{"id":256958,"date":"2021-08-25T01:15:48","date_gmt":"2021-08-24T23:15:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256958"},"modified":"2021-08-26T12:19:52","modified_gmt":"2021-08-26T10:19:52","slug":"proxyshell-proxylogon-und-microsofts-exchange-doku-fr-ausnahmen-vom-virenschutz","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/25\/proxyshell-proxylogon-und-microsofts-exchange-doku-fr-ausnahmen-vom-virenschutz\/","title":{"rendered":"ProxyShell, ProxyLogon und Microsofts Exchange-Doku für Ausnahmen vom Virenschutz"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Microsoft hat am 20. August 2021 eine Dokumentation zum Thema Virenschutz bei on-premises Microsoft Exchange Servern ver\u00f6ffentlicht. Dort werden auch Empfehlungen bez\u00fcglich des Ausschlusses bestimmter Ordern vom Virenscan gegeben. Andererseits erleben wir Angriffswellen auf Exchange Server \u00fcber Schwachstellen wie ProxyShell und ProxyLogon. Die Angreifer hinterlegen dann eine WebShell auf den infizierten Exchange-Systemen. Von daher ist die Frage berechtigt, ob die Empfehlungen Microsofts da ein guter Ratschlag sind.<\/p>\n

<\/p>\n

Antivirus und Exchange Server<\/h2>\n

\"\"\u00dcber Windows-Antivirenprogramme, die auf Microsoft Exchange-Servern ausf\u00fchren werden, l\u00e4sst sich die Sicherheit und der Zustand dieser Systeme verbessern. Im Supportbeitrag Running Windows antivirus software on Exchange servers<\/a> geht Microsoft auf Fragen rund um das Thema Antivirus zur Absicherung von Exchange-Servern ein. Die Botschaft: Wenn die Virenscanner nicht richtig konfiguriert sind, k\u00f6nnen Windows-Antivirenprogramme Probleme in Exchange Server verursachen.<\/p>\n

Dazu schreibt Microsoft: Das gr\u00f6\u00dfte potenzielle Problem ist, dass ein Windows-Antivirenprogramm eine ge\u00f6ffnete Protokoll- oder Datenbankdatei, die Exchange \u00e4ndern muss, sperren oder unter Quarant\u00e4ne stellen kann. Dies kann zu schwerwiegenden Fehlern in Exchange Server f\u00fchren und m\u00f6glicherweise auch 1018-Ereignisprotokollfehler erzeugen. Daher ist es sehr wichtig, diese Dateien von der \u00dcberpr\u00fcfung durch das Windows-Antivirenprogramm auszuschlie\u00dfen. Im Supportbeitrag Running Windows antivirus software on Exchange servers<\/a> gibt Microsoft einen ganze Reihe Ordner an, die Administratoren beim Scan durch Antivirus-Programme ausnehmen sollen.<\/p>\n

Ordnerausschl\u00fcsse keine gute Idee?<\/h2>\n

Ex Kurzzeit-Microsoft-Mitarbeiter und Sicherheitsforscher Kevin Beaumont ist \u00fcber den Supportbeitrag gestolpert und weist in nachfolgendem Tweet<\/a> prompt darauf hin, dass bei den ProxyShell- und ProxyLogon-Angriffen zu beachten sei, dass die Microsoft-eigene Exchange-Dokumentation die Administratoren anweist, alle Prozesse und Ordner auszuschlie\u00dfen, die von Angreifern verwendet werden.<\/p>\n

\"Exchange<\/a><\/p>\n

Seine Empfehlung<\/a> ist, die Liste der auszuschlie\u00dfenden Ordner kritisch durchzugehen und zu entscheiden, was wirklich vom Scan ausgenommen werden soll.<\/p>\n

\"Exchange<\/a><\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a>
\nWichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nExchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nNeues zum Exchange-Hack \u2013 Testtools von Microsoft & Co.<\/a>
\nMicrosoft MSERT hilft bei Exchange-Server-Scans<\/a>
\nExchange-Hack: Neue Patches und neue Erkenntnisse<\/a>
\nAnatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a>
\nExchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a>
\nNeues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a>
\nGab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a>
\nProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a>
\nMicrosoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben<\/a>
\nSicherheitsupdate f\u00fcr Exchange Server 2013 Service Pack 1 \u2013 Neue CUs f\u00fcr Exchange 2019 und 2016 (16.3.2021)<\/a>
\nMicrosoft Defender schlie\u00dft automatisch CVE-2021-26855 auf Exchange Server<\/a>
\nExchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)<\/a>
\nNeues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)<\/a>
\nVorwarnung: 0-Day-Schwachstellen, ist das n\u00e4chste Exchange-Drama im Anrollen?<\/a>
\nSicherheitsupdates f\u00fcr Exchange Server (Juli 2021)<\/a>
\nKumulative Exchange Updates Juni 2021 ver\u00f6ffentlicht<\/a>
\nExchange Server Security Update KB5001779 (13. April 2021)<\/a>
\nExchange-Schwachstellen: Droht Hafnium II?<\/a>
\nExchange Server: Neues zu den ProxyShell-Schwachstellen<\/a>
\nAngriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)<\/a>
\nAngriffswelle, fast 2.000 Exchange-Server \u00fcber ProxyShell gehackt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft hat am 20. August 2021 eine Dokumentation zum Thema Virenschutz bei on-premises Microsoft Exchange Servern ver\u00f6ffentlicht. Dort werden auch Empfehlungen bez\u00fcglich des Ausschlusses bestimmter Ordern vom Virenscan gegeben. Andererseits erleben wir Angriffswellen auf Exchange Server \u00fcber Schwachstellen wie ProxyShell … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,161],"tags":[5359,4313],"class_list":["post-256958","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-virenschutz","tag-exchange","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256958","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=256958"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256958\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=256958"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=256958"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=256958"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}