Support technique
Documentation
Connexion
Nous contacter
Microsoft invite les administrateurs d'Exchange à supprimer certaines exclusions antivirus
Le 9 mars 2023 - L'équipe de relations publiques de TuxCare
Microsoft a récemment publié un nouvel avis de sécurité invitant les administrateurs d'Exchange Server à supprimer certaines exclusions de logiciels antivirus qui pourraient exposer les systèmes à des attaques. Selon cet avis, certains programmes antivirus présentent des exclusions trop larges, ce qui peut poser des risques pour la sécurité.
Selon Microsoft, les exclusions de logiciels antivirus ont été initialement mises en œuvre pour améliorer les performances des serveurs. Cependant, les attaquants peuvent profiter de ces exclusions pour contourner les mesures de sécurité et obtenir un accès non autorisé à des données sensibles. Les attaquants pourraient utiliser ces failles pour installer des logiciels malveillants ou des ransomwares sur un serveur Exchange vulnérable.
Les exclusions ciblant les dossiers Temporary ASP.NET Files et Inetsrv, ainsi que les processus PowerShell et w3wp, ne sont plus nécessaires, selon l'entreprise, car elles n'affectent plus la stabilité ou les performances. Toutefois, les administrateurs devraient s'efforcer d'analyser ces emplacements et ces processus, car ils sont souvent utilisés de manière abusive dans les attaques pour déployer des logiciels malveillants.
Microsoft recommande aux administrateurs Exchange de supprimer les exclusions pour les chemins de fichiers suivants : %SYSTEMDRIVE%\inetpub\logs\LogFiles, %SYSTEMDRIVE%\Program Files\Microsoft\Exchange Server\V15, et %SYSTEMDRIVE%\Program Files\Microsoft\Exchange Server\V14. Les administrateurs Exchange doivent également configurer les logiciels antivirus de manière à ce qu'ils n'excluent que certains types de fichiers plutôt que des répertoires entiers.
"Le maintien de ces exclusions peut empêcher la détection des webshells et des modules de porte dérobée d'IIS, qui représentent les problèmes de sécurité les plus courants", a déclaré l'équipe Exchange.
En outre, l'entreprise a mis à jour sa liste d'exclusions recommandées pour les logiciels antivirus utilisés avec Exchange Server. La nouvelle liste exclut Exchange Server 2019, 2016, 2013 et 2010. Les exclusions sont destinées à améliorer les performances et la stabilité d'Exchange Server lorsqu'un logiciel antivirus s'exécute sur le même serveur. En outre, la mise à jour comprend des instructions supplémentaires pour configurer le logiciel antivirus afin qu'il fonctionne avec Exchange Server.
Pour réduire le risque d'attaques, Microsoft recommande également aux administrateurs Exchange d'utiliser l'authentification multifactorielle et la version la plus récente d'Exchange Server. Microsoft recommande aux administrateurs Exchange de maintenir leurs systèmes à jour avec les derniers correctifs de sécurité, car les attaquants ciblent souvent les vulnérabilités des logiciels obsolètes.
Les administrateurs Exchange doivent également surveiller de près leurs systèmes pour détecter toute activité inhabituelle et mettre en place un plan de gestion des incidents de sécurité. En cas de violation de la sécurité, les administrateurs doivent immédiatement déconnecter le système concerné du réseau afin d'éviter tout dommage supplémentaire.
Les sources de cet article comprennent un article de BleepingComputer.
