Microsoft urges Exchange admins to remove some antivirus exclusions
2023/02/23 BleepingComputer — Microsoft は、 Exchange Server の セキュリティを強化するために、以前に推奨されていたウイルス対策の、いくつかの除外に関する設定を解除をするよう推奨している。同社は、その理由として、Temporary ASP.NET Files と Inetsrv フォルダ、および、PowerShell と w3wp プロセスを対象とした除外は、もはや安定性やパフォーマンスに影響を与えないため、必要ないと述べている。しかし、これらのフォルダやプロセスは、マルウェアを展開する攻撃に悪用されることが多いため、管理者はスキャンするように心がける必要がある。
Exchange チームは「これらの除外を維持すると、最も一般的なセキュリティ問題の代表である IIS Web シェルや、バックドア・モジュールの検出が妨げられる可能性がある。Exchange Server 2019 の最新アップデート版で Microsoft Defender を使用する場合には、これらのプロセスやフォルダーを削除しても、パフォーマンスや安定性に影響がないことを検証している」と述べている。
Exchange Server 2016/2013 を実行しているサーバーからも、これらの除外項目を安全に削除することができるが、監視を怠らず、問題が発生した場合に軽減できるよう準備しておく必要がある。
ファイル・レベルのアンチウイルス・スキャナから削除すべき、フォルダ/プロセスの除外リストは以下の通りだ。
%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
%SystemRoot%\System32\Inetsrv
%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe
%SystemRoot%\System32\inetsrv\w3wp.exe
悪意の Internet Information Services (IIS) Web サーバー拡張モジュールを用いる驚異アクターたちが、パッチが未適用の Microsoft Exchange サーバをバックドア化する事例が、世界各地で発生している。今回の対応は、それを受けてのものだ。
同様の手口を使った攻撃を防止するには、Exchange Server を常に最新の状態に保ち、マルウェア対策やセキュリティ・ソリューションを使用する必要がある。さらに、IIS 仮想ディレクトリへのアクセスを制限し、アラートを優先させ、設定ファイルや bin フォルダに疑わしいファイルがないかを、定期的にチェックする必要もある。
また、最近の Microsoft は、オンプレミスの Exchange Server に最新の累積アップデート (CU:Cumulative Update) を適用して最新の状態に保ち、緊急のセキュリティ・アップデートを導入できる状態を維持するよう、顧客に呼びかけている。
同社は、アップデートを導入した後は必ず、Exchange Server Health Checker スクリプトを実行して、一般的な設定上の問題を検出するよう推奨している。それにより、簡単な環境設定の変更で修正できるような問題も検出できる。
2023年1月に Shadowserver Foundation のセキュリティ研究者たちが発見したように、インターネットに公開されている数万台の Microsoft Exchange Server (当時は 60,000 台以上) が、ProxyNotShell エクスプロイトを利用した攻撃に対して依然として脆弱な状態にある。
Shodan のレポートでは、オンラインに露出した多くの Exchange Server が、2021年に最も悪用された2つの脆弱性 ProxyShell/ProxyLogon を狙った攻撃に対して無防備であることも示されている。
Exchange Server の安定性やパフォーマンスに影響しなくなったので、2つのチェック機能を ON にしてほしいと、Microsoft がユーザーに要請しているとのことです。このところ、Cisco が ClamAV を使っているという記事に驚いたり、メール・フィルターを解剖するという記事がポストされたりと、この領域が賑やかになってきました。これだけ、フィッシング・メールが横行しているのですから、当然といえば当然ですね。なお、文中の ProxyShell/ProxyLogon に関しては、以下の記事を、ご参照ください。
2023/01/03:ProxyNotShell:60,000 台以上がパッチ未適用
2023/01/26:ProxyNotShell:緩和策では攻撃を防げない
IoT OT Security News 
You must be logged in to post a comment.