Forrás: nki.gov.hu
A Microsoft blogja azt javasolja, hogy a rendszergazdák töröljék az átmeneti ASP.NET fájlokat, az Inetsrv mappákat, valamint a PowerShell és a w3wp folyamatokat a vírusirtó rendszereken keresztül futtatandó fájlok és mappák kizárási listájáról, hogy növeljék az IIS webshellek és bizonyos backdoor modulok elleni védelmet. Az Exchange Team szerint az említett objektumok eltávolítása a kizárási listáról tovább növeli az Exchange Server biztonságát.
Az ASP.NET fájlok átmeneti fájlok, amelyeket az IIS (Internet Information Services) webkiszolgáló használ az ASP.NET alkalmazások futtatásához. Az Inetsrv mappa tartalmazza az IIS telepítésének részét képező számos fájlt és rendszerfontosságú konfigurációs információkat. A PowerShell és a w3wp folyamatok pedig az IIS és az Exchange Server részét képezik.
Az IIS webshell egy olyan rosszindulatú kód, amely lehetővé teszi a támadók számára a webhelyekhez való illegális hozzáférést, és lehetővé teszi a rendszer visszahívását. Az IIS webshellek gyakran kihasználják az ASP.NET fájlokat és az Inetsrv mappát. Az Exchange Server egy másik fontos rendszer, amelyet az üzleti környezetekben gyakran használnak e-mail-szolgáltatásokhoz.
Az említett objektumok kizárása a vírusirtó rendszereken keresztül futtatandó fájlok és mappák kizárási listájáról segít megakadályozni az IIS webshellek és más rosszindulatú kódok elterjedését a rendszeren belül, és növeli a rendszer biztonságát. Ezenkívül az Exchange Team azt is javasolja, hogy a rendszergazdák telepítsenek biztonsági frissítéseket és figyeljék az esetleges biztonsági fenyegetéseket az Exchange Serveren.
A kizárási listán számos objektum szerepel, amelyeket a vírusirtó rendszer átvizsgálása során a teljesítményproblémák, hibák vagy akár rendszerösszeomlások elkerülése érdekében javasolt kizárni. Azonban a Microsoft szerint az egyik legnagyobb potenciális probléma az, hogy a Windows vírusirtó program zárolhat vagy karanténba helyezhet egy olyan nyitott naplófájlt vagy adatbázisfájlt, amelyet az Exchange szervernek módosítania kell, és ezzel komoly problémákat okozhat a rendszerben.
Emellett fontos megemlíteni, hogy a vírusirtó rendszerek nem képesek felismerni az olyan fenyegetéseket, mint az e-mailben terjesztett vírusok, a rosszindulatú programok és a spamek. Ezek az e-mail alapú védelmi eszközök számítanak hatékony megoldásnak az ilyen típusú fenyegetésekkel szemben. Ezért nem ajánlott kizárni az ilyen objektumokat a kizárási listáról, mivel ez növelheti a rendszer kiszolgáltatottságát az e-mail alapú fenyegetésekkel szemben.
Azonban a rendszer teljesítményének és stabilitásának javítása érdekében fontos lehet az objektumok kizárása a kizárási listáról. A rendszergazdák feladata, hogy gondosan átvizsgálják a kizárási listát, és csak azokat az objektumokat zárják ki, amelyek valóban problémákat okoznak a rendszer számára. Ezenkívül fontos figyelni a rendszer teljesítményére és stabilitására, és szükség esetén kizárni vagy engedélyezni az objektumokat a kizárási listáról annak érdekében, hogy biztonságos és hatékony rendszert biztosítsunk.
Az Exchange Server egyre népszerűbb célpontja a kiberbűnözőknek, mivel nagy mennyiségű kritikus adatot tárol, mint például vállalati postafiókok és címjegyzékek, amelyek kiváló célpontok az adathalász- és hasonló támadásokban. Ezért jó hír azoknak a felhasználóknak, akik az Exchange Server használatával dolgoznak, hogy a Microsoft javasolja a Temporary ASP.NET fájlok, az Inetsrv mappák, a PowerShell és a w3wp folyamatok eltávolítását a vírusirtó rendszerek kizárási listájáról, mivel ez segít a rendszer biztonságának javításában. Az Exchange Server emellett az Active Directoryban lévő jogosultságokkal és a vállalathoz kapcsolódó felhőkörnyezetekhez való hozzáférést érintő adatokkal is rendelkezik, amelyeket a kiberbűnözők célozhatnak meg, hogy illegálisan hozzáférjenek a vállalati adatokhoz és megszerezzék azokat.
A Microsoft nyilatkozata szerint az említett víruskeresési eljárás nem okozhat instabilitást vagy teljesítményproblémákat az Exchange Server 2019 használóinak, ha a Microsoft Defendert és a legfrissebb szerverfrissítések is rendelkezésre állnak. Az eljárást végrehajthatják a 2016-os és 2013-as rendszereken is, bár ezeknek a támogatása 2023 áprilisában lejár.
Azonban a Microsoft azt javasolja, hogy ha a víruskeresés során eltávolítják azokat a kizárásokat, amelyeket az Exchange Serverhez ajánlanak, és problémák merülnek fel, akkor a rendszergazdáknak vissza kell állítaniuk ezeket a kizárásokat és jelenteniük kell a problémákat a Microsoftnak.
Az utóbbi időben a Microsoft kiadott néhány javítást a ProxyNotShell hibákra, amelyek közül az egyik távoli kódfuttatási (RCE) hibát, a másik pedig egy szerveroldali kéréskovácsolási (SSRF) hibát javított ki. Emellett 2021-ben a cég olyan javításokat is kiadott, amelyek négy nulladik napi sebezhetőséget javítottak, köztük a ProxyLogon-t is.
Forrás: Nemzeti Kibervédelmi Intézet