Microsoft mengatakan admin harus menghapus beberapa direkomendasikan sebelumnya pengecualian antivirus untuk server Exchange untuk meningkatkan keamanan server.
Seperti yang dijelaskan perusahaan, pengecualian yang menargetkan File ASP.NET Sementara dan folder Inetsrv serta proses PowerShell dan w3wp tidak diperlukan karena tidak lagi memengaruhi stabilitas atau kinerja.
Namun, admin harus menunjukkan pemindaian lokasi dan proses ini karena sering disalahgunakan dalam serangan untuk menyebarkan malware.
“Mempertahankan pengecualian ini dapat mencegah pendeteksian webshell IIS dan modul backdoor, yang mewakili masalah keamanan paling umum,” Tim Exchange dikatakan.
“Kami telah memvalidasi bahwa menghapus proses dan folder ini tidak memengaruhi kinerja atau stabilitas saat menggunakan Pertahanan Microsoft di Server Exchange 2019 yang menjalankan pembaruan Server Exchange terbaru.”
Anda juga dapat menghapus pengecualian ini dengan aman dari server yang menjalankan Exchange Server 2016 dan Exchange Server 2013, tetapi Anda harus memantaunya dan bersiap untuk mengurangi masalah apa pun yang mungkin muncul.
Daftar pengecualian folder dan proses yang harus dihapus dari pemindai antivirus tingkat file meliputi:
%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
%SystemRoot%\System32\Inetsrv
%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe
%SystemRoot%\System32\inetsrv\w3wp.exeIni muncul setelah aktor ancaman telah menggunakan server web Layanan Informasi Internet (IIS) berbahaya ekstensi Dan modul ke backdoor server Microsoft Exchange yang belum ditambal di seluruh dunia.
Untuk bertahan dari serangan menggunakan taktik serupa, Anda harus selalu memperbarui server Exchange, menggunakan solusi anti-malware dan keamanan, membatasi akses ke direktori virtual IIS, memprioritaskan peringatan, dan secara teratur memeriksa file konfigurasi dan folder bin untuk file yang mencurigakan.
Redmond juga baru-baru ini mendesak pelanggan untuk tetap perbarui server Exchange lokal dengan menerapkan Pembaruan Kumulatif (CU) terbaru agar mereka siap menyebarkan pembaruan keamanan darurat.
Juga dianjurkan untuk selalu menjalankan Skrip Pemeriksa Kesehatan Server Exchange setelah menyebarkan pembaruan untuk mendeteksi masalah konfigurasi umum atau masalah lain yang dapat diperbaiki dengan perubahan konfigurasi lingkungan yang sederhana.
Seperti yang ditemukan oleh peneliti keamanan di Shadowserver Foundation pada bulan Januari, puluhan ribu server Microsoft Exchange yang terhubung ke Internet (lebih dari 60.000 pada saat itu) masih rentan terhadap serangan memanfaatkan eksploitasi ProxyNotShell.
Shodan juga menunjukkan banyak hal Exchange server terbuka secara onlinedengan ribuan dari mereka tidak berdaya melawan serangan yang menargetkan kelemahan ProxyShell dan ProxyLogon, dua di antaranya kerentanan yang paling banyak dieksploitasi pada tahun 2021.
