La empresa Microsoft recomienda que los administradores de servidores de correo Exchange eliminen algunas exclusiones de antivirus, con el objetivo de aumentar la seguridad de los servidores. Estas exclusiones estarían dirigidas a los archivos temporales de ASP.NET, Inetsrv, w3wp y PowerShell, estos procesos no serían necesarios, ya que no afectarían la estabilidad ni el rendimiento del servidor.
Además es aconsejable que estos procesos y ubicaciones sean escaneadas internamente, ya que por lo general son conocidas por los atacantes y utilizadas para desplegar malware.
El monitoreo y revisión constante de estos procesos, puede detectar webshells de IIS y módulos de puerta trasera (Backdoor), que constituyen los problemas de seguridad más comunes.
Microsoft ha validado que eliminar estos procesos y carpetas no afecta el rendimiento ni la estabilidad al utilizar Microsoft Defender en Exchange Server 2019, este servidor posee las últimas actualizaciones de Exchange Server.
También se efectuaron pruebas de eliminación de estos procesos en servidores Exchange Server 2016 y Exchange Server 2013, pero deben ser supervisados por los administradores y estar preparados, para mitigar cualquier problema que pueda surgir.
A continuación, se visualiza la lista de exclusiones de carpetas y procesos que es recomendable eliminar de los escáneres antivirus a nivel de archivo:
Imagen 1 - Exclusiones de carpeta y procesos
Los actores maliciosos han estado utilizando extensiones y módulos maliciosos del servidor web Internet Information Services (IIS), para acceder a través de puertas traseras en servidores Microsoft Exchange no parcheados de todo el mundo.
Para contrarrestar estos ataques, debe mantener siempre actualizados sus servidores de Exchange, utilizar soluciones antimalware y de seguridad, restringir el acceso a los directorios virtuales de IIS, priorizar las alertas e inspeccionar regularmente los archivos de configuración y las carpetas habitualmente utilizadas por los actores maliciosos, en busca de archivos sospechosos.
Para evitar ser víctima de estos ataques es necesario mantener actualizados los servidores Exchange locales aplicando la última actualización acumulativa (CU) para tenerlos listos para desplegar actualizaciones de seguridad de emergencia.
También se recomienda ejecutar siempre el script Exchange Server Health Checker después de desplegar las actualizaciones, para detectar problemas comunes de configuración u otros problemas que pueden solucionarse con un simple cambio de configuración del entorno.
En el mes de enero de 2023, los investigadores de seguridad de la Fundación Shadowserver, descubrieron decenas de miles de servidores Microsoft Exchange expuestos en Internet (más de 70.000 en aquel momento), a la fecha muchos de ellos siguen siendo vulnerables a ataques que aprovechan los exploits ProxyNotShell.
Shodan también muestra muchos servidores Exchange expuestos en línea, con miles de ellos indefensos ante ataques dirigidos a los fallos ProxyShell y ProxyLogon, dos de las vulnerabilidades más explotadas del 2021.
Imagen 2 - Servidores Exchange expuestos en el mundo (24-02-2023)
Imagen 3 - Servidores Exchange expuestos en Chile (24-02-2023)
En esta última imagen podemos ver que en Chile aún tenemos servidores de Exchange expuestos a internet con distintos fallos de seguridad, algunos de ellos aún poseen las vulnerabilidades mundialmente explotadas de ProxyShell y ProxyLogon, es por ello que debemos mantener un monitoreo constante sobre los activos informáticos y de la gestión de vulnerabilidades en nuestras empresas y organizaciones.
Los actores maliciosos continuarán buscando fallos de seguridad y servidores expuestos en internet aplicando sus TTP´s (Tácticas, Técnicas y Procedimientos), para lograr sus objetivos y vulnerar sistemas críticos, como las comunicaciones por correo electrónico en empresas y organizaciones, por ello debemos estar informados y en constante aprendizaje de las nuevas estrategias utilizadas por los actores maliciosos, efectuando constantes revisiones de seguridad y monitoreo a los sistemas informáticos a fin de reducir y mitigar al máximo la superficie de ataque, minimizando así el riesgo al podríamos estar expuestos.
El centro de Ciberinteligencia Entel recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
Producto | Versión |
---|---|
MS Exchange |
2013 2016 2019 |