مایکروسافت بیان می کند که مدیران باید برخی از استثناهای آنتی ویروس را که قبلا برای سرورهای Exchange توصیه شده بود را حذف کنند تا امنیت سرورها را افزایش دهند. همانطور که شرکت توضیح داد، استثناهایی که فایل های موقت ASP.NET و پوشه های Inetsrv و فرایندهای PowerShell و w3wp را هدف قرار میدهند مورد نیاز نیستند زیرا دیگر بر پایداری یا عملکرد تاثیر نمی گذارند.
با این حال مدیران باید به اسکن این مکان ها و فرایندها توجه کنند زیرا اغلب در حملات برای تعبیه بدافزارها مورد استفاده قرار می گیرند.
تیم Exchange بیان کرد: نگهداری این استثناها ممکن است از شناسایی پوسته های وب IIS و ماژول های بکدورکه نشان دهنده رایج ترین مشکلات امنیتی هستند جلوگیری کند. ما تأیید می کنیم که حذف این فرآیندها و پوشهها بر عملکرد یا پایداری (هنگام استفاده از Microsoft Defender در Exchange Server 2019 که آخرین بهروزرسانیهای Exchange Server را اجرا میکند) تأثیر نمیگذارد.
همچنین میتوانید با خیال راحت این موارد استثنا را از سرورهایی که Exchange Server 2016 و Exchange Server 2013 دارند حذف کنید، اما باید آنها را زیر نظر داشته باشید و آماده باشید تا هرگونه مشکلی که ممکن است پیش بیاید را کاهش دهید.
لیستی از پوشه ها و فرایندهایی که باید از اسکنرهای آنتی ویروس سطح فایل باید حذف شوند شامل موارد زیر است:
%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
%SystemRoot%\System32\Inetsrv
%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe
%SystemRoot%\System32\inetsrv\w3wp.exe
این امر پس از آن صورت می گیرد که عوامل تهید از افزونه ها و ماژول های سرور وب سرویس های اطلاعات مخرب اینترنتی (IIS) برای بکدور سرورهای Microsoft Exchange پچ نشده در سراسر جهان استفاده می کنند.
برای دفاع در برابر حملات با استفاده از تاکتیک های مشابه، همیشه باید سرورهای Exchange خود را به روز نگه دارید، از راه حل های آنتی بدافزار و امنیتی استفاده کنید، دسترسی به دایرکتورهای مجازی IIS را محدود کنید، هشدارها را اولیت بندی کنید و به طور منظم فایل های پیکربندی و پوشه های Bin را برای فایل های مشکوک بازرسی کنید.
همچنین گفته شده است که سرورهای Exchange را با جدیدترین بروزرسانی های تجمعی (CU) به روز نگه دارید و پس از استقرار بروزرسانی ها اسکریپت Exchange Server Health Checker را اجرا کنید تا مشکلات رایج پیکربندی یا سایر مشکلاتی را که میتوان با یک تغییر پیکربندی ساده محیط برطرف کرد، شناسایی کنید.
همانطور که محققان امنیتی در موسسه Shadowserver دریافتند، دهها هزار سرور مایکروسافت اکسچنج که در معرض اینترنت قرار دارند هنوز در برابر حملات استفاده از اکسپلویتهای ProxyNotShell آسیبپذیر هستند.
Shodan همچنین بسیاری از سرورهای Exchange را به صورت آنلاین نشان می دهد که هزاران مورد از آنها در برابر حملاتی که نقص های ProxyShell و ProxyLogon را هدف قرار می دهند آسیب پذیر هستند.
منبع خبر: bleepingcomputer