マイクロソフトは、サーバーのセキュリティを強化するために、管理者が以前に推奨されたExchange サーバーのウイルス対策の除外をいくつか削除する必要があると述べています。
同社が説明したように、Temporary ASP.NET Files と Inetsrv フォルダー、および PowerShell と w3wp プロセスを対象とする除外は、安定性やパフォーマンスに影響を与えなくなったため不要です。
ただし、これらの場所とプロセスは、マルウェアを展開する攻撃で悪用されることが多いため、管理者はこれらの場所とプロセスをスキャンすることを強調する必要があります。
「これらの除外を維持すると、最も一般的なセキュリティ問題を表す IIS ウェブシェルとバックドア モジュールの検出を防ぐことができます」と、Exchange チームは述べています。
「最新の Exchange Server 更新プログラムを実行している Exchange Server 2019 で Microsoft Defender を使用している場合、これらのプロセスとフォルダーを削除しても、パフォーマンスや安定性に影響がないことを確認しました。」
Exchange Server 2016 および Exchange Server 2013 を実行しているサーバーからこれらの除外を安全に削除することもできますが、それらを監視し、発生する可能性のある問題を軽減する準備をする必要があります。
ファイル レベルのウイルス対策スキャナーから削除する必要があるフォルダーとプロセスの除外リストには、次のものが含まれます。
%SystemRoot%Microsoft.NETFramework64v4.0.30319Temporary ASP.NET Files %SystemRoot%System32Inetsrv %SystemRoot%System32WindowsPowerShellv1.0PowerShell.exe %SystemRoot%System32inetsrvw3wp.exeこれは、攻撃者が悪意のあるインターネット インフォメーション サービス (IIS) Web サーバー拡張機能とモジュールを使用して、パッチが適用されていない世界中の Microsoft Exchange サーバーにバックドアを仕掛けた後に発生しました。
同様の戦術を使用して攻撃を防御するには、Exchange サーバーを常に最新の状態に保ち、マルウェア対策とセキュリティ ソリューションを使用し、IIS 仮想ディレクトリへのアクセスを制限し、アラートに優先順位を付け、疑わしいファイルがないか構成ファイルと bin フォルダーを定期的に検査する必要があります。
レドモンドはまた最近、最新の累積更新プログラム (CU) を適用してオンプレミスの Exchange サーバーを最新の状態に保ち、緊急のセキュリティ更新プログラムを展開する準備を整えるよう顧客に促しました。
また、更新プログラムを展開した後は常にExchange Server ヘルス チェッカー スクリプトを実行して、一般的な構成の問題や、単純な環境構成の変更で修正できるその他の問題を検出することもお勧めします。
Shadowserver Foundation のセキュリティ研究者が 1 月に発見したように、インターネットに公開されている数万台の Microsoft Exchange サーバー (当時は 60,000 台以上) が、ProxyNotShell エクスプロイトを利用した攻撃に対して依然として脆弱です。
Shodan はまた、多くのExchange サーバーがオンラインで公開されていることを示しており、 2021 年に最も悪用された脆弱性の 2 つである ProxyShell および ProxyLogon の欠陥を標的とする攻撃に対して、何千ものサーバーが無防備になっています。
Comments