Certains dossiers et processus Microsoft Exchange, que la société a précédemment suggéré d’exclure de l’antivirus (s’ouvre dans un nouvel onglet) scans pour des raisons de stabilité, ne devraient plus être exclus, a-t-il annoncé.
Expliquant le changement d’avis, Microsoft a déclaré que les processus n’affectaient plus la stabilité ou les performances des serveurs Exchange, ajoutant que cela pourrait même être bénéfique car certains acteurs de la menace pourraient également y avoir caché des portes dérobées.
Certains processus et dossiers incluent des fichiers ASP.NET temporaires, des dossiers Inetsrv, ainsi que les processus PowerShell et w3wp.
Ne plus exclure
« Le maintien de ces exclusions peut empêcher les détections des webshells IIS et des modules de porte dérobée, qui représentent les problèmes de sécurité les plus courants », a déclaré l’équipe Exchange. « Nous avons validé que la suppression de ces processus et dossiers n’affecte pas les performances ou la stabilité lors de l’utilisation de Microsoft Defender sur Exchange Server 2019 exécutant les dernières mises à jour d’Exchange Server. »
Les nouvelles recommandations concernent Exchange Server 2016 et Exchange Server 2013. Cependant, Microsoft a ajouté que les équipes informatiques devraient surveiller ces processus au cas où quelque chose tournerait mal.
Voici une liste complète des exclusions devenues inutiles :
- %SystemRoot%Microsoft.NETFramework64v4.0.30319Fichiers ASP.NET temporaires
- %SystemRoot%System32Inetsrv
- %SystemRoot%System32WindowsPowerShellv1.0PowerShell.exe
- %SystemRoot%System32inetsrvw3wp.exe
Des pirates ont été observés en train d’utiliser des extensions et des modules malveillants de serveur Web IIS (Internet Information Services) pour ajouter des portes dérobées aux serveurs Microsoft Exchange non corrigés.
La meilleure façon de rester en sécurité est de toujours appliquer les derniers correctifs et mises à jour Exchange, d’utiliser des programmes antivirus, de restreindre l’accès aux répertoires virtuels IIS, de hiérarchiser les alertes et d’inspecter en permanence les fichiers de configuration et les dossiers bin pour détecter tout fichier suspect, a ajouté la publication.
Enfin, les équipes informatiques doivent toujours exécuter le script Exchange Server Health Checker après les mises à jour, afin de résoudre les éventuels problèmes de mauvaise configuration.
Les serveurs Exchange sont l’une des cibles les plus populaires pour les cybercriminels dans le monde, car ils sont souvent non protégés ou mal configurés. Dans le même temps, beaucoup offrent un véritable trésor d’informations sensibles qui peuvent être vendues sur le marché noir ou utilisées comme levier dans une négociation de rançon.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)