Microsoft cho biết quản trị viên nên loại bỏ một số loại trừ chống vi-rút được đề xuất trước đây cho máy chủ Exchange để tăng cường bảo mật cho máy chủ.
Như công ty đã giải thích, các loại trừ nhắm mục tiêu các tệp ASP.NET tạm thời và thư mục Inetsrv cũng như các quy trình PowerShell và w3wp là không bắt buộc vì chúng không còn ảnh hưởng đến tính ổn định hoặc hiệu suất.
Tuy nhiên, quản trị viên nên chú ý quét các vị trí và quy trình này vì chúng thường bị lạm dụng trong các cuộc tấn công nhằm triển khai phần mềm độc hại.
Nhóm Exchange cho biết : “Việc giữ các loại trừ này có thể ngăn chặn việc phát hiện các mô-đun webshell và cửa hậu IIS, vốn là những vấn đề bảo mật phổ biến nhất” .
“Chúng tôi đã xác thực rằng việc xóa các quy trình và thư mục này không ảnh hưởng đến hiệu suất hoặc độ ổn định khi sử dụng Bộ bảo vệ Microsoft trên Exchange Server 2019 chạy các bản cập nhật Exchange Server mới nhất.”
Bạn cũng có thể xóa các loại trừ này một cách an toàn khỏi các máy chủ đang chạy Exchange Server 2016 và Exchange Server 2013 nhưng bạn nên theo dõi chúng và sẵn sàng giảm thiểu mọi sự cố có thể xảy ra.
Danh sách loại trừ thư mục và quy trình cần được xóa khỏi trình quét chống vi-rút cấp tệp bao gồm:
%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files %SystemRoot%\System32\Inetsrv %SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe %SystemRoot%\System32\inetsrv\w3wp.exe
Điều này xảy ra sau khi các tác nhân đe dọa đã sử dụng các mô-đun và tiện ích mở rộng máy chủ web IIS độc hại để tạo cửa hậu cho các máy chủ Microsoft Exchange chưa được vá lỗi trên toàn thế giới.
Để chống lại các cuộc tấn công bằng các chiến thuật tương tự, bạn phải luôn cập nhật máy chủ Exchange của mình, sử dụng các giải pháp bảo mật và chống phần mềm độc hại, hạn chế quyền truy cập vào thư mục ảo IIS, ưu tiên cảnh báo và thường xuyên kiểm tra tệp cấu hình và thư mục bin để tìm tệp đáng ngờ.
Redmond gần đây cũng kêu gọi khách hàng luôn cập nhật các máy chủ Exchange tại chỗ bằng cách áp dụng Bản cập nhật tích lũy (CU) mới nhất để sẵn sàng triển khai các bản cập nhật bảo mật khẩn cấp.
Bạn cũng nên luôn chạy tập lệnh Trình kiểm tra tình trạng máy chủ Exchange sau khi triển khai các bản cập nhật để phát hiện các sự cố cấu hình phổ biến hoặc các sự cố khác có thể được khắc phục bằng thay đổi cấu hình môi trường đơn giản.
Như các nhà nghiên cứu bảo mật tại Shadowserver Foundation đã phát hiện vào tháng 1, hàng chục nghìn máy chủ Microsoft Exchange tiếp xúc với Internet (hơn 60.000 máy chủ vào thời điểm đó) vẫn dễ bị tấn công bằng cách tận dụng các khai thác ProxyNotShell.
Shodan cũng cho thấy nhiều máy chủ Exchange bị lộ trực tuyến , với hàng nghìn máy chủ trong số đó không có khả năng tự vệ trước các cuộc tấn công nhắm vào lỗ hổng ProxyShell và ProxyLogon, hai trong số các lỗ hổng bị khai thác nhiều nhất trong năm 2021 .
BC (An Toàn Thông Tin – CEH v12)
Trả lời