기술 지원
문서
로그인
문의하기
Microsoft는 Exchange 관리자에게 일부 바이러스 백신 제외를 제거하도록 촉구합니다.
2023년 3월 9일 TuxCare 홍보팀
Microsoft는 최근 Exchange Server 관리자에게 시스템을 공격에 노출시킬 수 있는 특정 바이러스 백신 소프트웨어 제외를 제거할 것을 촉구하는 새로운 보안 권고를 발표했습니다. 이 권고에 따르면 일부 바이러스 백신 프로그램의 제외 범위가 지나치게 광범위하여 보안 위험을 초래할 수 있는 것으로 밝혀졌습니다.
Microsoft에 따르면 바이러스 백신 소프트웨어 제외는 처음에 서버 성능을 개선하기 위해 구현되었습니다. 그러나 공격자는 이러한 제외를 악용하여 보안 조치를 우회하고 중요한 데이터에 무단으로 액세스할 수 있습니다. 공격자는 이러한 결함을 사용하여 취약한 Exchange Server에 맬웨어 또는 랜섬웨어를 설치할 수 있습니다.
회사 측에 따르면 임시 ASP.NET 파일 및 Inetsrv 폴더와 PowerShell 및 w3wp 프로세스를 대상으로 하는 제외는 더 이상 안정성이나 성능에 영향을 미치지 않으므로 더 이상 필요하지 않습니다. 그러나 이러한 위치 및 프로세스는 멀웨어를 배포하기 위한 공격에 악용되는 경우가 많으므로 관리자는 이러한 위치 및 프로세스를 검사하는 데 주의를 기울여야 합니다.
Microsoft는 Exchange 관리자가 다음 파일 경로에 대한 제외를 제거할 것을 권장합니다: %SYSTEMDRIVE%\inetpub\logs\LogFiles, %SYSTEMDRIVE%\Program Files\Microsoft\Exchange Server\V15 및 %SYSTEMDRIVE%\Program Files\Microsoft\Exchange Server\V14. 또한 Exchange 관리자는 전체 디렉터리가 아닌 특정 파일 형식만 제외하도록 바이러스 백신 소프트웨어를 구성해야 합니다.
"이러한 제외를 유지하면 가장 일반적인 보안 문제인 IIS 웹셸 및 백도어 모듈을 감지하지 못할 수 있습니다."라고 Exchange 팀은 말합니다.
또한 Exchange Server와 함께 사용되는 바이러스 백신 소프트웨어에 대한 권장 제외 목록을 업데이트했습니다. 새 목록에서는 Exchange Server 2019, 2016, 2013 및 2010이 제외됩니다. 이러한 제외는 바이러스 백신 소프트웨어가 동일한 서버에서 실행될 때 Exchange Server 성능 및 안정성을 개선하기 위한 것입니다. 또한 이 업데이트에는 Exchange Server와 함께 작동하도록 바이러스 백신 소프트웨어를 구성하기 위한 추가 지침이 포함되어 있습니다.
또한 공격 위험을 줄이기 위해 Microsoft는 Exchange 관리자가 다단계 인증과 최신 버전의 Exchange Server를 사용할 것을 권장합니다. 공격자는 오래된 소프트웨어의 취약점을 노리는 경우가 많으므로 Microsoft는 Exchange 관리자가 최신 보안 패치로 시스템을 최신 상태로 유지할 것을 권장합니다.
또한 Exchange 관리자는 비정상적인 활동이 있는지 시스템을 면밀히 주시하고 보안 사고에 대처하기 위한 계획을 세워야 합니다. 관리자는 보안 침해가 발생하면 즉시 영향을 받는 시스템을 네트워크에서 분리하여 추가 피해를 방지해야 합니다.
이 글의 출처는 BleepingComputer의 기사입니다.
