image

140.000 Exchange-servers vanaf 13 oktober zonder security-updates

woensdag 30 september 2020, 10:08 door Redactie, 17 reacties

Zo'n 140.000 servers die Exchange 2010 draaien zullen over twee weken geen beveiligingsupdates meer ontvangen. Microsoft stopt op 13 oktober namelijk dan de support van de software. In maart van dit jaar werd Exchange 2010 nog op 166.000 servers aangetroffen, een aantal dat nu naar 140.000 is gedaald, zo blijkt uit onderzoek van securitybedrijf Rapid7.

Microsoft heeft de afgelopen jaren verschillende service packs voor Exchange 2010 uitgebracht. Om nog beveiligingsupdates te ontvangen moeten servers over Exchange 2010 Service Pack 3 beschikken, een upgrade die in 2013 uitkwam. Rapid7 ontdekte dat van de 140.000 servers er echter 40.000 op Exchange Service Pack 1 of 2 draaien en dus al jarenlang geen beveiligingsupdates meer ontvangen.

Bijna 54.000 Exchange 2010-servers bleken al zes jaar lang niet meer te zijn bijgewerkt met updates. Zo draaien er bijna 10.000 servers nog de eerste versie van Service Pack 3 die op 12 februari 2013 uitkwam. Verder telde Rapid7 ruim 16.000 Exchange 2007-servers die vanaf het internet toegankelijk zijn en waarvan de ondersteuning op 11 april 2017 eindigde.

Ook bij andere Exchange-servers is het mis. Zo zijn er ruim 102.000 Exchange 2013-servers, waarvan er 35.000 de laatste update draaien. Tienduizenden van deze servers zijn in jaren niet geüpdatet. Op 11 april 2023 stopt Microsoft de ondersteuning van Exchange 2013. Bij Exchange 2016 en 2019 is de situatie niet anders en blijkt een meerderheid niet de laatste update te draaien.

Organisaties die nog met Exchange 2010 werken wordt aangeraden om met spoed hun omgeving naar een wel ondersteunde versie te upgraden. In het geval van Exchange 2013 krijgen organisaties het advies om een migratieplan klaar te hebben liggen, zodat er tijdig kan worden overgestapt. Daarnaast doen organisaties er verstandig aan om de laatste Exchange-updates te installeren.

Image

Reacties (17)
30-09-2020, 10:20 door Anoniem
Dat wordt flink in de buidel tasten, maar dat is geen nieuws.
30-09-2020, 10:34 door Anoniem
En hier maar klagen op MS als er weer iets gebeurt....

Als je zulke oude software draait, en ook nog zonder de laatste patches, dan vraag je er bijna om.
Geen idee wat voor soort organisaties dit zijn, maar IT staat niet echt op de payroll zo te zien.

Misschien kleine semi-commerciële organisaties? Of kleinere bedrijven waar ooit een eerste automatiseringsslag is gemaakt, en geen eigen IT aanwezig is. Of geen en/of vervallen IT support contract. En zolang het werkt is het toch OK?

Zoiets?
30-09-2020, 11:14 door Anoniem
Waarom zouden organisaties met spoed wel naar de nieuwste exchange versie gaan, die ook nog eens veel geld kost, als ze de oude niet eens hebben gepatcht?
Is patchen van Microsoft Exchange dan zo moeilijk?
30-09-2020, 12:01 door Bitje-scheef
Door Anoniem: En hier maar klagen op MS als er weer iets gebeurt....

Als je zulke oude software draait, en ook nog zonder de laatste patches, dan vraag je er bijna om.
Geen idee wat voor soort organisaties dit zijn, maar IT staat niet echt op de payroll zo te zien.

Misschien kleine semi-commerciële organisaties? Of kleinere bedrijven waar ooit een eerste automatiseringsslag is gemaakt, en geen eigen IT aanwezig is. Of geen en/of vervallen IT support contract. En zolang het werkt is het toch OK?

Zoiets?

Je moet ze de kost geven zulke organisaties bestaan nog steeds helaas.
Tot dat de boel crasht of gehackt wordt, dan schreeuwen ze moord en brand en verwachten ze ook nog dat ze als eerste geholpen worden.
30-09-2020, 12:13 door Anoniem
Door Bitje-scheef:
Door Anoniem: En hier maar klagen op MS als er weer iets gebeurt....

Als je zulke oude software draait, en ook nog zonder de laatste patches, dan vraag je er bijna om.
Geen idee wat voor soort organisaties dit zijn, maar IT staat niet echt op de payroll zo te zien.

Misschien kleine semi-commerciële organisaties? Of kleinere bedrijven waar ooit een eerste automatiseringsslag is gemaakt, en geen eigen IT aanwezig is. Of geen en/of vervallen IT support contract. En zolang het werkt is het toch OK?

Zoiets?

Je moet ze de kost geven zulke organisaties bestaan nog steeds helaas.
Tot dat de boel crasht of gehackt wordt, dan schreeuwen ze moord en brand en verwachten ze ook nog dat ze als eerste geholpen worden.

hoewel ik jullie niet tegen spreek an sich, is er ook een andere gedachtengang mogelijk: stel nu eens dat updates stabiel waren en getest in de praktijk, en je niet om economische belangen gedwongen werd door een fabrikant om naar een ander stuk software te moeten gaan en dat die fabrikant patches op basis van best effort blijft geven na een vooraf duidelijk afgesproken eind datum, dan hadden we nu een totaal andere situatie bij menig bedrijf en instelling. je kunt zelfs zo denken: waarom wordt er een stuk software in productie gebruikt dat in de praktijk niet maintained kan worden en met extern gedwongen big-bang migraties eens in de x jaar volledig aangepast moeten worden en dat daar dan een periode van disruptie in de contnuiteit van je buisness. ik weet het het izjn radicale gedachten om zo eens tegen de zaak aan te kijken :).
30-09-2020, 13:59 door Anoniem
Door Anoniem:
Door Bitje-scheef:
Door Anoniem: En hier maar klagen op MS als er weer iets gebeurt....

Als je zulke oude software draait, en ook nog zonder de laatste patches, dan vraag je er bijna om.
Geen idee wat voor soort organisaties dit zijn, maar IT staat niet echt op de payroll zo te zien.

Misschien kleine semi-commerciële organisaties? Of kleinere bedrijven waar ooit een eerste automatiseringsslag is gemaakt, en geen eigen IT aanwezig is. Of geen en/of vervallen IT support contract. En zolang het werkt is het toch OK?

Zoiets?

Je moet ze de kost geven zulke organisaties bestaan nog steeds helaas.
Tot dat de boel crasht of gehackt wordt, dan schreeuwen ze moord en brand en verwachten ze ook nog dat ze als eerste geholpen worden.

hoewel ik jullie niet tegen spreek an sich, is er ook een andere gedachtengang mogelijk: stel nu eens dat updates stabiel waren en getest in de praktijk, en je niet om economische belangen gedwongen werd door een fabrikant om naar een ander stuk software te moeten gaan en dat die fabrikant patches op basis van best effort blijft geven na een vooraf duidelijk afgesproken eind datum, dan hadden we nu een totaal andere situatie bij menig bedrijf en instelling. je kunt zelfs zo denken: waarom wordt er een stuk software in productie gebruikt dat in de praktijk niet maintained kan worden en met extern gedwongen big-bang migraties eens in de x jaar volledig aangepast moeten worden en dat daar dan een periode van disruptie in de contnuiteit van je buisness. ik weet het het izjn radicale gedachten om zo eens tegen de zaak aan te kijken :).
Ik vind dat geen radicale gedachte maar wel een logische. Er is nog niemand ontslagen voor het gebruik van Exchange. Dus Exchange moet want dat gebruiken we al jaren, ondanks al die update/upgrade perikelen. Als je voor iets anders gaat lig je onder een enorm vergrootglas en mag er niets mis gaan, alsof het met MS software nooit mis gaat :)
30-09-2020, 14:02 door Anoniem
Door Anoniem:
Door Bitje-scheef:
Door Anoniem: En hier maar klagen op MS als er weer iets gebeurt....

Als je zulke oude software draait, en ook nog zonder de laatste patches, dan vraag je er bijna om.
Geen idee wat voor soort organisaties dit zijn, maar IT staat niet echt op de payroll zo te zien.

Misschien kleine semi-commerciële organisaties? Of kleinere bedrijven waar ooit een eerste automatiseringsslag is gemaakt, en geen eigen IT aanwezig is. Of geen en/of vervallen IT support contract. En zolang het werkt is het toch OK?

Zoiets?

Je moet ze de kost geven zulke organisaties bestaan nog steeds helaas.
Tot dat de boel crasht of gehackt wordt, dan schreeuwen ze moord en brand en verwachten ze ook nog dat ze als eerste geholpen worden.

hoewel ik jullie niet tegen spreek an sich, is er ook een andere gedachtengang mogelijk: stel nu eens dat updates stabiel waren en getest in de praktijk, en je niet om economische belangen gedwongen werd door een fabrikant om naar een ander stuk software te moeten gaan en dat die fabrikant patches op basis van best effort blijft geven na een vooraf duidelijk afgesproken eind datum, dan hadden we nu een totaal andere situatie bij menig bedrijf en instelling. je kunt zelfs zo denken: waarom wordt er een stuk software in productie gebruikt dat in de praktijk niet maintained kan worden en met extern gedwongen big-bang migraties eens in de x jaar volledig aangepast moeten worden en dat daar dan een periode van disruptie in de contnuiteit van je buisness. ik weet het het izjn radicale gedachten om zo eens tegen de zaak aan te kijken :).

Leestekens, duidelijke en compacte zinnen en alinea's... Erg belangrijk in een reactie ;)

ALLE software is aan wijzigingen onderhevig. Nieuwe features, bug fixes, patches mbt. de veiligheid etc.
De meeste fabrikanten geven duidelijke richtlijnen voor bovengenoemde zaken.
MS heeft, net al vele andere leveranciers, hele uitgebreide documentative om alles een beetje in goede banen te leiden (o.a. TechNet)
MS geeft daarnaast ook duidelijke regels aan mbt. levensduur en support van hun (OS) software.

En ja, updates en nieuwe versies kunnen een hoop kopzorgen opleveren binnen een bedrijf. Hoeveel werk gaat er zitten in het bedrijf breed uitrollen van updates en patches? Werkt alles nog naar behoren daarna? Welke software is 'stuk' na de update? Is dit een bekend probleem? Is er een update?
Hoeveel werk is uitrollen van een volledig nieuwe versie? Is alle data nog compatible? etc. etc. etc.

Je kunt niet meer 10 jaar op bestaande software blijven hangen, en dan denken dat alles nog OK is en je veilig het Internet op kan. Als dit wel zo was, draaiden we allemaal nog Windows XP. Niks radicaals aan.... ;)
30-09-2020, 14:44 door Anoniem
De meeste organisaties die nog Exchange 2010 draaien en nog niet over gegaan zijn zou ik categoriseren in 3 verschillende vakken.

#1 don't know, don't care, as long as e-mail works
#2 willen wel, maar kunnen nog niet (want beheerder is duur, dood, geen tijd, outsourced, niemand weet dat we exchange draaien, draait nog wat specifieke software op/hardware aan welke niet aangepast kan worden)
#3 weten dat we moeten migreren maar gelukkig hebben we voor de Exchange server nog hard- en software staan die issue mitigeren.
30-09-2020, 17:53 door Anoniem
Door Anoniem: De meeste organisaties die nog Exchange 2010 draaien en nog niet over gegaan zijn zou ik categoriseren in 3 verschillende vakken.

#1 don't know, don't care, as long as e-mail works
#2 willen wel, maar kunnen nog niet (want beheerder is duur, dood, geen tijd, outsourced, niemand weet dat we exchange draaien, draait nog wat specifieke software op/hardware aan welke niet aangepast kan worden)
#3 weten dat we moeten migreren maar gelukkig hebben we voor de Exchange server nog hard- en software staan die issue mitigeren.
Of wellicht SBS gebruikers die nu tegen de hoge kosten oplopen van de overstap naar Windows server 2019 en Exchange 2019 omdat SBS voor MKB niet meer geleverd wordt. En kom niet met de smoes Office365 want sommige willen dat niet of kunnen dat niet vanwege bepaalde afspraken met externe partijen.
30-09-2020, 18:07 door Anoniem
Door Anoniem: De meeste organisaties die nog Exchange 2010 draaien en nog niet over gegaan zijn zou ik categoriseren in 3 verschillende vakken.

#1 don't know, don't care, as long as e-mail works
#2 willen wel, maar kunnen nog niet (want beheerder is duur, dood, geen tijd, outsourced, niemand weet dat we exchange draaien, draait nog wat specifieke software op/hardware aan welke niet aangepast kan worden)
#3 weten dat we moeten migreren maar gelukkig hebben we voor de Exchange server nog hard- en software staan die issue mitigeren.

#2... Je zal maar met een telefooncentrale zitten die alleen praat met een lync2010 attendant (of nog erger OCS 2007R2, met dual forking functie - ook tegen gekomen) en die gekoppeld zit aan exchange 2010 UM met een gigantische publicfolder gebaseerde applicatie infrastructuur die je ook niet "even" uitfaseert.

De hele boel vervangen door iets courants kost klauwen met geld, je gaat een groot deel van soms voor de business essentiele functionaliteit kwijt raken en door beleidsregels die van bovenaf zijn opgelegd niet kan overstappen naar een clouddienst die het in ieder geval betaalbaar zou kunnen maken. Maar je krijgt ook het budget niet om het wel te doen.

Tsjaaaaaa... Soms ben je met handen gebonden en dan zul je het idd met optie #3 moeten oplossen... en een van de belangrijkste redenen waarom ik maatwerk applicaties echt háát.
01-10-2020, 10:20 door Bitje-scheef
Soms ben je met handen gebonden en dan zul je het idd met optie #3 moeten oplossen... en een van de belangrijkste redenen waarom ik maatwerk applicaties echt háát.

Toch is ook dit goed te ondervangen. Kwestie van modulair coding. Maatwerk geeft aan de andere kant veel meer efficiëntie, tenminste als dit goed wordt uitgevoerd.
01-10-2020, 21:21 door Anoniem
Vandaar dat Outlook er uit ligt (en eerder al office365): https://portal.office.com/servicestatus
01-10-2020, 23:28 door Anoniem
Door Anoniem: Vandaar dat Outlook er uit ligt (en eerder al office365): https://portal.office.com/servicestatus
En dat heeft te maken met die oude Exchange-servers, je maakt jezelf een beetje belachelijk!
02-10-2020, 12:19 door Anoniem
Door Anoniem:
Door Anoniem: Vandaar dat Outlook er uit ligt (en eerder al office365): https://portal.office.com/servicestatus
En dat heeft te maken met die oude Exchange-servers, je maakt jezelf een beetje belachelijk!
Denk eens even door. Dat heeft met het moeilijke patchen van MS te maken. Kon wel eens de reden zijn voor het niet patchen van deze oude servers.
02-10-2020, 12:47 door Anoniem
Door Anoniem: Vandaar dat Outlook er uit ligt (en eerder al office365): https://portal.office.com/servicestatus

Was dat niet OWA alleen? Outlook heeft het gisteren bij mij gewoon zonder enige problemen gewerkt. OWA alleen niet...
Het was dus OWA, en Office 365 heeft er ook niet uitgelegen, er waren wat authenticatie issues deze week. maar Office 365 lag er niet uit.

Vandaag heeft dit ook helemaal niets met dit topic te maken. En laat je duidelijk niet, dat je nog een hoop te leren het.
02-10-2020, 15:07 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Vandaar dat Outlook er uit ligt (en eerder al office365): https://portal.office.com/servicestatus
En dat heeft te maken met die oude Exchange-servers, je maakt jezelf een beetje belachelijk!
Denk eens even door. Dat heeft met het moeilijke patchen van MS te maken. Kon wel eens de reden zijn voor het niet patchen van deze oude servers.
Ik reageerde op de Outlook opmerking!
02-10-2020, 21:51 door Anoniem
Door Anoniem:
Door Anoniem: Vandaar dat Outlook er uit ligt (en eerder al office365): https://portal.office.com/servicestatus

Was dat niet OWA alleen? Outlook heeft het gisteren bij mij gewoon zonder enige problemen gewerkt. OWA alleen niet...
Het was dus OWA, en Office 365 heeft er ook niet uitgelegen, er waren wat authenticatie issues deze week. maar Office 365 lag er niet uit.

Vandaag heeft dit ook helemaal niets met dit topic te maken. En laat je duidelijk niet, dat je nog een hoop te leren het.
https://www.zdnet.com/article/office-365-outage-ongoing-after-roll-back-fails/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.