Messagerie

Microsoft demande aux administrateurs d’Exchange de supprimer certaines exclusions antivirus

Par Philippe Ternision , le 27 février 2023 , mis à jour le 27 février 2023 - 3 minutes de lecture
failles exchange
AccueilMessagerieMicrosoft demande aux administrateurs d’Exchange de supprimer certaines exclusions antivirus
Notez l'article

Microsoft conseille aux administrateurs de supprimer plusieurs exclusions antivirus suggérées précédemment pour les serveurs Exchange afin d’augmenter la sécurité des serveurs.

Les exclusions visant les dossiers Temporary ASP.NET Files et Inetsrv, ainsi que les processus PowerShell et w3wp, ne sont pas nécessaires, selon l’entreprise, car elles ne nuisent plus à la stabilité ou aux performances.

Les administrateurs devraient néanmoins s’attacher à inspecter ces URL et processus, car ils sont fréquemment utilisés dans les tentatives de distribution de logiciels malveillants.

L’équipe Exchange a déclaré que le maintien de ces exclusions “peut entraver la détection des webshells IIS et des modules backdoor, qui représentent les problèmes de sécurité les plus courants.”

Nous avons vérifié que la désactivation de ces processus et dossiers sur Exchange Server 2019 exécutant les mises à niveau les plus récentes d’Exchange Server n’a aucun effet négatif sur les performances ou la stabilité.

Les serveurs Exchange Server 2016 et Exchange Server 2013 peuvent également avoir ces exclusions supprimées en toute sécurité, mais vous devez tout de même garder un œil sur eux et être prêt à faire face à tout problème qui pourrait survenir.

Les dossiers et processus suivants ne doivent plus être exclus par les scanners antivirus de niveau fichier :

%SystemRoot%Microsoft.NETFramework64v4.0.30319Temporary ASP.NET Files
%SystemRoot%System32Inetsrv
%SystemRoot%System32WindowsPowerShellv1.0PowerShell.exe
%SystemRoot%System32inetsrvw3wp.exe

Cela fait suite à l’utilisation par les acteurs de la menace d’extensions et de modules de serveur Web IIS malveillants pour ouvrir des portes dérobées sur des systèmes Microsoft Exchange non corrigés dans le monde entier.

Pour vous protéger contre les attaques qui utilisent des stratégies similaires, vous devez constamment maintenir vos serveurs Exchange à jour, utiliser des outils anti-malware et de sécurité, restreindre l’accès aux répertoires virtuels IIS, donner la priorité aux alarmes et vérifier régulièrement les fichiers de configuration et les dossiers bin à la recherche de fichiers suspects.

Par ailleurs, Redmond a récemment recommandé à ses clients de maintenir leurs serveurs Exchange sur site à jour en installant la dernière mise à jour cumulative (CU) afin d’être prêts à déployer les correctifs de sécurité urgents.

Après avoir livré les mises à jour, il est également conseillé d’exécuter le script Exchange Server Health Checker pour rechercher des problèmes de configuration typiques ou d’autres problèmes qui peuvent être résolus par un ajustement rapide de la configuration de l’environnement.

Des dizaines de milliers de serveurs Microsoft Exchange exposés à Internet (plus de 60 000 à l’époque), selon les experts en sécurité de la Shadowserver Foundation, sont encore ouverts aux attaques utilisant la faille ProxyNotShell.

Shodan révèle également un grand nombre de serveurs Exchange actifs et vulnérables à des attaques ciblant les problèmes ProxyShell et ProxyLogon, deux des vulnérabilités les plus utilisées en 2021.

 

 

Vues 57

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.