A Microsoft frissítette az Exchange antivírus kizárási listára vonatkozó ajánlását

A Microsoft blogján arról ír, hogy a rendszergazdáknak javasolt törölni a Temporary ASP.NET fájlokat, az Inetsrv mappákat, valamint a PowerShell és a w3wp folyamatokat a vírusirtó rendszereken keresztül futtatandó fájlok és mappák kizárási listájáról. Ezeknek az objektumoknak a vizsgálata segít az olyan fenyegetések elhárításában, mint az IIS webshellek és egyes backdoor modulok. Az Exchange Team szerint az említett objektumok eltávolítása a kizárási listáról tovább növeli az Exchange Server biztonságát.

A kizárási listán sok objektum található, amelyek azért kerülnek fel rá, mert a vírusirtó rendszer általi átvizsgálásuk teljesítményproblémákat, hibákat vagy akár rendszerösszeomlást is okozhat. “A legnagyobb potenciális probléma az, hogy a Windows vírusirtó program zárolhat vagy karanténba helyezhet egy nyitott naplófájlt vagy adatbázisfájlt, amelyet az Exchangenek módosítania kell” – írta a Microsoft. Emellett nem képesek felismerni az olyan fenyegetéseket, mint az e-mailben terjesztett vírusok, rosszindulatú programok és spamek, vagyis nem tudják helyettesíteni az e-mail alapú védelmi eszközöket.

Ez jó hír azoknak a felhasználóknak, akik Exchange Servert használnak, mivel egyre népszerűbb célpontjává válnak a kiberbűnözőknek, tekintettel a rendszerekben tárolt nagy mennyiségű kritikus adatra (vállalati postafiókokok és címjegyzékek, amelyek hasznosak lehetnek az adathalász- és hasonló támadásokban). Az Exchange az Active Directoryban lévő jogosultságokkal és a vállalathoz kapcsolódó felhőkörnyezetekhez való hozzáférést érintő adatokkal is rendelkezik.

A tech óriás szerint az említett procedúra nem befolyásolja a szerver stabilitását és teljesítményét, ha a Microsoft Defendert az Exchange Server 2019-en használják, és a legújabb Exchange szerverfrissítéseket futtatják. A metódus végrehajtható a 2016-os és 2013-as rendszereken is (ezek 2023 áprilisban érik el a támogatás végét).

A Microsoft azt javasolja, hogy amennyiben a víruskeresés futtatásakor ezeken a rendszereken a kizárások eltávolításával problémák merülnek fel, a rendszergazdáknak vissza kell azokat helyezniük és jelenteniük kell a hibákat a Microsoftnak.

Redmond 2022 novemberében két ProxyNotShell hibát javított, amelyek közül az egyik egy távoli kódfuttatási (RCE) hiba, a másik pedig egy server side request forgery (SSRF) hiba volt. 2021 márciusában a vállalat olyan javításokat adott ki, amely négy nulladik napi sebezhetőséget javított (pl. ProxyLogon).

(theregister.com)