Oft gehört - nie genutzt: Schutzmaßnahmen im Internet
Administratoren sollten stattdessen ab sofort darauf achten, alle Speicherorte und Prozesse zu scannen. Besonders die "empfohlenen Ausnahmen" werden zuletzt immer häufiger bei Angriffen zur Verbreitung von Malware missbraucht.
"Die Beibehaltung dieser Ausnahmen kann die Erkennung von IIS-Webshells und Backdoor-Modulen verhindern, die die häufigsten Sicherheitsprobleme darstellen", schreibt das Exchange-Team.
Microsoft empfiehlt schnelle Änderung
"Wir haben validiert, dass das Entfernen dieser Prozesse und Ordner keine Auswirkungen auf die Leistung oder Stabilität hat, wenn Microsoft Defender auf Exchange Server 2019 mit den neuesten Exchange-Server-Updates verwendet wird." Die Ausnahmen können auch bei Exchange Server 2016 und Exchange Server 2013 entfernt werden, jedoch sollten dort weitere Überwachungsmaßnahmen eingeleitet werden, um die Sicherheit zu gewährleisten.Regelmäßige Prüfungen
"Um sich gegen Angriffe mit ähnlichen Taktiken zu schützen, sollte man Exchange-Server immer auf dem neuesten Stand halten, Anti-Malware- und Sicherheitslösungen verwenden, den Zugriff auf virtuelle IIS-Verzeichnisse einschränken, Warnungen priorisieren und Konfigurationsdateien und Bin-Ordner regelmäßig auf verdächtige Dateien überprüfen", heißt es in dem Sicherheitshinweis.
Zusammenfassung
- Microsoft empfiehlt, Ausnahmen für Exchange-Server zu entfernen.
- Ausnahmen sind nicht mehr erforderlich.
- Entfernen der Ausnahmen erhöht Erkennung.
- Überwachungsmaßnahmen bei älteren Exchange-Server-Versionen nötig.
- Exchange-Server immer auf neuestem Stand halten.
- Zugriff auf virtuelle IIS-Verzeichnisse einschränken.
- Konfigurationsdateien/Bin-Ordner regelmäßig überprüfen.