Microsoft insta a admin de Exchange a eliminar algunas exclusiones de antivirus

Iniciado por AXCESS, Febrero 24, 2023, 05:04:55 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 24, 2023, 05:04:55 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft dice que los administradores deben eliminar algunas exclusiones de antivirus recomendadas anteriormente para los servidores de Exchange para aumentar la seguridad de los servidores.

Como explicó la compañía, no se requieren exclusiones dirigidas a los archivos temporales de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y las carpetas Inetsrv y los procesos de PowerShell y w3wp, ya que ya no afectan la estabilidad ni el rendimiento.

Sin embargo, los administradores deben hacer hincapié en escanear estas ubicaciones y procesos porque a menudo se abusa de ellos en los ataques para implementar malware.

"Mantener estas exclusiones puede evitar la detección de webshells de IIS y módulos de puerta trasera, que representan los problemas de seguridad más comunes", dijo el equipo de Exchange.

"Hemos validado que la eliminación de estos procesos y carpetas no afecta el rendimiento ni la estabilidad cuando se usa Microsoft Defender en Exchange Server 2019 con las últimas actualizaciones de Exchange Server".

También puede eliminar de manera segura estas exclusiones de los servidores que ejecutan Exchange Server 2016 y Exchange Server 2013, pero debe monitorearlas y estar preparado para mitigar cualquier problema que pueda surgir.

La lista de exclusiones de carpetas y procesos que deben eliminarse de los escáneres antivirus a nivel de archivo incluye:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Esto se produce después de que los actores de amenazas hayan estado utilizando extensiones y módulos de servidor web maliciosos de Internet Information Services (IIS) para servidores de Microsoft Exchange sin parches de puerta trasera en todo el mundo.

Para defenderse de los ataques que usan tácticas similares, siempre debe mantener sus servidores de Exchange actualizados, usar soluciones antimalware y de seguridad, restringir el acceso a los directorios virtuales de IIS, priorizar alertas e inspeccionar periódicamente los archivos de configuración y las carpetas bin en busca de archivos sospechosos.

Redmond también instó recientemente a los clientes a mantener actualizados los servidores de Exchange locales mediante la aplicación de la Actualización acumulativa (CU) más reciente para tenerlos listos para implementar actualizaciones de seguridad de emergencia.

También se recomienda ejecutar siempre la secuencia de comandos de Exchange Server Health Checker después de implementar actualizaciones para detectar problemas de configuración comunes u otros problemas que se pueden solucionar con un simple cambio de configuración del entorno.

Como descubrieron los investigadores de seguridad de la Shadowserver Foundation en enero, decenas de miles de servidores Microsoft Exchange expuestos a Internet (más de 60 000 en ese momento) siguen siendo vulnerables a los ataques que aprovechan las vulnerabilidades de ProxyNotShell.

Shodan también muestra muchos servidores de Exchange expuestos en línea, con miles de ellos indefensos contra los ataques dirigidos a las fallas ProxyShell y ProxyLogon, dos de las vulnerabilidades más explotadas de 2022.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario