image

Microsoft adviseert meer locaties op Exchange-servers op malware te scannen

vrijdag 24 februari 2023, 09:50 door Redactie, 12 reacties

Microsoft adviseert organisaties om meer locaties op hun Exchange-servers op malware te scannen. Eerder aangeraden uitzonderingen voor antivirussoftware kunnen dan ook beter worden verwijderd, aldus het techbedrijf. Jarenlange stelde Microsoft dat het beter was om bij het gebruik van virusscanners voor Exchange bepaalde folders, bestanden en processen van een scan door antivirussoftware uit te zonderen.

De tijden zijn echter veranderd, aldus Microsoft. Uitzonderingen voor tijdelijke ASP.NET bestanden, Inetsrv folders en de PowerShell en w3wp processen zijn niet langer nodig. Het is dan ook veel beter om deze bestanden en folders wel te scannen. Door deze uitzonderingen aan te houden bestaat namelijk het risico dat webshells en backdoors niet worden gedetecteerd, wat volgens Microsoft tot de meestvoorkomende beveiligingsproblemen behoren. Daarom wordt nu het advies gegeven om deze uitzonderingen in de gebruikte antivirussoftware te verwijderen.

Microsoft heeft naar eigen zeggen gevalideerd dat dit geen gevolgen heeft voor de prestaties en stabiliteit bij het gebruik van Microsoft Defender op Exchange Server 2019 met de laatste Exchange Server-updates. Het techbedrijf denkt dat de uitzonderingen ook veilig zijn te verwijderen in het geval van Exchange Server 2013 en 2016, maar heeft dit niet getest. Organisaties die toch tegen problemen bij deze versies aanlopen wordt in dergelijke gevallen aangeraden de uitzonderingen weer terug te zetten.

Reacties (12)
24-02-2023, 11:52 door Anoniem
Wanneer uitzonderingen in beschermingssoftware nodig zijn vanwege performance, moet je meer resources toekennen, of de risico's die die uitzonderingen opleveren op een andere manier mitigeren. Wanneer uitzonderingen in beschermingssoftware nodig zijn omdat anders andere software niet (goed) werkt, moet je contact opnemen met zowel de leverancier van de beschermingssoftware als van die andere software. Uitzonderingen in beschermingssoftware horen altijd gedocumenteerd en tijdelijk te zijn. imho.
24-02-2023, 15:17 door Anoniem
Het is dan ook veel beter om deze bestanden en folders wel te scannen
Scannen is zo jaren 90. Achteraf scannen is veel te laat, dan is het kwaad al geschied.
24-02-2023, 16:37 door Anoniem
en ik adviseer postfix.
24-02-2023, 18:10 door Anoniem
Door Anoniem: en ik adviseer postfix.
Nu moet ik erg lachen als je deze 2 producten naast elkaar legt.


Door Anoniem:
Het is dan ook veel beter om deze bestanden en folders wel te scannen
Scannen is zo jaren 90. Achteraf scannen is veel te laat, dan is het kwaad al geschied.
En toch werkt het goed, echter je niet hier tegenwoordig niet meer alleen op vertrouwen.
24-02-2023, 20:48 door Anoniem
Door Anoniem: en ik adviseer postfix.
Is hetzelfde advies als, mijn vrachtwagen trekt iets naar links en de garage adviseert je een fiets te nemen.
24-02-2023, 20:57 door Anoniem
Door Anoniem: en ik adviseer postfix.
En waar laat je de emails dan?
Postfix is niet meer dan een MTA
25-02-2023, 11:15 door walmare
Door Anoniem: en ik adviseer postfix.
Ik ook, maar wel i.c.m. b.v. cyrus https://www.cyrusimap.org/ want postfix is inderdaad alleen maar MTA.
Hier wat alternatieven: https://geekflare.com/self-hosted-email-server/
27-02-2023, 10:14 door Anoniem
ja ja wat een reacties. Toch adviseer ik een postfix relay server met scanning etc voor de exchange te zetten.
27-02-2023, 12:58 door Anoniem
Door Anoniem: ja ja wat een reacties. Toch adviseer ik een postfix relay server met scanning etc voor de exchange te zetten.
Want de vulnerabilities die de laatste jaren veelal gevonden worden zitten in de SMTP transport engine? Dat is ook de plek waar de in het artikel genoemde "ASP.NET bestanden, Inetsrv folders en de PowerShell en w3wp processen" los gaan?

Eh, nee. De ellende zit 9 van de 10 keer bij Exchange in de webomgeving die toegang tot mailboxen e.d. moet realiseren.

Overigens, als we het over MTA hebben, adviseer ik toch echt het werk over te laten aan een degelijke cloud scan dienst (Exchange Online Protection, Messagelabs, etc.) of een degelijke on-premise oplossing (Cisco Secure Mail Gateway, fka ESA, fka Ironport) te kiezen. Dat kost muntjes, maar beveiliging kost nou eenmaal wat geld. Het zij zo.
Postfix is slechts een (toegegeven, functioneel niet geheel onbelangerijk) deel van een mailscanning ecosysteem, maar zeker geen totaal oplossing..
27-02-2023, 14:37 door Anoniem
Door Anoniem:
Door Anoniem: ja ja wat een reacties. Toch adviseer ik een postfix relay server met scanning etc voor de exchange te zetten.
Want de vulnerabilities die de laatste jaren veelal gevonden worden zitten in de SMTP transport engine? Dat is ook de plek waar de in het artikel genoemde "ASP.NET bestanden, Inetsrv folders en de PowerShell en w3wp processen" los gaan?

Eh, nee. De ellende zit 9 van de 10 keer bij Exchange in de webomgeving die toegang tot mailboxen e.d. moet realiseren.

Overigens, als we het over MTA hebben, adviseer ik toch echt het werk over te laten aan een degelijke cloud scan dienst (Exchange Online Protection, Messagelabs, etc.) of een degelijke on-premise oplossing (Cisco Secure Mail Gateway, fka ESA, fka Ironport) te kiezen. Dat kost muntjes, maar beveiliging kost nou eenmaal wat geld. Het zij zo.
Postfix is slechts een (toegegeven, functioneel niet geheel onbelangerijk) deel van een mailscanning ecosysteem, maar zeker geen totaal oplossing..

security by layers en de eerste poort scant op malware VOORDAT het op een 'daar scan ik maar niet want anders gaat de servert rood aanlopen' plekje op de exchange machine terrecht komt.

leuk al die buzz words van je, heel stoer, heel impotent, maar back to basics aub.
27-02-2023, 14:40 door Anoniem
Door Anoniem: Wanneer uitzonderingen in beschermingssoftware nodig zijn vanwege performance, moet je meer resources toekennen, of de risico's die die uitzonderingen opleveren op een andere manier mitigeren. Wanneer uitzonderingen in beschermingssoftware nodig zijn omdat anders andere software niet (goed) werkt, moet je contact opnemen met zowel de leverancier van de beschermingssoftware als van die andere software. Uitzonderingen in beschermingssoftware horen altijd gedocumenteerd en tijdelijk te zijn. imho.

Zet jij maar eens on-access file scanning aan op een volume waar een grote SQL database staat... praten we daarna even verder...
27-02-2023, 15:12 door Anoniem
Door Anoniem:
Door Anoniem: ja ja wat een reacties. Toch adviseer ik een postfix relay server met scanning etc voor de exchange te zetten.
Want de vulnerabilities die de laatste jaren veelal gevonden worden zitten in de SMTP transport engine? Dat is ook de plek waar de in het artikel genoemde "ASP.NET bestanden, Inetsrv folders en de PowerShell en w3wp processen" los gaan?

Eh, nee. De ellende zit 9 van de 10 keer bij Exchange in de webomgeving die toegang tot mailboxen e.d. moet realiseren.

Overigens, als we het over MTA hebben, adviseer ik toch echt het werk over te laten aan een degelijke cloud scan dienst (Exchange Online Protection, Messagelabs, etc.) of een degelijke on-premise oplossing (Cisco Secure Mail Gateway, fka ESA, fka Ironport) te kiezen. Dat kost muntjes, maar beveiliging kost nou eenmaal wat geld. Het zij zo.
Postfix is slechts een (toegegeven, functioneel niet geheel onbelangerijk) deel van een mailscanning ecosysteem, maar zeker geen totaal oplossing..
Die degelijk online scandienst gebruikt ook o.a. postfix! Het domste wat je kan doen is een OS gebruiken om te scannen dat zelf ransomware gevoelig is zoals Exchange Online Protection
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.