

%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files

%SystemRoot%\System32\Inetsrv

%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe

%SystemRoot%\System32\inetsrv\w3wp.exe

این امر پس از آن صورت می گیرد که عوامل تهید از افزونه ها و ماژول های سرور وب سرویس های اطلاعات مخرب اینترنتی (IIS) برای بکدور سرورهای Microsoft Exchange پچ نشده در سراسر جهان استفاده می کنند.

برای دفاع در برابر حملات با استفاده از تاکتیک های مشابه، همیشه باید سرورهای Exchange خود را به روز نگه دارید، از راه حل های آنتی بدافزار و امنیتی استفاده کنید، دسترسی به دایرکتورهای مجازی IIS را محدود کنید، هشدارها را اولیت بندی کنید و به طور منظم فایل های پیکربندی و پوشه های Bin را برای فایل های مشکوک بازرسی کنید.

همچنین گفته شده است که سرورهای Exchange را با جدیدترین بروزرسانی های تجمعی (CU) به روز نگه دارید و پس از استقرار بروزرسانی ها اسکریپت Exchange Server Health Checker را اجرا کنید تا مشکلات رایج پیکربندی یا سایر مشکلاتی را که می‌توان با یک تغییر پیکربندی ساده محیط برطرف کرد، شناسایی کنید.

همانطور که محققان امنیتی در موسسه Shadowserver دریافتند، ده‌ها هزار سرور مایکروسافت اکسچنج که در معرض اینترنت قرار دارند هنوز در برابر حملات استفاده از اکسپلویت‌های ProxyNotShell آسیب‌پذیر هستند.

Shodan همچنین بسیاری از سرورهای Exchange را به صورت آنلاین نشان می دهد که هزاران مورد از آنها در برابر حملاتی که نقص های ProxyShell و ProxyLogon را هدف قرار می دهند آسیب پذیر هستند.

منبع خبر: bleepingcomputer