Exchange Server : Microsoft veut débrancher des exclusions de son antivirus

« Les temps ont changé, tout comme le paysage de la cybersécurité », explique Microsoft dans un blog pour justifier son conseil auprès des administrateurs d’Exchange Server de supprimer certaines exclusions de son antivirus maison Defender. Ces règles ne sont plus nécessaires à la stabilité du serveur et leur présence pourrait empêcher la détection de portes dérobées déployées par des attaquants.

« Nous avons constaté que certaines exclusions existantes -à savoir les dossiers ASP.NET Files temporaires et Inetsrv, ainsi que les processus PowerShell et w3wp- ne sont plus nécessaires, et qu'il serait préférable d'analyser ces fichiers et dossiers. Conserver ces exclusions peut empêcher la détection de webshells IIS et de modules backdoor, qui représentent les problèmes de sécurité les plus courants », précise le billet de blog.

Des exclusions essentielles à la stabilité d’Exchange

Si Microsoft a toujours encouragé l'exécution de son antivirus sur les serveurs Exchange pour une meilleure protection, elle a également publié des directives pour prévenir les éventuels conflits et problèmes de stabilité que ceux-ci peuvent causer lors de l’analyse de la mémoire ou des fichiers. « Le plus gros problème potentiel est qu'un programme antivirus Windows peut verrouiller ou mettre en quarantaine un fichier journal ouvert ou un fichier de base de données qu'Exchange doit modifier », explique la documentation de l’éditeur. « Cela peut provoquer de graves défaillances dans Exchange Server, et également générer des erreurs 1018 dans le journal des événements. Par conséquent, l'exclusion de ces fichiers de l'analyse par l’antivirus de Windows est très importante ».

La liste des exclusions recommandées comprend de nombreux dossiers et fichiers relatifs aux groupes de disponibilité des bases de données, aux carnets d'adresses hors ligne, aux bases de données de boîtes de messagerie, aux journaux de processus, aux files d'attente, aux composants Web, à la conversion de contenu, à la messagerie unifiée, aux journaux de transport, au filtrage des connexions et à la synchronisation. Ils comprennent également une longue liste de processus et de types de fichiers en cours d'exécution. De plus, ces dossiers, processus et extensions de fichiers peuvent être différents selon les versions d'Exchange.

La plupart de ces exclusions antivirus sont toujours essentielles à la stabilité d'Exchange et ne devraient pas être supprimées. Celles qui, selon Microsoft, ne méritent plus d'être conservées sont les suivantes :

%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\ v4.0.30319\Temporary ASP.NET Files

%SystemRoot%\System32\Inetsrv

%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe

%SystemRoot%\System32\inetsrv\w3wp.exe

L'équipe d'Exchange Server a validé que la suppression de ces exclusions n'a aucun impact sur les performances lors de l'utilisation de Defender sur Exchange Server 2019 exécutant les dernières mises à jour d'Exchange Server. Ils pensent aussi qu'il devrait être sûr de les supprimer d'Exchange Server 2016 et d'Exchange Server 2013, dont le support se termine en avril, mais ils conseillent aux administrateurs de garder un œil sur les serveurs et en cas de  problèmes, de rajouter simplement les exclusions.

Pourquoi supprimer ces exclusions particulières ?

Ces dernières années, les serveurs web Exchange et IIS ont été la cible constante des attaquants qui exploitent les vulnérabilités non corrigés pour installer des webshells ou des modules d'extension malveillants. Début 2021, des centaines de serveurs Exchange ont été piratés grâce à des vulnérabilités de type « zero day » par un groupe de cyberespions chinois surnommé Hafnium. Le groupe a déployé des webshells - des scripts de porte dérobée accessibles à distance - sur les serveurs, un incident suffisamment grave pour que le FBI obtienne un mandat exceptionnel pour se connecter aux serveurs privés et supprimer les malwares. En juillet de la même année, un autre groupe APT, surnommé Praying Mantis, a exploité des failles de sérialisation dans les applications ASP.NET pour déployer des logiciels malveillants sur les serveurs IIS. Ce malware, baptisé NodeIISWeb, a été conçu pour détourner la fonctionnalité IIS et a été injecté dans le processus w3wp.exe.

Les attaques contenant des logiciels malveillants ciblant IIS (Internet Information Services) se poursuivent, l’éditeur de l’antivirus ESET a repéré 14 groupes utilisant des portes dérobées et des voleurs d'informations IIS, dont beaucoup sont déployés sous forme d'extensions ou de modules IIS. Certains d'entre eux visaient les serveurs Exchange avec Outlook on the web (OWA) activé, car OWA est servi par IIS. L’an dernier, Kaspersky Lab a signalé que des serveurs Exchange appartenant à des organisations gouvernementales et militaires d'Europe, d'Asie du Sud, du Moyen-Orient et d'Afrique étaient infectés par un malware appelé SessionManager qui fonctionnait comme un module IIS. Toutes ces offensives permettent de comprendre pourquoi Microsoft a choisi ces exclusions antivirus particulières : le dossier des fichiers temporaires ASP.NET parce que les attaquants ont exploité les applications ASP.NET, le processus w3wp.exe parce que les malwares y sont directement injectés, PowerShell car de nombreuses portes dérobées prennent la forme de scripts PowerShell, et le dossier Inetsrv car c'est le dossier d'installation d'IIS où peuvent être déployés les modules et extensions malveillants.