Şirketin daha önce önerdiği bazı Microsoft Exchange klasörleri ve işlemleri, antivirüs yazılımının dışında bırakılmasını önerdi. (yeni sekmede açılır) kararlılık nedeniyle taramaların artık dışlanmaması gerektiğini duyurdu.
Fikir değişikliğini açıklayan Microsoft, süreçlerin artık Exchange sunucularının kararlılığını veya performansını etkilemediğini, hatta bazı tehdit aktörlerinin orada gizli arka kapılar olabileceği için bunun yararlı olabileceğini de sözlerine ekledi.
İşlemlerden ve klasörlerden bazıları, Geçici ASP.NET dosyalarını, Inetsrv klasörlerini ve ayrıca PowerShell ve w3wp işlemlerini içerir.
Artık hariç tutma
Exchange Ekibi, “Bu dışlamaların sürdürülmesi, en yaygın güvenlik sorunlarını temsil eden IIS web kabuklarının ve arka kapı modüllerinin algılanmasını önleyebilir” dedi. “En son Exchange Server güncellemelerini çalıştıran Exchange Server 2019’da Microsoft Defender kullanırken bu işlemleri ve klasörleri kaldırmanın performansı veya kararlılığı etkilemediğini doğruladık.”
Yeni öneriler Exchange Server 2016 ve Exchange Server 2013’ü etkiliyor. Ancak Microsoft, herhangi bir terslik olması durumunda BT ekiplerinin bu süreçleri izlemesi gerektiğini de sözlerine ekledi.
Artık gerekli olmayan hariç tutmaların tam listesi:
%SystemRoot%Microsoft.NETFramework64v4.0.30319Geçici ASP.NET Dosyaları
%SystemRoot%System32Inetsrv
%SystemRoot%System32WindowsPowerShellv1.0PowerShell.exe
%SystemRoot%System32inetsrvw3wp.exe
Tehdit aktörlerinin, yama uygulanmamış Microsoft Exchange sunucularına arka kapılar eklemek için kötü niyetli İnternet Bilgi Servisleri (IIS) web sunucusu uzantılarını ve modüllerini kullandığı gözlemlenmiştir.
Güvende kalmanın en iyi yolu, her zaman en son Exchange yamalarını ve güncellemelerini uygulamak, virüsten koruma programları kullanmak, IIS sanal dizinlerine erişimi kısıtlamak, uyarılara öncelik vermek ve şüpheli dosyalar için yapılandırma dosyalarını ve bin klasörlerini sürekli olarak incelemektir.
Son olarak, BT ekipleri olası yanlış yapılandırma sorunlarını gidermek için güncellemelerden sonra her zaman Exchange Server Sağlık Denetleyicisi komut dosyasını çalıştırmalıdır.
Exchange Sunucuları, genellikle korumasız oldukları veya yanlış yapılandırıldıkları için dünya çapında siber suçlular için en popüler hedeflerden biridir. Aynı zamanda, çoğu, karaborsada satılabilecek veya bir fidye müzakeresinde kaldıraç olarak kullanılabilecek gerçek bir hassas bilgi hazinesi sunuyor.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
