Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Microsoft insta a los administradores de Exchange a eliminar algunas exclusiones antivirus
9 de marzo de 2023 - Equipo de RRPP de TuxCare
Microsoft acaba de publicar un nuevo aviso de seguridad en el que insta a los administradores de Exchange Server a eliminar ciertas exclusiones de software antivirus que podrían exponer los sistemas a ataques. Según el aviso, se ha descubierto que algunos programas antivirus tienen exclusiones demasiado amplias, que pueden plantear riesgos de seguridad.
Las exclusiones del software antivirus se implantaron inicialmente para mejorar el rendimiento de los servidores, según Microsoft. Sin embargo, los atacantes pueden aprovechar estas exclusiones para eludir las medidas de seguridad y obtener acceso no autorizado a datos confidenciales. Los atacantes podrían utilizar estos fallos para instalar malware o ransomware en un Exchange Server vulnerable.
Las exclusiones de las carpetas Archivos temporales ASP.NET e Inetsrv, así como de los procesos PowerShell y w3wp, ya no son necesarias, según la empresa, porque ya no afectan a la estabilidad ni al rendimiento. Sin embargo, los administradores deberían analizar estas ubicaciones y procesos, ya que a menudo se utilizan en ataques para desplegar malware.
Microsoft recomienda que los administradores de Exchange eliminen las exclusiones de las siguientes rutas de archivo: %SYSTEMDRIVE%\inetpub\logs\LogFiles, %SYSTEMDRIVE%\Program Files\Microsoft\Exchange Server\V15 y %SYSTEMDRIVE%\Program Files\Microsoft\Exchange Server\V14. Los administradores de Exchange también deben configurar el software antivirus para excluir sólo tipos de archivo específicos en lugar de directorios enteros.
"Mantener estas exclusiones puede impedir la detección de webshells de IIS y módulos de puerta trasera, que representan los problemas de seguridad más comunes", afirma el equipo de Exchange.
Además, la empresa actualizó su lista de exclusiones recomendadas para el software antivirus utilizado con Exchange Server. La nueva lista excluye Exchange Server 2019, 2016, 2013 y 2010. Las exclusiones están destinadas a mejorar el rendimiento y la estabilidad de Exchange Server cuando el software antivirus se ejecuta en el mismo servidor. Además, la actualización incluye instrucciones adicionales para configurar el software antivirus para que funcione con Exchange Server.
Para reducir el riesgo de ataques, Microsoft también recomienda que los administradores de Exchange utilicen la autenticación multifactor y la versión más reciente de Exchange Server. Microsoft recomienda que los administradores de Exchange mantengan sus sistemas actualizados con los últimos parches de seguridad, ya que los atacantes suelen atacar vulnerabilidades en software obsoleto.
Los administradores de Exchange también deben vigilar de cerca sus sistemas para detectar cualquier actividad inusual y disponer de un plan para hacer frente a incidentes de seguridad. En caso de fallo de seguridad, los administradores deben desconectar inmediatamente de la red el sistema afectado para evitar daños mayores.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
