Microsoft, yöneticilerin, sunucuların güvenliğini artırmak için değişim sunucuları için daha önce önerilen bazı antivirüs istisnalarını kaldırması gerektiğini söyledi.
Şirketin açıkladığı gibi, geçici ASP.NET dosyalarını ve INETSRV klasörlerini ve PowerShell ve W3WP işlemlerini hedefleyen istisnalar, artık istikrar veya performansı etkilemedikleri için gerekli değildir.
Bununla birlikte, yöneticiler bu yerleri ve süreçleri taramaktan bir noktaya değinmelidir, çünkü genellikle kötü amaçlı yazılımları dağıtmak için saldırılarda istismar edilirler.
Değişim ekibi, "Bu istisnaların korunması, en yaygın güvenlik sorunlarını temsil eden IIS web kabuklarının ve arka kapı modüllerinin tespitini önleyebilir." Dedi.
"Bu işlemlerin ve klasörlerin kaldırılmasının, en son Exchange Server güncellemelerini çalıştıran Exchange Server 2019'da Microsoft Defender'ı kullanırken performans veya kararlılığı etkilemediğini doğruladık."
Bu istisnaları Sunucular Running Exchange Server 2016 ve Exchange Server 2013'ten güvenli bir şekilde kaldırabilirsiniz, ancak bunları izlemeli ve ortaya çıkabilecek sorunları azaltmaya hazır olmalısınız.
Dosya düzeyinde antivirüs tarayıcılarından kaldırılması gereken klasör ve işlem istisnalarının listesi şunları içerir:
Bu, tehdit aktörlerinin dünya çapında arka kapı dışı Microsoft Exchange sunucuları için kötü amaçlı İnternet Bilgi Hizmetleri (IIS) Web sunucusu uzantıları ve modüllerini kullandıktan sonra geliyor.
Benzer taktikleri kullanarak saldırılara karşı savunmak için, değişim sunucularınızı her zaman güncel tutmalı, kötü amaçlı yazılım ve güvenlik çözümleri kullanmalı, IIS sanal dizinlerine erişimi kısıtlamalı, uyarılara öncelik vermeli ve yapılandırma dosyalarını ve kutu klasörlerini şüpheli dosyalar için düzenli olarak incelemelisiniz.
Redmond ayrıca yakın zamanda müşterileri, acil durum güvenlik güncellemelerini dağıtmaya hazır hale getirmek için en son kümülatif güncellemeyi (CU) uygulayarak şirket içi değişim sunucularını güncel tutmaya çağırdı.
Ayrıca, ortak yapılandırma sorunlarını veya basit bir ortam yapılandırma değişikliğiyle düzeltilebilecek diğer sorunları tespit etmek için güncellemeleri dağıttıktan sonra Exchange Server Health Checker komut dosyasını daima çalıştırmanız önerilir.
Shadowserver Vakfı'ndaki güvenlik araştırmacılarının Ocak ayında bulduğu gibi, on binlerce internete maruz kalan Microsoft Exchange sunucuları (o zamanlar 60.000'den fazla) proxynotshell istismarlarından yararlanan saldırılara karşı hala savunmasız.
Shodan ayrıca çevrimiçi olarak maruz kalan birçok değişim sunucusunu gösteriyor ve binlerce kişi 2021'in en çok sömürülen güvenlik açıklarından ikisi olan Proxyshell ve Proxylogon kusurlarını hedefleyen saldırılara karşı savunmasız.
Proxynotshell saldırılarına karşı savunmasız 60.000'den fazla değişim sunucusu
BleepingComputer'ın 2022 En Popüler Teknoloji Hikayeleri
Microsoft, Powertoys ile Windows uygulamalarına "Düz Metin Olarak Yapıştır" getiriyor
Microsoft Edge'in yerleşik VPN desteği köşede
Bing sohbet tonlarını test etmek için Microsoft, daha uzun sohbet oturumlarına izin verir
Kaynak: Bleeping Computer