Exchange Server: Microsoft quiere desconectar las exclusiones de su antivirus

“Los tiempos han cambiado, al igual que el panorama de la ciberseguridad”, explica Microsoft en una publicación de blog para justificar su consejo a los administradores de Exchange Server de eliminar ciertas exclusiones de su antivirus interno Defender. Estas reglas ya no son necesarias para la estabilidad del servidor y su presencia podría evitar la detección de puertas traseras implementadas por atacantes.

"Descubrimos que algunas exclusiones existentes, a saber, las carpetas temporales ASP.NET Files y Inetsrv, así como los procesos PowerShell y w3wp, ya no son necesarias, y sería mejor escanear esos archivos y carpetas". Mantener estas exclusiones puede evitar la detección de webshells de IIS y módulos de puerta trasera, que son los problemas de seguridad más comunes”, afirma la publicación del blog.

Exclusiones esenciales para la estabilidad de Exchange

Si bien Microsoft siempre ha recomendado ejecutar su antivirus en servidores Exchange para una mejor protección, también ha publicado pautas para evitar posibles conflictos y problemas de estabilidad que estos pueden causar al escanear la memoria o los archivos. "El mayor problema potencial es que un programa antivirus de Windows puede bloquear o poner en cuarentena un archivo de registro abierto o un archivo de base de datos que Exchange necesita modificar", explica la documentación del proveedor. “Esto puede causar fallas graves en Exchange Server y también generar errores 1018 en el registro de eventos. Por lo tanto, es muy importante excluir estos archivos del análisis de Windows Antivirus”.

La lista de exclusiones recomendadas incluye muchas carpetas y archivos relacionados con grupos de disponibilidad de bases de datos, libretas de direcciones sin conexión, bases de datos de buzones, registros de procesos, colas, componentes web, conversión de contenido, mensajería unificada, registros de transporte, filtrado de conexiones y sincronización. También incluyen una larga lista de procesos en ejecución y tipos de archivos. Además, estas carpetas, procesos y extensiones de archivo pueden ser diferentes en diferentes versiones de Exchange.

La mayoría de estas exclusiones de antivirus siguen siendo fundamentales para la estabilidad de Exchange y no deben eliminarse. Los que Microsoft dice que ya no vale la pena conservar son:

%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\v4.0.30319\Archivos ASP.NET temporales

%SystemRoot%\System32\Inetsrv

%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe

%SystemRoot%\System32\inetsrv\w3wp.exe

El equipo de Exchange Server ha validado que la eliminación de estas exclusiones no tiene un impacto en el rendimiento cuando se usa Defender en Exchange Server 2019 con las últimas actualizaciones de Exchange Server. También creen que debería ser seguro eliminarlos de Exchange Server 2016 y Exchange Server 2013, cuyo soporte finaliza en abril, pero aconsejan a los administradores que vigilen los servidores y, si hay algún problema, simplemente agreguen las exclusiones.

¿Por qué eliminar estas exclusiones particulares?

En los últimos años, los servidores web Exchange e IIS han sido el objetivo constante de los atacantes que aprovechan las vulnerabilidades sin parches para instalar complementos o webshells maliciosos. A principios de 2021, cientos de servidores de Exchange fueron pirateados con vulnerabilidades de día cero por un grupo de ciberespionaje chino denominado Hafnium. El grupo implementó webshells, scripts de puerta trasera accesibles de forma remota, en los servidores, un incidente lo suficientemente grave como para que el FBI obtuviera una orden excepcional para iniciar sesión en los servidores privados y eliminar el malware. En julio del mismo año, otro grupo APT, denominado Praying Mantis, explotó fallas de serialización en aplicaciones ASP.NET para implementar malware en servidores IIS. Este malware, denominado NodeIISWeb, fue diseñado para secuestrar la funcionalidad de IIS y se inyectó en el proceso w3wp.exe.

Los ataques de malware dirigidos a IIS (Servicios de información de Internet) continúan, el fabricante de antivirus ESET ha detectado 14 grupos que usan puertas traseras y ladrones de información de IIS, muchos de los cuales se implementan como extensiones o módulos de IIS. Algunos de ellos se dirigieron a servidores de Exchange con Outlook en la web (OWA) habilitado, porque IIS sirve OWA. El año pasado, Kaspersky Lab informó que los servidores de Exchange pertenecientes a organizaciones gubernamentales y militares en Europa, el sur de Asia, Medio Oriente y África estaban infectados con un malware llamado SessionManager que se ejecutaba como un módulo IIS. Todos estos ataques ayudan a entender por qué Microsoft eligió estas exclusiones de antivirus en particular: la carpeta de archivos temporales de ASP.NET porque los atacantes explotaron las aplicaciones de ASP.NET, el proceso w3wp.exe porque el malware se inyecta directamente en él, PowerShell porque muchas puertas traseras adoptan la forma de scripts de PowerShell y la carpeta Inetsrv porque es la carpeta de instalación de IIS donde se pueden implementar extensiones y módulos maliciosos.