Microsoft aconseja a los administradores de Exchange Server que eliminen algunas de las exclusiones de antivirus de punto final que se han recomendado en la documentación de la empresa en el pasado. Las reglas ya no son necesarias para la estabilidad del servidor y su presencia podría evitar la detección de puertas traseras utilizadas por los atacantes.
«Los tiempos han cambiado, al igual que el panorama de la ciberseguridad», dijo el equipo de Exchange Server en una publicación de blog. «Descubrimos que algunas exclusiones existentes, a saber, los archivos ASP.NET temporales y las carpetas Inetsrv, así como los procesos de PowerShell y w3wp, ya no son necesarios y que sería mucho mejor escanear estos archivos y carpetas en busca de estas excepciones». puede evitar la detección de shells web de IIS y módulos de puerta trasera, que son los problemas de seguridad más comunes».
¿Por qué excluir las carpetas y los procesos de Exchange de los análisis antivirus?
Si bien Microsoft siempre ha alentado la ejecución de software antivirus en los servidores de Exchange para una mejor protección, también ha publicado pautas para evitar posibles conflictos y problemas de estabilidad que estos pueden causar al realizar actividades de escaneo de memoria o archivos. «El mayor problema potencial es cuando un programa antivirus de Windows bloquea o pone en cuarentena un archivo de registro abierto o un archivo de base de datos que Exchange necesita modificar», explica la documentación de Microsoft. «Esto puede causar errores graves en Exchange Server y también puede generar errores de registro de eventos 1018. Por lo tanto, es muy importante excluir estos archivos del análisis antivirus de Windows».
La lista de exclusiones recomendadas incluye muchas carpetas y archivos relacionados con grupos de disponibilidad de bases de datos, libretas de direcciones sin conexión, bases de datos de buzones, registros de procesos, colas, componentes web, conversión de contenido, mensajería unificada, registros de transporte, filtrado de conexiones y sincronización. También contienen una larga lista de procesos en ejecución y tipos de archivos. Además, estas carpetas, procesos y extensiones de archivo pueden ser diferentes para diferentes versiones de Exchange.
La mayoría de estas exclusiones de antivirus siguen siendo fundamentales para la estabilidad de Exchange y no deben eliminarse. Los que Microsoft cree que ya no vale la pena mantener son:
- %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\ASP.NET Archivos temporales
- %SystemRoot%\System32\Inetsrv
- %SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe
- %SystemRoot%\System32\inetsrv\w3wp.exe
El equipo de Exchange Server ha confirmado que la eliminación de estas exclusiones no afectará el rendimiento al usar Microsoft Defender en Exchange Server 2019 con las últimas actualizaciones de Exchange Server. También creen que debería ser seguro eliminarlos de Exchange Server 2016 y Exchange Server 2013, cuyo soporte finaliza en abril, pero aconsejan a los administradores que vigilen los servidores y simplemente vuelvan a agregar las exclusiones si hay un problema.
¿Por qué eliminar estas exclusiones especiales?
Los servidores web Exchange y Microsoft IIS han sido un objetivo constante para los atacantes en los últimos años, ya que aprovechan las vulnerabilidades en implementaciones sin parches para instalar shells web o extensiones/módulos maliciosos.
A principios de 2021, cientos de servidores de Microsoft Exchange fueron pirateados a través de vulnerabilidades de día cero por un grupo de ciberespionaje chino llamado Hafnium. El grupo implementó webshells, scripts de puerta trasera accesibles de forma remota, en los servidores, lo que llevó al FBI a obtener una orden judicial poco común que permitió a la agencia conectarse realmente a los servidores privados y eliminar el malware limpio.
En julio del mismo año, otro grupo APT llamado Praying Mantis aprovechó las fallas de serialización en las aplicaciones ASP.NET para entregar malware sin archivos a los servidores IIS. Este malware, llamado NodeIISWeb, está diseñado para secuestrar la funcionalidad de IIS y se inyecta dentro del proceso w3wp.exe.
Continuaron los ataques que usaban malware nativo de IIS, y la empresa de antivirus ESET rastreó 14 grupos que usaban puertas traseras de IIS y ladrones de información, muchos implementados como extensiones o módulos de IIS. Algunos de ellos se dirigieron a servidores de Exchange con Outlook en la Web (OWA) habilitado, ya que OWA se sirve a través de IIS. El año pasado, la empresa de antivirus Kaspersky Lab informó que los servidores de Exchange propiedad de organizaciones gubernamentales y militares en Europa, el sur de Asia, Medio Oriente y África estaban infectados con un programa de malware llamado SessionManager, que actuaba como un módulo IIS.
Todos estos ataques dan una pista de por qué Microsoft eligió estas exclusiones de antivirus en particular: la carpeta de archivos temporales de ASP.NET porque los atacantes explotaron las aplicaciones de ASP.NET, el proceso w3wp.exe porque el malware saltó a él PowerShell porque muchas puertas traseras toman la forma de Scripts de PowerShell y la carpeta Inetsrv, ya que esta es la carpeta de instalación de IIS donde se pueden implementar extensiones y módulos maliciosos.
Derechos de autor © 2023 IDG Communications, Inc.