140.000 Exchange-servers vanaf 13 oktober zonder security-updates
Zo'n 140.000 servers die Exchange 2010 draaien zullen over twee weken geen beveiligingsupdates meer ontvangen. Microsoft stopt op 13 oktober namelijk dan de support van de software. In maart van dit jaar werd Exchange 2010 nog op 166.000 servers aangetroffen, een aantal dat nu naar 140.000 is gedaald, zo blijkt uit onderzoek van securitybedrijf Rapid7.
Microsoft heeft de afgelopen jaren verschillende service packs voor Exchange 2010 uitgebracht. Om nog beveiligingsupdates te ontvangen moeten servers over Exchange 2010 Service Pack 3 beschikken, een upgrade die in 2013 uitkwam. Rapid7 ontdekte dat van de 140.000 servers er echter 40.000 op Exchange Service Pack 1 of 2 draaien en dus al jarenlang geen beveiligingsupdates meer ontvangen.
Bijna 54.000 Exchange 2010-servers bleken al zes jaar lang niet meer te zijn bijgewerkt met updates. Zo draaien er bijna 10.000 servers nog de eerste versie van Service Pack 3 die op 12 februari 2013 uitkwam. Verder telde Rapid7 ruim 16.000 Exchange 2007-servers die vanaf het internet toegankelijk zijn en waarvan de ondersteuning op 11 april 2017 eindigde.
Ook bij andere Exchange-servers is het mis. Zo zijn er ruim 102.000 Exchange 2013-servers, waarvan er 35.000 de laatste update draaien. Tienduizenden van deze servers zijn in jaren niet geüpdatet. Op 11 april 2023 stopt Microsoft de ondersteuning van Exchange 2013. Bij Exchange 2016 en 2019 is de situatie niet anders en blijkt een meerderheid niet de laatste update te draaien.
Organisaties die nog met Exchange 2010 werken wordt aangeraden om met spoed hun omgeving naar een wel ondersteunde versie te upgraden. In het geval van Exchange 2013 krijgen organisaties het advies om een migratieplan klaar te hebben liggen, zodat er tijdig kan worden overgestapt. Daarnaast doen organisaties er verstandig aan om de laatste Exchange-updates te installeren.
Als je zulke oude software draait, en ook nog zonder de laatste patches, dan vraag je er bijna om.
Geen idee wat voor soort organisaties dit zijn, maar IT staat niet echt op de payroll zo te zien.
Misschien kleine semi-commerciële organisaties? Of kleinere bedrijven waar ooit een eerste automatiseringsslag is gemaakt, en geen eigen IT aanwezig is. Of geen en/of vervallen IT support contract. En zolang het werkt is het toch OK?
Zoiets?
Is patchen van Microsoft Exchange dan zo moeilijk?
Als je zulke oude software draait, en ook nog zonder de laatste patches, dan vraag je er bijna om.
Geen idee wat voor soort organisaties dit zijn, maar IT staat niet echt op de payroll zo te zien.
Misschien kleine semi-commerciële organisaties? Of kleinere bedrijven waar ooit een eerste automatiseringsslag is gemaakt, en geen eigen IT aanwezig is. Of geen en/of vervallen IT support contract. En zolang het werkt is het toch OK?
Zoiets?
Je moet ze de kost geven zulke organisaties bestaan nog steeds helaas.
Tot dat de boel crasht of gehackt wordt, dan schreeuwen ze moord en brand en verwachten ze ook nog dat ze als eerste geholpen worden.
Als je zulke oude software draait, en ook nog zonder de laatste patches, dan vraag je er bijna om.
Geen idee wat voor soort organisaties dit zijn, maar IT staat niet echt op de payroll zo te zien.
Misschien kleine semi-commerciële organisaties? Of kleinere bedrijven waar ooit een eerste automatiseringsslag is gemaakt, en geen eigen IT aanwezig is. Of geen en/of vervallen IT support contract. En zolang het werkt is het toch OK?
Zoiets?
Je moet ze de kost geven zulke organisaties bestaan nog steeds helaas.
Tot dat de boel crasht of gehackt wordt, dan schreeuwen ze moord en brand en verwachten ze ook nog dat ze als eerste geholpen worden.
hoewel ik jullie niet tegen spreek an sich, is er ook een andere gedachtengang mogelijk: stel nu eens dat updates stabiel waren en getest in de praktijk, en je niet om economische belangen gedwongen werd door een fabrikant om naar een ander stuk software te moeten gaan en dat die fabrikant patches op basis van best effort blijft geven na een vooraf duidelijk afgesproken eind datum, dan hadden we nu een totaal andere situatie bij menig bedrijf en instelling. je kunt zelfs zo denken: waarom wordt er een stuk software in productie gebruikt dat in de praktijk niet maintained kan worden en met extern gedwongen big-bang migraties eens in de x jaar volledig aangepast moeten worden en dat daar dan een periode van disruptie in de contnuiteit van je buisness. ik weet het het izjn radicale gedachten om zo eens tegen de zaak aan te kijken :).
Als je zulke oude software draait, en ook nog zonder de laatste patches, dan vraag je er bijna om.
Geen idee wat voor soort organisaties dit zijn, maar IT staat niet echt op de payroll zo te zien.
Misschien kleine semi-commerciële organisaties? Of kleinere bedrijven waar ooit een eerste automatiseringsslag is gemaakt, en geen eigen IT aanwezig is. Of geen en/of vervallen IT support contract. En zolang het werkt is het toch OK?
Zoiets?
Je moet ze de kost geven zulke organisaties bestaan nog steeds helaas.
Tot dat de boel crasht of gehackt wordt, dan schreeuwen ze moord en brand en verwachten ze ook nog dat ze als eerste geholpen worden.
hoewel ik jullie niet tegen spreek an sich, is er ook een andere gedachtengang mogelijk: stel nu eens dat updates stabiel waren en getest in de praktijk, en je niet om economische belangen gedwongen werd door een fabrikant om naar een ander stuk software te moeten gaan en dat die fabrikant patches op basis van best effort blijft geven na een vooraf duidelijk afgesproken eind datum, dan hadden we nu een totaal andere situatie bij menig bedrijf en instelling. je kunt zelfs zo denken: waarom wordt er een stuk software in productie gebruikt dat in de praktijk niet maintained kan worden en met extern gedwongen big-bang migraties eens in de x jaar volledig aangepast moeten worden en dat daar dan een periode van disruptie in de contnuiteit van je buisness. ik weet het het izjn radicale gedachten om zo eens tegen de zaak aan te kijken :).
Als je zulke oude software draait, en ook nog zonder de laatste patches, dan vraag je er bijna om.
Geen idee wat voor soort organisaties dit zijn, maar IT staat niet echt op de payroll zo te zien.
Misschien kleine semi-commerciële organisaties? Of kleinere bedrijven waar ooit een eerste automatiseringsslag is gemaakt, en geen eigen IT aanwezig is. Of geen en/of vervallen IT support contract. En zolang het werkt is het toch OK?
Zoiets?
Je moet ze de kost geven zulke organisaties bestaan nog steeds helaas.
Tot dat de boel crasht of gehackt wordt, dan schreeuwen ze moord en brand en verwachten ze ook nog dat ze als eerste geholpen worden.
hoewel ik jullie niet tegen spreek an sich, is er ook een andere gedachtengang mogelijk: stel nu eens dat updates stabiel waren en getest in de praktijk, en je niet om economische belangen gedwongen werd door een fabrikant om naar een ander stuk software te moeten gaan en dat die fabrikant patches op basis van best effort blijft geven na een vooraf duidelijk afgesproken eind datum, dan hadden we nu een totaal andere situatie bij menig bedrijf en instelling. je kunt zelfs zo denken: waarom wordt er een stuk software in productie gebruikt dat in de praktijk niet maintained kan worden en met extern gedwongen big-bang migraties eens in de x jaar volledig aangepast moeten worden en dat daar dan een periode van disruptie in de contnuiteit van je buisness. ik weet het het izjn radicale gedachten om zo eens tegen de zaak aan te kijken :).
Leestekens, duidelijke en compacte zinnen en alinea's... Erg belangrijk in een reactie ;)
ALLE software is aan wijzigingen onderhevig. Nieuwe features, bug fixes, patches mbt. de veiligheid etc.
De meeste fabrikanten geven duidelijke richtlijnen voor bovengenoemde zaken.
MS heeft, net al vele andere leveranciers, hele uitgebreide documentative om alles een beetje in goede banen te leiden (o.a. TechNet)
MS geeft daarnaast ook duidelijke regels aan mbt. levensduur en support van hun (OS) software.
En ja, updates en nieuwe versies kunnen een hoop kopzorgen opleveren binnen een bedrijf. Hoeveel werk gaat er zitten in het bedrijf breed uitrollen van updates en patches? Werkt alles nog naar behoren daarna? Welke software is 'stuk' na de update? Is dit een bekend probleem? Is er een update?
Hoeveel werk is uitrollen van een volledig nieuwe versie? Is alle data nog compatible? etc. etc. etc.
Je kunt niet meer 10 jaar op bestaande software blijven hangen, en dan denken dat alles nog OK is en je veilig het Internet op kan. Als dit wel zo was, draaiden we allemaal nog Windows XP. Niks radicaals aan.... ;)
#1 don't know, don't care, as long as e-mail works
#2 willen wel, maar kunnen nog niet (want beheerder is duur, dood, geen tijd, outsourced, niemand weet dat we exchange draaien, draait nog wat specifieke software op/hardware aan welke niet aangepast kan worden)
#3 weten dat we moeten migreren maar gelukkig hebben we voor de Exchange server nog hard- en software staan die issue mitigeren.
#1 don't know, don't care, as long as e-mail works
#2 willen wel, maar kunnen nog niet (want beheerder is duur, dood, geen tijd, outsourced, niemand weet dat we exchange draaien, draait nog wat specifieke software op/hardware aan welke niet aangepast kan worden)
#3 weten dat we moeten migreren maar gelukkig hebben we voor de Exchange server nog hard- en software staan die issue mitigeren.
#1 don't know, don't care, as long as e-mail works
#2 willen wel, maar kunnen nog niet (want beheerder is duur, dood, geen tijd, outsourced, niemand weet dat we exchange draaien, draait nog wat specifieke software op/hardware aan welke niet aangepast kan worden)
#3 weten dat we moeten migreren maar gelukkig hebben we voor de Exchange server nog hard- en software staan die issue mitigeren.
#2... Je zal maar met een telefooncentrale zitten die alleen praat met een lync2010 attendant (of nog erger OCS 2007R2, met dual forking functie - ook tegen gekomen) en die gekoppeld zit aan exchange 2010 UM met een gigantische publicfolder gebaseerde applicatie infrastructuur die je ook niet "even" uitfaseert.
De hele boel vervangen door iets courants kost klauwen met geld, je gaat een groot deel van soms voor de business essentiele functionaliteit kwijt raken en door beleidsregels die van bovenaf zijn opgelegd niet kan overstappen naar een clouddienst die het in ieder geval betaalbaar zou kunnen maken. Maar je krijgt ook het budget niet om het wel te doen.
Tsjaaaaaa... Soms ben je met handen gebonden en dan zul je het idd met optie #3 moeten oplossen... en een van de belangrijkste redenen waarom ik maatwerk applicaties echt háát.
Toch is ook dit goed te ondervangen. Kwestie van modulair coding. Maatwerk geeft aan de andere kant veel meer efficiëntie, tenminste als dit goed wordt uitgevoerd.
Was dat niet OWA alleen? Outlook heeft het gisteren bij mij gewoon zonder enige problemen gewerkt. OWA alleen niet...
Het was dus OWA, en Office 365 heeft er ook niet uitgelegen, er waren wat authenticatie issues deze week. maar Office 365 lag er niet uit.
Vandaag heeft dit ook helemaal niets met dit topic te maken. En laat je duidelijk niet, dat je nog een hoop te leren het.
Was dat niet OWA alleen? Outlook heeft het gisteren bij mij gewoon zonder enige problemen gewerkt. OWA alleen niet...
Het was dus OWA, en Office 365 heeft er ook niet uitgelegen, er waren wat authenticatie issues deze week. maar Office 365 lag er niet uit.
Vandaag heeft dit ook helemaal niets met dit topic te maken. En laat je duidelijk niet, dat je nog een hoop te leren het.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.