Veel Microsoft Exchange servers niet up-to-date

UPDATE – Misbruik kan leiden tot backdoor

Wanneer een kwetsbaarheid actief wordt misbruikt op het moment dat beveiligingsupdates nog niet beschikbaar of doorgevoerd zijn, dan is er altijd een kans dat misbruik al heeft plaats gevonden. Naast het misbruik wat je vaak direct opmerkt, is het ook belangrijk om je bewust te zijn dat een aanvaller graag toegang behoudt tot een server. Dit wordt vaak gedaan door een zogenoemde 'backdoor' in te richten. Hiermee bereik je dat je nog steeds toegang kunt verkrijgen, ook nadat de kwetsbaarheid is opgelost.

Nederlandse securityspecialist Eye Security heeft een onderzoek gepubliceerd naar een door hen gevonden backdoor op een Microsoft Exchange server. Naar alle waarschijnlijkheid is deze backdoor geïnstalleerd door misbruik te maken van de ernstige “Proxylogon” kwetsbaarheid van begin maart 2021. Dit onderzoek beschrijft dat backdoors als deze vaak lastig te ontdekken zijn. Meer informatie over deze Microsoft Exchange Server backdoor, hoe deze te detecteren en uit te schakelen is, lees je in het Eye Security onderzoek.

Twijfel je of jouw Exchange-omgeving tijdig voorzien is van beveiligingsupdates naar aanleiding van ernstige kwetsbaarheden zoals “Proxylogon” of “Proxyshell”, controleer dan je servers op eventuele backdoors zoals beschreven in het onderzoek van Eye Security. Heb je het beheer van je servers uitbesteed aan een IT-dienstverlener? Bespreek dan of er controles op backdoors kunnen plaatsvinden.

> Blogpost Eye over backdoor Microsoft Exchange server

UPDATE - Nog veel kwetsbare Microsoft Exchange servers

22 april 2022

Uit verschillende actuele berichten blijkt dat er nog altijd misbruik gemaakt wordt van kwetsbare Microsoft Exchange servers. Zo bericht de Amerikaanse FBI over ransomware-aanvallen via Exchange beveiligingslekken.

Wanneer een Exchange Server niet tijdig wordt voorzien van de laatste (beveiliging)updates of deze niet meer worden uitgebracht (end-of-life) bestaat het risico dat hackers misbruik maken van bestaande kwetsbaarheden.

Het DTC adviseert daarom nogmaals om uw Microsoft Exchange servers zo snel mogelijk te updaten.

Op de website van Microsoft is een volledig overzicht te vinden Exchange Servers en wanneer de ondersteuning verloopt of verlopen is.

Oorspronkelijk bericht 16 okt 2020

Microsoft Exchange is een veel gebruikte mailserveroplossing door bedrijven. Het afgelopen jaar berichtte het DTC over een aantal ernstige kwetsbaarheden binnen Exchange waar Microsoft beveiligingsupdates voor beschikbaar heeft gesteld. Op internet zijn nog steeds veel Exchange Servers te vinden die deze updates niet hebben geïnstalleerd. Daarnaast maken sommige bedrijven nog gebruik van een Exchange Server versie die niet meer wordt ondersteund (End-of-Life). Microsoft Exchange Server 2010 is daar sinds 13 oktober 2020 bij gekomen.

Wat is een Exchange Server?

Exchange is een product van Microsoft dat wordt ingezet als mailserver om e-mails te ontvangen en verzenden met vaak een eigen domein (@bedrijf.nl) als afzender. Daarnaast geeft een Exchange Server de mogelijkheid om e-mail, contacten en agenda’s te synchroniseren met verschillende apparaten.

Veel bedrijven gebruiken tegenwoordig e-mail in de cloud zoals bijvoorbeeld Office 365 of Gmail, maar ondanks deze trend zijn er ook nog veel bedrijven die een eigen e-mail server draaien. In veel gevallen wordt hiervoor Microsoft Exchange Server gebruikt.

Welke versies worden nog ondersteund?

Microsoft Exchange kent sinds 1996 meerdere versies waarvan een groot deel niet meer ondersteund wordt. Microsoft Exchange 2010 is daar recentelijk (13 oktober 2020) bij gekomen maar wordt nog steeds door veel bedrijven gebruikt. Ditzelfde geld ook voor Microsoft Exchange 2007 die al sinds 11 april 2017 niet meer wordt ondersteund.

Op de website van Microsoft is een volledig overzicht te vinden Exchange Servers en wanneer de ondersteuning verloopt of verlopen is. Hieronder vind je de versies die nog wel worden ondersteund en tot wanneer.

• Exchange Server 2013: 11- 4 -2023
• Exchange Server 2016: 14-10-2025
• Exchange Server 2019: 14-10-2025

Wat kan ik doen?

Als jouw bedrijf gebruik maakt van een Microsoft Exchange omgeving, dan is het belangrijk dat dit een versie is die nog ondersteund wordt en is voorzien van de laatste (beveiliging)updates. Wanneer je niet zeker weet of er binnen je bedrijf gebruik gemaakt wordt van Microsoft Exchange of om welke versie het gaat, neem dan contact op met je IT-dienstverlener.

Je kunt de volgende stappen doorlopen of bespreken met je IT-dienstverlener.

• Voorzie de Exchange Server(s) binnen je bedrijf van de laatste (beveiliging)updates. Besteed hierbij extra aandacht aan “Cumulative Updates”. (Zie het kopje aanvullende informatie op deze pagina)
• Richt een proces in om periodiek te controleren of de Exchange Server(s) binnen je organisatie is voorzien van de laatste (beveiliging)updates om zo ook voor toekomstige kwetsbaarheden tijdig beschermd te zijn.
• Controleer of de versie van Exchange nog ondersteund wordt door Microsoft (zie het overzicht in dit bericht). Wanneer dit niet het geval is of de einddatum nadert, overweeg dan het volgende.
  • Exchange Servers kunnen niet worden “geüpgraded” naar een nieuwere versie. Er zal dus altijd een migratie noodzakelijk zijn. Hierbij is het aan te raden om te migreren naar de laatst beschikbare versie. Op dit moment is dat Exchange Server 2019.
  • Overweeg een migratie naar de Cloud. In het geval van Microsoft gaat het om de mail omgeving van Office 365. Lees op de website van Microsoft over de manieren om te migreren naar Office 365.

Aanvullende informatie over "Cumulative Update"

Let op! Weet dat beveiligingsupdates voor Microsoft Exchange alleen beschikbaar zijn voor servers die een bepaalde versie van de zogenaamde “Cumulative Update” geïnstalleerd hebben staan. Een “Cumulative Update” brengt Microsoft per Exchange Server versie om de 3 à 4 maanden uit. Voor Exchange Server 2013, 2016 en 2019 dient een “Cumulative Update” handmatig geïnstalleerd te worden. Je kunt dus niet alleen leunen op automatische updates. Microsoft geeft op deze pagina meer informatie over de beschikbare “Cumulative Updates” en hoe je kunt nagaan welke geïnstalleerd staat.