Microsoft recomienda eliminar exclusiones de antivirus a los administradores de Exchange

La empresa Microsoft recomienda que los administradores de servidores de correo Exchange eliminen algunas exclusiones de antivirus, con el objetivo de aumentar la seguridad de los servidores. Estas exclusiones estarían dirigidas a los archivos temporales de ASP.NET, Inetsrv, w3wp y PowerShell, estos procesos no serían necesarios, ya que no afectarían la estabilidad ni el rendimiento del servidor.

Además es aconsejable que estos procesos y ubicaciones sean escaneadas internamente, ya que por lo general son conocidas por los atacantes y utilizadas para desplegar malware. 

El monitoreo y revisión constante de estos procesos, puede detectar webshells de IIS y módulos de puerta trasera (Backdoor), que constituyen los problemas de seguridad más comunes.

Microsoft ha validado que eliminar estos procesos y carpetas no afecta el rendimiento ni la estabilidad al utilizar Microsoft Defender en Exchange Server 2019, este servidor posee las últimas actualizaciones de Exchange Server.

También se efectuaron pruebas de eliminación de estos procesos en servidores Exchange Server 2016 y Exchange Server 2013, pero deben ser supervisados por los administradores y estar preparados, para mitigar cualquier problema que pueda surgir.

A continuación, se visualiza la lista de exclusiones de carpetas y procesos que es recomendable eliminar de los escáneres antivirus a nivel de archivo:

Imagen 1 - Exclusiones de carpeta y procesos

Los actores maliciosos han estado utilizando extensiones y módulos maliciosos del servidor web Internet Information Services (IIS), para acceder a través de puertas traseras en servidores Microsoft Exchange no parcheados de todo el mundo.

Para contrarrestar estos ataques, debe mantener siempre actualizados sus servidores de Exchange, utilizar soluciones antimalware y de seguridad, restringir el acceso a los directorios virtuales de IIS, priorizar las alertas e inspeccionar regularmente los archivos de configuración y las carpetas habitualmente utilizadas por los actores maliciosos, en busca de archivos sospechosos.

Para evitar ser víctima de estos ataques es necesario mantener actualizados los servidores Exchange locales aplicando la última actualización acumulativa (CU) para tenerlos listos para desplegar actualizaciones de seguridad de emergencia.

También se recomienda ejecutar siempre el script Exchange Server Health Checker después de desplegar las actualizaciones, para detectar problemas comunes de configuración u otros problemas que pueden solucionarse con un simple cambio de configuración del entorno.

En el mes de enero de 2023, los investigadores de seguridad de la Fundación Shadowserver, descubrieron decenas de miles de servidores Microsoft Exchange expuestos en Internet (más de 70.000 en aquel momento), a la fecha muchos de ellos siguen siendo vulnerables a ataques que aprovechan los exploits ProxyNotShell.

Shodan también muestra muchos servidores Exchange expuestos en línea, con miles de ellos indefensos ante ataques dirigidos a los fallos ProxyShell y ProxyLogon, dos de las vulnerabilidades más explotadas del 2021.

Imagen 2 - Servidores Exchange expuestos en el mundo (24-02-2023)

Imagen 3 - Servidores Exchange expuestos en Chile (24-02-2023)

En esta última imagen podemos ver que en Chile aún tenemos servidores de Exchange expuestos a internet con distintos fallos de seguridad, algunos de ellos aún poseen las vulnerabilidades mundialmente explotadas de ProxyShell y ProxyLogon, es por ello que debemos mantener un monitoreo constante sobre los activos informáticos y de la gestión de vulnerabilidades en nuestras empresas y organizaciones.

Los actores maliciosos continuarán buscando fallos de seguridad y servidores expuestos en internet aplicando sus TTP´s (Tácticas, Técnicas y Procedimientos), para lograr sus objetivos y vulnerar sistemas críticos, como las comunicaciones por correo electrónico en empresas y organizaciones,  por ello debemos estar informados y en constante aprendizaje de las nuevas estrategias utilizadas por los actores maliciosos, efectuando constantes revisiones de seguridad y monitoreo a los sistemas informáticos a fin de reducir y mitigar al máximo la superficie de ataque, minimizando así el riesgo al podríamos estar expuestos.

El centro de Ciberinteligencia Entel recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Los clientes deben consultar la publicación del Centro de respuestas de seguridad de Microsoft para conocer las últimas mitigaciones para el producto Exchange en el siguiente enlace: https://support.microsoft.com/es-es/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-february-14-2023-kb5023038-2e60d338-dda3-46ed-aed1-4a8bbee87d23
• Los clientes de Microsoft Exchange Server que utilizan microsoft 365, se recomienda seguir la siguiente lista de verificación:
  • Active la protección proporcionada por la nube en Microsoft Defender Antivirus o el equivalente de su producto antivirus para cubrir las herramientas y técnicas de los atacantes en rápida evolución. Las protecciones de aprendizaje automático basadas en la nube bloquean una gran mayoría de variantes nuevas y desconocidas.
  • Active las funciones de protección contra manipulaciones para evitar que los atacantes detengan los servicios de seguridad.
  • Ejecute EDR en modo de bloqueo para que Microsoft Defender para Endpoint pueda bloquear artefactos maliciosos, incluso cuando su antivirus que no sea de Microsoft no detecte la amenaza o cuando Microsoft Defender Antivirus se esté ejecutando en modo pasivo. EDR en modo de bloqueo trabaja entre bastidores para remediar los artefactos maliciosos que se detectan después de la infracción.
  • Active la protección de red para evitar que las aplicaciones o los usuarios accedan a dominios maliciosos y a otros contenidos maliciosos en Internet.
  • Habilite la investigación y reparación en modo totalmente automatizado para permitir que Microsoft Defender for Endpoint tome medidas inmediatas sobre las alertas para resolver las infracciones, reduciendo significativamente el volumen de alertas.
  • Utilice la detección de dispositivos para aumentar la visibilidad de la red mediante la búsqueda de dispositivos no administrados en la red y su incorporación a Microsoft Defender for Endpoint.