0
0
Servidores Microsoft Exchange na mira dos invasores
Os invasores cibernéticos adoram atingir os servidores Microsoft Exchange, geralmente por meio de vulnerabilidades de dia zero , mas também por meio de vulnerabilidades conhecidas .
Os servidores Microsoft Exchange são servidores de e-mail, portanto, eles armazenam muitas informações corporativas confidenciais, incluindo informações sobre funcionários que podem ser exploradas para montar ataques de spear phishing. Além disso, como apontou a equipe do Exchange, “o Exchange possui conexões e permissões profundas no Active Directory e, em um ambiente híbrido, acesso ao ambiente de nuvem conectado”.
Quais exclusões você deve remover?
A Microsoft incentiva o uso de software antivírus (Microsoft Defender) em servidores Microsoft Exchange – se alguns diretórios, processos e extensões de nome de arquivo forem excluídos da verificação.
“O maior problema potencial é que um programa antivírus do Windows pode bloquear ou colocar em quarentena um arquivo de log aberto ou arquivo de banco de dados que o Exchange precisa modificar. Isso pode causar falhas graves no Exchange Server e também pode gerar erros de log de eventos 1018. Portanto, excluir esses arquivos da verificação do antivírus do Windows é muito importante”, explica a empresa.
As exclusões devem ser configuradas para verificação residente na memória e em nível de arquivo.
A lista é longa, mas a partir de agora não contém:
- Os arquivos ASP.NET temporários e as pastas Inetsrv ( %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Arquivos ASP.NET temporários e %SystemRoot%\System32\Inetsrv )
- Os processos Powershell e w3wp ( %SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe e %SystemRoot%\System32\inetsrv\w3wp.exe )
O cenário de segurança cibernética mudou, observou a Microsoft, e “manter essas exclusões pode impedir a detecção de webshells IIS e módulos backdoor , que representam os problemas de segurança mais comuns”.
Webshells e backdoors fornecem aos invasores acesso remoto (persistente) e recursos de execução de código no servidor.
A remoção das exclusões não deve levar a problemas de estabilidade no Exchange Server 2019, 2016 e 2013, mas se surgirem, eles podem ser colocados de volta no lugar.
FONTE: HELPNET SECURITY