Microsoft consiglia agli amministratori di Exchange Server di rimuovere alcune delle esclusioni antivirus degli endpoint che l’azienda aveva consigliato in passato. Le regole non sono più necessarie per la stabilità del server e la loro presenza potrebbe impedire il rilevamento di backdoor implementate dagli aggressori.

“I tempi sono cambiati e anche il panorama della cybersicurezza”, ha scritto il team di Exchange Server. “Abbiamo scoperto che alcune esclusioni esistenti, in particolare le cartelle Temporary ASP.NET Files e Inetsrv e i processi PowerShell e w3wp, non sono più necessarie e che sarebbe molto meglio eseguire la scansione di questi file e cartelle. Mantenere queste esclusioni può impedire il rilevamento di webshell e moduli backdoor di IIS, che rappresentano i problemi di sicurezza più comuni”.

Perché escludere le cartelle e i processi di Exchange dalle scansioni antivirus?

Sebbene Microsoft abbia sempre incoraggiato l’esecuzione di software antivirus sui server Exchange per una migliore protezione, ha anche pubblicato delle linee guida per evitare possibili conflitti e problemi di stabilità che questi potrebbero causare durante le attività di scansione della memoria o dei file. “Il problema potenziale più grande è che un programma antivirus Windows potrebbe bloccare o mettere in quarantena un file di registro aperto o un file di database che Exchange deve modificare”, spiega la documentazione di Microsoft. “Questo può causare gravi malfunzionamenti in Exchange Server e può anche generare errori di registro eventi. Pertanto, escludere questi file dalla scansione del programma antivirus di Windows è molto importante”.

L’elenco delle esclusioni consigliate include molte cartelle e file relativi a gruppi di disponibilità di database, rubriche offline, database di caselle di posta, registri di processo, code, componenti web, conversione di contenuti, messaggistica unificata, registri di trasporto, filtraggio delle connessioni e sincronizzazione. La lista include anche un lungo elenco di processi in esecuzione e di tipi di file. Inoltre, le cartelle, i processi e le estensioni dei file possono essere diversi a seconda delle versioni di Exchange.

Molte di queste esclusioni antivirus sono ancora fondamentali per la stabilità di Exchange e non dovrebbero essere rimosse. Quelle che invece secondo Microsoft non vale più la pena mantenere sono:

microsoft_exchange_server_2016_thumb2-630x354

  • %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
  • %SystemRoot%\System32\Inetsrv
  • %SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe
  • %SystemRoot%\System32\inetsrv\w3wp.exe

Il team di Exchange Server ha confermato che la rimozione di queste esclusioni non ha alcun impatto sulle prestazioni quando si utilizza Microsoft Defender su Exchange Server 2019 con gli ultimi aggiornamenti di Exchange Server. Ritiene inoltre che sia sicuro rimuoverle da Exchange Server 2016 e Exchange Server 2013 (il cui supporto termina ad aprile), ma consiglia agli amministratori di tenere sotto controllo i server e, in caso di problemi, di aggiungere nuovamente le esclusioni.

Perché rimuovere queste particolari esclusioni?

Negli ultimi anni, i server web Exchange e Microsoft IIS sono stati un bersaglio costante per gli aggressori, che sfruttano le vulnerabilità delle implementazioni senza patch per installare webshell o estensioni/moduli dannosi. All’inizio del 2021, centinaia di server Microsoft Exchange sono stati violati attraverso vulnerabilità zero-day da un gruppo cinese di cyberespionaggio soprannominato Hafnium. Il gruppo ha distribuito webshell, ovvero script backdoor accessibili da remoto, sui server, spingendo l’FBI a ottenere un mandato che ha permesso all’agenzia di connettersi effettivamente ai server privati e rimuovere il malware.

Nel luglio dello stesso anno, un altro gruppo APT soprannominato Praying Mantis ha sfruttato i difetti di serializzazione delle applicazioni ASP.NET per distribuire malware senza file sui server IIS. Questo malware, chiamato NodeIISWeb, è stato costruito per dirottare le funzionalità di IIS ed è stato iniettato nel processo w3wp.exe.

Tutti questi attacchi forniscono un indizio sul perché Microsoft abbia scelto queste particolari esclusioni antivirus: la cartella dei file temporanei ASP.NET perché gli aggressori sfruttano le applicazioni ASP.NET, il processo w3wp.exe perché il malware viene iniettato direttamente al suo interno, PowerShell perché molte backdoor assumono la forma di script PowerShell e, infine, la cartella Inetsrv perché è la cartella di installazione di IIS in cui potrebbero essere distribuiti moduli ed estensioni dannosi.