مایکروسافت اعلام کرد که برخی استثنائات آنتی ویروس که قبلا برای سرورهای Exchange اعلام شده بود را حذف نموده تا امنیت سرور تقویت شود.
طبق توضیحات مایکروسافت، استثناهایی که فایلهای موقت ASP.NET و پوشههای Inetsrv و فرآیندهای PowerShell و w3wp را هدف قرار میدهند، ضروری نیستند و از آنجا که بر پایداری یا عملکرد تأثیر نمیگذارند قابلیت حذف دارند.
با این حال، مدیران محصول حتما به اسکن فایل و فرآیندها توجه ویژه داشته باشند، زیرا در اغلب حملات برای استقرار بدافزار مورد سوء استفاده قرار میگیرند.
نگه داشتن این استثنائات ممکن است از شناسایی ماژولهای Backdoor و IIS پوسته وب جلوگیری کند و باعث ایجاد مسائل امنیتی زیادی شود.
این شرکت اعلام کرده که حذف این فرآیند و فولدرها از استثنائات، اثری بر کارایی و ثبات سرور Exchange 2019 و اجرای آپدیتها نخواهد داشت. می توانید به صورت امن این استثنائات را از سرورهای Exchange 2016 و 2013 هم حذف کنید، اما باید حتما بر روی آنها نظارت و دقت کافی داشته باشید.
لیست این فولدر و فرایندهای مستثنی شده که باید از اسکنر آنتی ویروس های حذف شوند در زیر آمده است:
%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
%SystemRoot%\System32\Inetsrv
%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe
%SystemRoot%\System32\inetsrv\w3wp.exe
برای حفاظت در برابر حملات باید همیشه سرورهای Exchange خود را به روز رسانی نمایید، از راهکارهای امنیتی و ضدبدافزاری معتبر استفاده نمایید، دسترسی به دایرکتوری های مجازی IIS را محدود کرده، هشدارها را اولویت بندی کرده و به صورت منظم تنظیمات فایل ها و فولدرها را مورد بررسی قرارداده و بازبینی کنید.
همچنین توصیه شده است که سرورهای Exchange On-premises خود را از طریق اعمال آخرین CUها به روز نگه داشته تا برای دریافت آپدیت های امنیتی اضطراری آماده باشند و همیشه اسکریپت Exchange Server Health Checker را بعد از اعمال آپدیتها اجرا کرده تا مشکلات تنظیمات رایج شناسایی شود و بتوان آنها را رفع کرد.
همانطور که در خبرهای قبلی نیز گفته شد، هنوز حدود 60.000 سرور Exchange آسیب پذیر در سراسر جهان وجود دارد و بهتر است پیش از هر اتفاقی اقدامات پیشگیرانه انجام شود.
منبع: https://www.bleepingcomputer.com
