Veel Microsoft Exchange servers niet up-to-date

16 okt 2020

Microsoft Exchange is een veel gebruikte mailserver oplossing door bedrijven. Het afgelopen jaar berichtte het DTC over een aantal ernstige kwetsbaarheden (CVE-2020-0688, CVE-2020-16875) binnen Exchange waar Microsoft beveiligingsupdates voor beschikbaar heeft gesteld. Op internet zijn nog steeds veel Exchange Servers te vinden die deze updates niet hebben geïnstalleerd. Daarnaast maken sommige bedrijven nog gebruik van een Exchange Server versie die niet meer wordt ondersteund (End-of-Life). Microsoft Exchange Server 2010 is daar sinds 13 oktober 2020 bij gekomen.

Wat is een Exchange Server?

Exchange is een product van Microsoft dat wordt ingezet als mailserver om e-mails te ontvangen en verzenden met vaak een eigen domein (@bedrijf.nl) als afzender. Daarnaast geeft een Exchange Server de mogelijkheid om e-mail, contacten en agenda’s te synchroniseren met verschillende apparaten.

Veel bedrijven gebruiken tegenwoordig e-mail in de cloud zoals bijvoorbeeld Office 365 of Gmail, maar ondanks deze trend zijn er ook nog veel bedrijven die een eigen e-mail server draaien. In veel gevallen wordt hiervoor Microsoft Exchange Server gebruikt.

Wat is het risico?

Wanneer een Exchange Server niet tijdig wordt voorzien van de laatste (beveiliging)updates of deze niet meer worden uitgebracht (end-of-life) bestaat het risico dat hackers misbruik maken van bestaande kwetsbaarheden.

Onder andere de genoemde kwetsbaarheden (CVE-2020-0688, CVE-2020-16875) worden door het NCSC als HIGH/HIGH ingeschaald wat inhoud dat er een grote kans is dat deze kwetsbaarheden worden misbruikt en dat de potentiële schade groot kan zijn.

Naast de kans op misbruik door hackers verhelpen de updates ook fouten(bugs) in de software die ervoor kunnen zorgen dat het product niet meer naar behoren functioneert.

Welke versies worden nog ondersteund?

Microsoft Exchange kent sinds 1996 meerdere versies waarvan een groot deel niet meer ondersteund wordt. Microsoft Exchange 2010 is daar recentelijk (13 oktober 2020) bij gekomen maar wordt nog steeds door veel bedrijven gebruikt. Ditzelfde geld ook voor Microsoft Exchange 2007 die al sinds 11 april 2017 niet meer wordt ondersteund.

Op de website van Microsoft is een volledig overzicht te vinden Exchange Servers en wanneer de ondersteuning verloopt of verlopen is. Hieronder vind je de versies die nog wel worden ondersteund en tot wanneer.

  • Exchange Server 2013:     11- 4 -2023
  • Exchange Server 2016:     14-10-2025
  • Exchange Server 2019:     14-10-2025

Wat kan ik doen?

Als jouw bedrijf gebruik maakt van een Microsoft Exchange omgeving, dan is het belangrijk dat dit een versie is die nog ondersteund wordt en is voorzien van de laatste (beveiliging)updates. Wanneer je niet zeker weet of er binnen je bedrijf gebruik gemaakt wordt van Microsoft Exchange of om welke versie het gaat, neem dan contact op met je IT-dienstverlener.

Je kunt de volgende stappen doorlopen of bespreken met je IT-dienstverlener.

  • Voorzie de Exchange Server(s) binnen je bedrijf van de laatste (beveiliging)updates. Besteed hierbij extra aandacht aan “Cumulative Updates”. (Zie het kopje aanvullende informatie op deze pagina)
  • Richt een proces in om periodiek te controleren of de Exchange Server(s) binnen je organisatie is voorzien van de laatste (beveiliging)updates om zo ook voor toekomstige kwetsbaarheden tijdig beschermd te zijn.
  • Controleer of de versie van Exchange nog ondersteund wordt door Microsoft (zie het overzicht in dit bericht). Wanneer dit niet het geval is of de einddatum nadert, overweeg dan het volgende.
    • Exchange Servers kunnen niet worden “geüpgraded” naar een nieuwere versie. Er zal dus altijd een migratie noodzakelijk zijn. Hierbij is het aan te raden om te migreren naar de laatst beschikbare versie. Op dit moment is dat Exchange Server 2019.
    • Overweeg een migratie naar de Cloud. In het geval van Microsoft gaat het om de mail omgeving van Office 365. Lees op de website van Microsoft over de manieren om te migreren naar Office 365.

Aanvullende informatie over "Cumulative Update"

Let op! Weet dat beveiligingsupdates voor Microsoft Exchange alleen beschikbaar zijn voor servers die een bepaalde versie van de zogenaamde “Cumulative Update” geïnstalleerd hebben staan. Een “Cumulative Update” brengt Microsoft per Exchange Server versie om de 3 à 4 maanden uit. Voor Exchange Server 2013, 2016 en 2019 dient een “Cumulative Update” handmatig geïnstalleerd te worden. Je kunt dus niet alleen leunen op automatische updates. Microsoft geeft op deze pagina meer informatie over de beschikbare “Cumulative Updates” en hoe je kunt nagaan welke geïnstalleerd staat.