Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Microsoft Exchange-zerodays leiden tot honderdduizenden infecties wereldwijd

De kwetsbaarheden in zelf gehoste Microsoft Exchange-servers, die door Chinese hackers actief worden misbruikt, hebben volgens security-deskundigen in totaal geleid tot 'honderdduizenden' getroffen systemen wereldwijd. Nieuwe infecties vinden nog steeds plaats.

Brian Krebs noemt twee cijfers in een nieuw rapport: minstens 30.000 Amerikaanse organisaties zijn getroffen in de dagen sinds de patches van 2 maart en de totale schatting van 'honderdduizenden' getroffen systemen wereldwijd komt van twee anonieme security-deskundigen die inlichtingen leveren aan de Amerikaanse overheid. Dat bericht komt ook van Wired, die daarnaast een bron citeert die stelt dat er nog 'wereldwijd duizenden nieuwe servers per uur' getroffen worden door de hackers. Die bron noemt de schaal van de kwestie 'enorm'.

Het gros van de infecties zou nog niet actief uitgebuit worden. De hackers installeren web shells op de servers zodat ze op een later moment, ook nadat de gaten gedicht zijn, nog beheer van de servers kunnen overnemen. Dan kan er weer nieuwe malware, of bijvoorbeeld ransomware, geïnstalleerd worden.

De slachtoffers zijn voornamelijk kleine bedrijven, grote en kleine steden en plaatselijke overheden. De aanvallen zouden na de patches van dinsdag alleen maar frequenter geworden zijn, vermoedelijk om nog te hacken wat er te hacken valt voordat alle organisaties de patches hebben geïnstalleerd. De U.S. Cybersecurity & Infrastructure Security Agency, of CISA, heeft daarom een noodbevel afgegeven waarin het alle federale Amerikaanse organisaties opdraagt om updates op hun Exchange-servers door te voeren of hun servers los te koppelen van het internet. De CISA-director van het Witte Huis stelde op vrijdag dat men 'ervan uit moet gaan' dat hun systemen getroffen zijn, als ze de betreffende versies draaien en de patches niet hebben geïnstalleerd.

Die getroffen versies zijn Exchange Server 2013, 2016 en 2019. Daarin zitten vier kwetsbaarheden die toegang verlenen tot e-mailaccounts en het systeem zelf. Dat nieuws kwam afgelopen dinsdag uit, ten tijde van de Microsoft-patches. Het bedrijf wijdde een uitgebreide blogpost aan de kwetsbaarheden, hoe ze uitgebuit worden en hoe systeembeheerders de exploit kunnen detecteren. Microsoft schrijft de exploits 'met grote zekerheid' toe aan de Chinese hackersgroep Hafnium.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Mark Hendrikman

Nieuwsposter

06-03-2021 • 11:12

229 Linkedin

Reacties (229)

Wijzig sortering
De blogpost heeft ook een methode om te checken of jouw Exchange servers gepakt zijn: https://www.microsoft.com...xchange-servers/#scan-log
Moet je de logfiles wel op een andere server dan de gecompromitteerde Exchange doos hebben. Wie zegt dat er geen payload is die de logs kan opschonen?
Het zou handig zijn als microsoft ook een tool maakt die een besmette server weer opschoont. Nu moet je handmatig door allemaal log files gaan zoeken met een handleiding die erg vaag is.
Een besmette server zou ik afschrijven. Ik zou een nieuwe server neerzetten, meteen de patch er op en de data daarheen migreren. Wie zegt dat er niks anders op de besmette server gezet is dat niet door een tool gedetecteerd wordt?
Precies, dat lijkt mij ook het meest verstandig.
Die getroffen versies zijn Exchange Server 2013, 2016 en 2019.
Zet daar 2010 ook maar bij
Maar die is EOL sinds 13/10/2020 en wordt dus niet meer ondersteund of van patches voorzien. Ik mag hopen dat niemand nog een Exchange 2010 rechtstreeks aan het internet heeft hangen.
Maar die is EOL sinds 13/10/2020 en wordt dus niet meer ondersteund of van patches voorzien. Ik mag hopen dat niemand nog een Exchange 2010 rechtstreeks aan het internet heeft hangen.
Toch wordt het nog vaker gebruikt dan je denkt, helaas.... lang niet alle bedrijven zijn uptodate op dat vlak.

Gelukkig heeft Microsoft ook voor Exchange 2010 nog netjes een fix uitgebracht: https://support.microsoft...1e-44f8-b9ba-dad705534459

Wél vereist die dat je minimaal SP3 van Exchange 2010 hebt draaien (met welke CU erop maakt niet uit).

Dit dus ondanks dat hij EOL is, dit is onderdeel van Microsof's "Defense in Depth"-strategie.
Daarbij geldt ook dat 2010 zover ik kan zien maar 1 van de 4 exploits bevat: CVE-2021-26857
Deze exploit werkt enkel als je al lokaal administrator access hebt (of natuurlijk via een andere exploit die rechten krijgt)
CVE-2021-26857 is an insecure deserialization vulnerability in the Unified Messaging service. Insecure deserialization is where untrusted user-controllable data is deserialized by a program. Exploiting this vulnerability gave HAFNIUM the ability to run code as SYSTEM on the Exchange server. This requires administrator permission or another vulnerability to exploit.
Ex2010 is niet vatbaar voor hetzelfde aanvalspatroon als Exchange 2013-2019, vandaar 1 CVE.
Genoeg vrees ik. Veel MKB’ers vinden het upgraden van platform en infra te duur, “want het werkt toch?”. Dom, maar realiteit.
Voor niet-IT-ers een volkomen normale gang van zaken, iets dat IT-ers nog wel eens weigeren te begrijpen. Als ondernemer zit ik niet te wachten op terugkomende investeringen, zeker niet als degene die ik gedaan heb nog goed werkt. Uiteraard zit daar een grens aan, maar de upgrade-woede die in IT land blijkbaar normaal is vind ik moeilijk te begrijpen.
Ik ben zo’n IT’er, en ik heb er alle begrip voor. Als iets goed werkt, veilig is en ondersteund wordt door de fabrikant dan zie ik zelf bedrijfstechnisch ook geen reden om te upgraden.

Echter gebruikt men in dit geval een software platform dat niet meer officieel ondersteund wordt. Dat is een keuze; je moet als ondernemer zelf het risico tegen de investering afwegen. Als ik als IT’er bij jou in dienst was zou ik je vertellen dat dit risico groot is en je adviseren zo kosten-effectief mogelijk naar een ondersteund platform te migreren. Als de functionaliteit bevalt zou ik het gewoon bij pariteit laten en niet upgraden vanwege nieuwe features.

Maar 11 jaar niet investeren in je (belangrijkste) communicatie gereedschap en dan gek opkijken als het een keer omvalt is dan het andere eind van het spectrum en voor mij is dat dagelijkse praktijk.
Ik ben zo’n IT’er, en ik heb er alle begrip voor. Als iets goed werkt, veilig is en ondersteund wordt door de fabrikant dan zie ik zelf bedrijfstechnisch ook geen reden om te upgraden.

<knip>

Maar 11 jaar niet investeren in je (belangrijkste) communicatie gereedschap en dan gek opkijken als het een keer omvalt is dan het andere eind van het spectrum en voor mij is dat dagelijkse praktijk.
Ik ben inmiddels helemaal aan de ander kant uitgekomen. Stilstaan is achteruitgang. Als er niet actief beheerd wordt dan is er in mijn ogen geen beheer. Om het even populair te zeggen.

De vloek van mijn bestaan is momenteel de uitspraak "Die applicatie zou eigenlijk moet worden uitgefaseerd, daar steken we dus geen tijd meer in". Let op de toekomende tijd in het eerste deel van die zin ;)

Zo'n applicatie kan namelijk nog jaren doordraaien zonder dat er voor wordt gezorgd. Misschien worden er nog wat security patches geinstalleerd maar dat is niet genoeg. De wereld verandert voorturend en je IT-landschap ook. Als je daar niet actief mee bezig bent dan zakt de kennis weg. Als de applicatie niet goed wordt begrepen maken mensen steeds meer fouten en durven ze steeds minder te veranderen uit angst dat ze het niet kunnen repareren als het stuk gaat.

Als dat een tijdje doorgaat heb je een systeem dat je niet meer begrijpt maar wel allerlei koppelingen heeft, die je ook niet begrijpt. Wat er dan gebeurt is dat de rest van de omgeving zich gaat aanpassen aan de probleemsystemen waar niemand aan durft te komen. Als je de oude server niet aan de nieuwe kan aanpassen, dan moet je de nieuwe dus maar aan de oude aanpassen. Daarmee vergrendel je wel dat oude systeem steeds verder. Niemand weet nog waarom dingen zijn zoals ze zijn en dus ook niet wat er belangrijk is, wat er toeval is en wat er niet meer wordt gebruikt. En je gaat ook nooit een ander stuk software vinden dat precies in het gat past want het gat is niet logsich gevormd.

Als je die gedachte een beetje doortrekt kun je ook concluderen dat dit ook geldt voor de applicaties zelf. Het model waarbij er eens in de drie jaar een 'major' release uitkomt en verder alleen wat bugfixes wordt steeds minder wenselijk. Zo'n model dwingt je namelijk tot "upgrade momenten" waarin je "alles of niets" zo'n upgrade doet. Als het niet goed gaat (en wanneer gaat iets in deze wereld nou 100% volgens plan) dan moet je of terug naar de oude situatie (wat ook lastig kan zijn) of je moet er maar mee leven. Al dan niet met wat kunstgrepen om het werkend te krijgen. Met goed voorbereiden en veel testen kun je meer zekerheid krijgen maar wordt het proces weer langzamer. Voor je het weet zit er 5 jaar tussen dat een bug gemeld wordt en dat de oplossing in productie is.

Dat is natuurlijk geen nieuwe gedachte, zo slim ben ik net. Het hele "CI/CD"-verhaal is op die gedacht gebaseerd. Steeds meer grote softwareprojecten werken zo. Bijvoorbeeld zo'n beetje alles wat in de "cloud" wordt aangeboden en de 'rolling' Linux distributies. Die systemen voeren voortdurende wijzingen door die via allerlei verschillende routes binnen komen en onafhankelijk van elkaar worden doorgevoerd en getest.

Bij software developers lijkt deze manier van denken inmiddels gewoon te zijn geworden. Bij systeembeheer zie ik het nog veel minder maar het heeft zeker z'n volgers (zoals de DevOps beweging). Voor management lijkt het echter nog niet acceptabel te zijn om zo vloeibaar te zijn. Op dat niveau klampt men zich geloof ik nog vast aan de valse zekerheid van IT als statisch product. Dat IT net zo iets is als een koelkast. Je koopt er een en die loopt dan 10 jaar door en dan laat je een monteur de compressor vervangen en kun je weer 10 jaar verder.
Klopt precies. Ik werk ook als software developer in een CI/CD team en de organisatie waar ik voor werk is ook overgestapt, maar we lopen nog regelmatig tegen 'oude' barrieres aan. Moet er even snel een bugfix naar productie, uiteraard is die oplevering al door en door getest door onze geautomatiseerde testen, maar dan krijg je toch nog weer opmerkingen als "is \$manager wel akkoord?" Hoepel op man, of ie nu wel of niet akkoord is, die bug moet gefixed, want daar hebben klanten last van. Alsof die manager daar inhoudelijk ook maar iets over kan zeggen, hij vertraagt de boel alleen maar.

Managers zien hun invloed slinken en komen met gedrochten al SAFe. Is puur een manier voor managers om weer meer invloed te krijgen op de Devops-teams...

[Reactie gewijzigd door PhilipsFan op 6 maart 2021 15:40]

Hoewel ik je sentiment begrijp, is het iets te kort door de bocht. Het is uiteraard correct dat de manager er iets inhoudelijks over kan zeggen, maar het heeft ook met verantwoordelijkheden te maken. Geautomatiseerde testen zijn ook maar net zo goed als de testen. Hoe vaak kom ik niet tegen dat alleen happy flow wordt getest en dat de praktijk anders werkt? Als de fix uiteindelijk niet werkt, is de manager eindverantwoordelijk. Niet jij of de rest of het DevOps team.

Hierbij moet ik wel aantekenen dat er een groot verschil zit tussen normale ontwikkelingen/fixes en critical bugfixes. De tweede kennen meestal een andere procedure omdat er een serieus probleem op productie opgelost wordt.
Dan moet de vraag niet last-minute zijn of de manager akkoord is, maar moet de vraag (regelmatig) preventief gesteld worden of je test-coverage wel goed genoeg is. Zodra het antwoord daarop 'ja' is, kun je doorrollen, zo nee, dan fiks je dat voordat er een bug komt. Jammer genoeg kost dat dus tijd voordat er 'stress' is omdat klanten zitten te wachten, en kun je het uitstellen, dus dat gebeurt ook.

Da's precies het nadeel van CI/CD, het vereist een volwassen team en manager, die niet overspoeld worden door de roep om featuresfeaturesfeatures vanuit alle kanten. Gebeurt dat wel, dan is het wachten tot er echt iets fout gaat, en ga je terug naar watervallen, waarin er genoeg tijd genomen wordt (want spreadsheets vol met checks en overleggen) om last-minute nog iets bug-vrij te krijgen.
En dat is ook gewoon een goed verhaal, waar ik iets mee zou kunnen. Het hoeft echt allemaal niet gratis te zijn, maar het gemak waarmee soms over een investering gepraat wordt staat me gewoon tegen.
Voor niet-IT-ers een volkomen normale gang van zaken, iets dat IT-ers nog wel eens weigeren te begrijpen. Als ondernemer zit ik niet te wachten op terugkomende investeringen, zeker niet als degene die ik gedaan heb nog goed werkt. Uiteraard zit daar een grens aan, maar de upgrade-woede die in IT land blijkbaar normaal is vind ik moeilijk te begrijpen.
Ik krijg dat ook wel te horen. Eigenlijk is dit al een fout aan het begin van het traject. Men gaat ervan uit dat je iets aanschaft en dat het daar dan bij blijft. Ik vergelijk het echter altijd met een auto of een huis. Je doet een investering bij de aanschaf, maar daar blijft het niet bij. Je moet ook onderhoud plegen en daar is ook geld voor nodig. Die auto rijdt wel, maar na zo'n 150.000 kilometer heb je een nieuwe distributieriem nodig. Zeker rijdt hij ook zonder die nieuwe riem, maar je loopt een steeds groter risico dat hij knapt en dan ben je veel meer geld kwijt. Nog buiten het feit dat de riem het begeeft op een moment dat je het niet kunt hebben en je kunt zonder toch echt niet verder rijden.
Een ander voorbeeld is een lekkend dak. Dat moet je zo snel mogelijk laten verhelpen, want de schade wordt steeds groter en de inspanning die je moet doen om het weer goed te krijgen ook.
Elk stuk software wordt potentieel geleverd met een lekkend dak. En als het dak nog niet lekt, dan gaat het wel lekken doordat de boze buitenwereld wel een weg naar binnen vindt.
Ik ga dus aan het begin al het gesprek aan met potentiële klanten en leg ze dit uit. En ik wil dan al een plan maken hoe we in de toekomst met de software om gaan. Daardoor vinden sommige klanten we te duur, maar dat zijn de bedrijven die uiteindelijk meer geld kwijt zijn om alles weer in orde te krijgen.
Closest, but no sugar: je krijgt helemaal niks te horen bij aanschaf. Dat je ononderbroken ondersteuning nodig hebt vertelt niemand, tot het spul stopt met functioneren: dan is het ineens logisch dat er periodiek onderhoud moet worden uitgevoerd.
Dan moet je hard op zoek naar een betere verkoper...
die upgrade woede is oa nodig voor security verbeteringen die niet in de oude versies door te voeren zijn.

100.000 infecties..met bijbehorende shit, dat is de reden van die upgrade woede ;)
Onzin, echt onzin. Upgraden is alleen nodig om de leverancier van inkomsten te voorzien. Ik heb geen nieuwe functionaliteit nodig en wil gewoon dat wat ik heb blijft werken. Het is hier blijkbaar populair om een analoog aan een auto te trekken, dus: ik wil gewoon dat de auto die heb gekocht blijft werken. So what? Triest dat het antwoord van sommige IT-ers is “dat ik dan maar een nieuwe auto moet kopen”. Horen jullie je zelf wel?
Ah, dan heb ik hier nog een heel voordelig model Opel Kadett, vers uit 1990. Rijdt nog gewoon 130, komt door z'n APK (maar net) en je kunt erin zitten, met 5 man zelfs. Klaar!

Gaat dan de motor van dat ding kapot, tja, dan betwijfel ik of de garage nog een soortgelijke unit heeft liggen, en wordt het ding economisch total loss. Zo geldt dat ook voor software, na een aantal jaar is onderhouden een hele prijzige bezigheid voor die fabrikant, dus bij een major bug ben je gewoon opeens de sjaak. Dat is nu. Als je nu nog een te oude Exchange draait (van voor 2010, Microsoft ondersteunt z'n business spul best lang) dan, ehh, tja, hoop ik dat je genoeg geld en kennis verzameld hebt om stante pede een nieuwe versie neer te zetten, of het risico op inbraak te lopen.

Oh en tip voor de volgende keer dat je software koopt: vraag even zwart op wit hoe lang het gesupport is. Dat maakt afschrijven (en onderhoudskosten) een stuk inzichtelijker.
Onzin, echt onzin. Upgraden is alleen nodig om de leverancier van inkomsten te voorzien. Ik heb geen nieuwe functionaliteit nodig en wil gewoon dat wat ik heb blijft werken. Het is hier blijkbaar populair om een analoog aan een auto te trekken, dus: ik wil gewoon dat de auto die heb gekocht blijft werken. So what? Triest dat het antwoord van sommige IT-ers is “dat ik dan maar een nieuwe auto moet kopen”. Horen jullie je zelf wel?
Ik maak de vergelijk altijd met de auto of het huis, omdat dat voorbeelden zijn die iedereen kent en waarbij iedereen weet dat ze onderhoud nodig hebben. Het is echter nooit volledig met elkaar te vergelijken. Wellicht mijn verwarmingsketel? Die wordt ook ieder jaar gecontroleerd en er worden reparaties aan gedaan. Vorig jaar heb ik hem echter laten vervangen. Het begon steeds moeilijker te worden om onderdelen te krijgen en er zat een scheurtje in het brander element. Daarmee was repareren niet meer aan de orde.

Bij veel software die ik koop, krijg ik een bepaalde tijd ondersteuning. Dat is in de vorm van patches en nieuwe features. In een aantal gevallen is dat bijvoorbeeld een jaar, maar in andere gevallen zolang de major versie nog geldt. Daarna moet ik ofwel een nieuw onderhoudspakket kopen of de nieuwe versie, die dan voor een lagere prijs wordt aangeboden aan me. Moet ik een van die twee zaken kopen? Dat weet ik niet, dat hangt van het het stukje software af. Bij bepaalde software zou ik zeggen dat ik geen extra's hoef te hebben en zo lang het werkt ik tevreden ben. Voor andere software wil ik wel degelijk continue support en onderhoud. Laten we eens een betaald antiviruspakket nemen. Daar begrijpt toch ieder kind, dat je daar dagelijks (of zelfs meermaals per dag) nieuwe virus definitie files voor wil hebben en dat het voor nieuwere typen bedreiging ook nodig is dat het pakket zelf regelmatig een nieuwe versie krijgt. Iemand die dan roept, dat hij het pakket niet gaat upgraden, want het oude pakket werkt toch nog goed, die moet eens bij zichzelf te rade gaan of hij het pakket überhaupt had moeten kopen. In zijn geval is het slechts uitstel van executie.
Je hoeft dus niet altijd te upgraden, maar bij je OS, browser, virus, Firewall of software die bijvoorbeeld Java, Flash of IE nodig hebben, moet je je wel op voorhand bedenken hoe je deze software over een jaar of wellicht zelfs over 5 jaar ziet. En zeker als de software van iets anders afhankelijk is, want dan loop je het risico dat ofwel een stuk software niet meer werkt, ofwel je iets anders niet kunt upgraden.
die upgrade woede is oa nodig voor security verbeteringen die niet in de oude versies door te voeren zijn.

bron??
Dus met al je upgrade woede ben je van Exchange 2010 naar 2019 gegaan zodat je voor 4 CVE's/security holes staat in plaats van 1?
dan hoop ik niet dat jouw bedrijf getroffen wordt/is zodat je schadevergoeding kan betalen omdat jij niet wilt je systemen up to date te houden. Je investeert niet in een goede infra maar wilt dus wel je eigen zakken vullen hmmm, ik zie je prioriteiten.
Wij zij gevrijwaard gelukkig, onze IT-ers hebben de patch geïnstalleerd en onze systemen zaten achter een degelijke IDP, dus niks aan de hand. Het gaat om het principe: ik koop niet elke 3 jaar iets nieuws omdat het nieuw is. Ik koop iets omdat het meer kan. Exchange kan al 20 jaar niks nieuws waarin ik geïnteresseerd ben, en als in het er uit zou gooien wordt het o365 en exit it personeel.
Zeg het maar.
Je gaat zelf je 365 omgeving beheren?
Welke IDP gebruiken jullie?
Voor niet-IT-ers een volkomen normale gang van zaken, iets dat IT-ers nog wel eens weigeren te begrijpen. Als ondernemer zit ik niet te wachten op terugkomende investeringen, zeker niet als degene die ik gedaan heb nog goed werkt. Uiteraard zit daar een grens aan, maar de upgrade-woede die in IT land blijkbaar normaal is vind ik moeilijk te begrijpen.
IT'ers begrijpen dat heel goed. Het is echt niet moeilijk om te begrijpen dat mensen liever op hun kont in het gras gaan zitten dan voortdurend dingen te veranderen. IT'ers zijn ook mensen, die snappen het echt wel. Maar ze zijn door schade en schande wijs geworden. Als professionele beheerder is het juist je werk om hier mee om te gaan.

We moeten IT niet als standbeeld zien maar als levend dier. Een standbeeld hak je uit en laat je 100 jaar staan. Een levend dier moet je iedere dag voederen, drinken geven en de mest opruimen. Of het nu een trekpaard is of een siervogel, of het de hele dag in een hok zit of vrij rond rent, je zal er voor moeten zorgen. Als het dood gaat dan zit je met een rottende lijk en heb je als nog een probleem.

Als ondernemer zit ik er ook niet op te wachten dat ik iedere dag boterhammen moet smeren. Ik heb in 1994 een keer een boterham met kaas gemaakt, waarom moet ik dat nu weer doen? Al die boterhammen verstoppen het toilet en dan zit het na een jaar vol en moet ik weer een nieuwe pot kopen.

[Reactie gewijzigd door CAPSLOCK2000 op 6 maart 2021 15:00]

Sorry, deze snap ik gewoon niet. Vergelijk je nu een boterham met Exchange?
Ik vergelijk het beheren van software met het voeden van een mens: je moet het iedere dag opnieuw doen.
Ik zie het niet als upgrade woede , maar helaas als pure noodzaak. Het is niet dat een beheerder denkt joh, laat ik voor de lol weer alles eens patchen.
Hoort bij het product en heet ondersteuning.
Zeker. Daarom brengt de fabrikant van het product in dit geval toch een update uit om het probleem te verhelpen? Vereist verder geen investering, alleen wat tijd en kennis om het te installeren.
Upgrade woede? Valt enorm mee over het algemeen. Meestal worden versies vele jaren ondersteunt, de rest is onderhoud. Als je een huis/pand bezit, moet je die ook onderhouden, je auto moet ook geregeld naar de garage. Het is gewoon een extra post die je moet incalculeren.

Exchange 2010 kwam volgens mij in 2009 uit en werd EOL in december 2020. Zeker niet slecht en kan je toch niet scharen onder 'upgrade-woede'.
Volledig mee eens. Exchange 2013 is nu 8 jaar oud en ik vind het redelijk als ik er 10 jaar mee kan doen. Het was duur genoeg toen ik het kocht tenslotte.
Het dak van je huis moet je ook af en toe vernieuwen. De ramen moet je ook schoonmaken en eens in de zoveel jaar vervangen. Bureaustoelen idem.
Software zit gewoon in hetzelfde schuitje, alleen wordt daar ook actief door kwaadwillenden gezocht naar manier om het stuk te maken, waardoor je iets sneller regulier onderhoud zal moeten plegen, waaronder updaten naar een ondersteunde versie.
en dat is precies waarom ik voorstander ben van exchange online/office 365 vaste maandelijkste kost. Opex ipv Capex, dan heb je al deze discussies niet.
Precies. Voorspelbare kosten, ipv een sprong in een zwart gat zonder bodem.
Vergelijk het met een verlopen verzekering van je auto. Ja de auto werkt nog steeds zonder verzekering, alleen als het mis gaat ben je enorm de pineut met zeer hoge kosten

[Reactie gewijzigd door GrooV op 6 maart 2021 14:10]

Dit plaats je onder een bericht waar duidelijk wordt dat niet upgraden en patchen van lekken zo'n honderdduizenden infecties zou hebben veroorzaakt, hoe duidelijker wil je de uitleg hebben dat updates noodzakelijk zijn?
Dat je niet elke vijf minuten naar updates zoekt lijkt me logisch en je hoeft niet op dag 1 naar Server 2021 als je al op 2019 zit maar je zal wel ergens voor 2030 moeten overstappen, toch?
Als ondernemer zit je niet te wachten op terugkomende investeringen? Lijkt mij juist goed? Terugkomende kostenposten lijkt me inderdaad irritant en ook pijnlijk in de portomonnee maar terugkomende investeringen lijkt me alleen maar goed :+
Nou is ICT meestal niet een directe investering, weinig bedrijven verdienen geld door updates te installeren maar eens in de 10 jaar even de boel vernieuwen...

Ik vraag mij dan af of dat soort mensen hun blusdekens, verbandtrommel en brandblussers ook 10+ jaar onvernieuwd en ongecontroleerd laten staan om er na 11 jaar achter te komen dat het niet meer zo goed werkt?...
Het zijn vooral de niet-IT-ers die het nog niet begrijpen na ruim 30 jaar gebruik van computers in het bedrijfsleven, zeker 20 jaar aan waarschuwingen en smeekbedes door IT-ers om meer budget zodat er wel veilig gewerkt kan worden, vooral in combi met internet.

Ga nou niet doen alsof de IT-ers het bij het verkeerde eind hebben want decennia bewijzen het tegendeel. Maar dat willen ‘managers’ en ‘ondernemers’ maar niet begrijpen.

Dat je het maar durft te suggereren toont aan dat je geen flauw idee waar je het over hebt. Als je zo graag de ondernemer wil uithangen stel ik voor dat je naar mensen gaat luisteren die er verstand van hebben. Die je mogelijk hebt ingehuurd omdat ze er verstand van hebben.
En als je niemand ervoor ingehuurd hebt, wordt het tijd dat je dat doet.
Maar dan moet je als niet-IT-er dan toch helemaal geen IT kopen in eigen beheer als ondernemer? Als je iets wil gebruiken maar er niet verantwoordelijk voor kan of wil zijn, dan moet je gebruik inkopen, niet een 'ding'.
Incompetente management die alleen kijkt naar korte termijn. Op lange termijn ben je goedkoper uit met regelmatig kleine upgrades.

Als jij een 10 jaar oude systeem gaat migreren wens ik je success met je kosten.

Als het gaat on de wagenpark dan is het blijkbaar wel geaccepteerd om deze om de 3 jaar te vernieuwen.
Een wagenpark heeft restwaarde, een verouderde licentie niet of kan zelfs niet meer verkocht worden.
Je lunch heeft ook geen restwaarde en toch stop je geen beschimmeld over de datum voedsel naar binnen, het is maar net welke domme vergelijking je pakt hoor.
En dat heeft niks met waarde te maken.
De reden waarom je geen beschimmeld voedsel eet is omdat je weet dat je daar ziek van kan worden.
Oh, en het gebruiken van lekke/over de datum software, dat kent geen risico's?

Je weet van lekke software dat je er ook ziek van kunt worden, zoals dat je er een virus van kunt krijgen. Dat zou net zo goed onacceptabel moeten zijn. Maar een voedselvergiftiging zien we wel als probleem en dit niet? Ik vind het maar raar.
Van beschimmeld eten weet je zeker dat je ziek wordt. (Gezonde schimmels zoals op sommige kazen uitgezonderd)
Van software weet je pas dat je een risico loopt als er een lek gevonden wordt, geen lek is dus op dat moment geen risico.
Op software zit ook geen “Niet gebruiken na” stickertje geplakt waardoor de grens van “verouderd” erg onduidelijk is.
Zelfs Exchange 2010 heeft een patch gekregen, terwijl deze EOL is.
Op software zit een EOL die de maker duidelijk communiceert. Dat MS zo lief is om een fix uit te brengen doet daar niets aan af. Er van uitgaan dat bedrijven na een eol nog fixes uitbrengen is wel erg dom.
Je snapt wat ik bedoel hoop ik.

Zo hadden wij vroeger ook een oude Cold fusion server draaien waar nooit prio aan werd gegeven, want het werkt toch? Totdat we opeens een IT journalist over de vloer hadden met de mededeling dat er in de middag een artikeltje naar nu.nl ging met wat gevoelige data die uit is gelekt.
Ik snap precies wat je bedoeld, ik doelde eerder op je laatste zin, waarom het wel geaccepteerd is om iedere 3 jaar een wagenpark te vervangen.
Doordat de auto’s restwaarde hebben is het financieel aantrekkelijk om deze weer te verkopen.
Op het moment dat de auto geen waarde meer zou hebben (zoals met een verouderdere licentie) is men veel minder geneigd om te vervangen.
Ik ken geen bedrijf wat elke 3 jaar zijn wagenpark vervangt; wel 4/ 5 jaar; maargoed, ik begrijp je punt. Er zijn ook grote bedrijven die nog 10-12 jaar doen met de servers die ze gekocht hebben hoor.. en dan zeggen: waar geef ik 35K aan uit.. tja, dan moet je extended support kopen; maar da's max ook 7 jaar tegenwoordig. Dus als je die 5 K per jaar niet uit je server haalt; gooi dan vooral alles in de cloud..
Wie koopt er nu nog licenties ipv software abonnementen?
de auto vergelijking is altijd een mooie
En gaat altijd fout.
De auto krijgt ook geen onderhoud, alle productie machines koop je in en worden daarna nooit meer schoongemaakt of onderhouden... etc.
Al die vergelijkingen met auto’s gaan totaal niet op. Het is puur commercieel nothing more nothing less. Er is geen enkele reden waar exchange 2010 niet veilig zou kunnen draaien indien microsoft dit zou willen.

Noem is 1 verbetering aan exchange 2016 die mijn mailbox/agenda “echt” beter maakt ivm met exchange 2010.

Ik begrijp de reactie van @Homer J.Simpson dus wel

[Reactie gewijzigd door klakkie.57th op 7 maart 2021 02:29]

Het gaat niet om hoe Microsoft er mee omgaat, het gaat erom hoe de eindgebruiker er mee omgaat.
Het gaat erom dat de eindgebruiker ook dat onderhoud uitvoert.
Software wordt niet alleen stabiel gehouden (patching van een bepaalde versie) waarbij bedoelde functionaliteit niet veranderd, maar ook doorontwikkeld.

Ook bij apparaten (fysiek, zoals auto's, draaibanken, verwarmingstoestellen) komen patching voor
hetzij als terug roepactie (security patch) hetzij tijdens jaarlijks onderhoud. (een fabrieksaanpassing).
Maar een fabriek brengt ook nieuwe modellen uit.
Niet iedereen wil een nieuw model, soms blijven de oude een lang leven beschoren.
Bij afgesloten ontwerpen is er op een bepaald moment geen onderhoud meer mogelijk vanuit de fabrikant (gebrek aan onderdelen, personeel dat ermee om kan gaan etc).

In dit geval stopt de fabrikant op enig moment met onderhoud en opleiden van personeel voor oude "zooi"... om welke reden dan ook. Als gebruiker heb je dan 3 mogelijkheden:
1) je koopt een nieuw model
2) je reverse engineert het huidige model en doet het onderhoud voortaan zelf. (makkelijker bij opensource, ook bij hardware).
3) je doet niets en hoopt dat het nog lang mee gaat.

Bij automatisering gaat alles veel sneller als bij met fysieke apparaten, waarbij de apparaten 10-20 jaar meegaan is software vaak maar 2-5 jaar voorzien van onderhoud.
Dan gaat het er dus juist om hoe Microsoft hiermee omgaat....
Het is inprincipe bij het groot vuil gezet, en is dus Abandonware.....(al enige tijd terug) dus Exchange-2010 hoef je niets meer voor te verwachten van Microsoft. Dat ze 10+ jaar geleden hun werk niet goed gedaan hebben en in de jaren van actieve support dit ook niet gefixed hebben in die versie. Soit..
MSFT fixed wel meer niet, wat bij nader inzien niet handig bleek.
Inmiddels is Exchange een paar versies verder en is Exchange-2010 niet meer relevant.....

Dat er gebruikers koppig mee door blijven gaan is hun eigen keus, ze hebben een paar opties:
1) Doorgaan met wat ze hebben inclusief de problemen die niet meer verholpen worden (op de blaren zitten)
2) Doorgaan met wat ze hebben en de software (, door een bedrijf laten, ) reverse engineren en zelf onderhoud gaan (laten) doen.
3) Updaten naar een ondersteunde (en gepatchte) versie
4) Overstappen op een ander product (keuze zat).

Bij Abandonware heeft de producent alle verantwoordelijkheid afgestoten...
Best byzonder dat er nog een patch is uitgebracht.
Maar die perfect werkende auto van de zaak moet wel elke 3/4 jaar vervangen worden natuurlijk.

Zo werkt het ook bij IT infra, ook elke x (en dan vaak nog meer als 4 jaar) vervangen.
Dat is echt niet zo, ik weet perfect bedrijven, zelfs eentje met een miljardenomzet waar auto’s 7/8 jaar / 200.000km dienen voor ze uit het wagenpark gaan.

[Reactie gewijzigd door klakkie.57th op 6 maart 2021 19:06]

Dat is dus nog steeds een stuk korter dan Exchange 2010 nu is meegegaan :)
Die auto is natuurlijk ook “loon” in natura en personeel loopt weg naar een ander die wel een glimmende nieuwe bolide neerzet na 3-4 jaar.
Daarnaast 3 jaar ook wel het moment dat er nog wat te verdienen valt op doorverkopen en je nog een redelijke prijs kan vangen.
De mensen die alleen om die reden weglopen zijn de mensen die hun hele leven lang ontevreden zijn (en zullen blijven) :)
Hey, ik rijd in een eigen auto die ouder is dan 4 jaar ;)

Maar je ziet - zeker hier in Nederland - toch wel een stukje jaloezie over al die blikjes die op de parkeerplaatsen staan. Eentje beter dan de buren willen hebben is toch hoe het werkt voor veel mensen.

Als je werkgever aankomt met een leasebak van 7 jaar oud en je daar ook nog de hoofdprijs qua bijtelling over betaalt word je keihard uitgelachen. Daar kan je gewoon niet mee aankomen in een competitieve markt.
Ja, snap ik wel. Is een beetje zelfde categorie mensen als vrouwen die beginnen met een borstvergroting omdat ze ontevreden zijn met hun uiterlijk en dan na 5 jaar overal opgepompt zijn omdat ze nog steeds niet tevreden zijn :)
Terugkomende investeringen heb je helaas altijd. Is het niet in afschrijven in 5 jaar dan is het periofiek in abonnementsvorm.

Ben wel van mening dat je dit als dienstverlener voor je klant kan beperken tot het minimum met bijv. open source oplossingen.

Heb liever dat de klant het in mij investeerd dan in Microsoft ;)
Dan heb je bij het doen van de investering niet goed genoeg gekeken naar de support termijn. Daar zit gewoon een limiet aan.

Of doe je ook geen onderhoud aan je auto, aan je gebouwen?

En vergeet ook niet: Je zet zelf je onderneming in een risico situatie door niet te upgraden. Als je gehackt wordt en er data van je klanten gestolen wordt, kan dat tot enorme boetes leiden als dat verwijtbaar is. En het nalaten van beveiligingsupdates is dat zeker.

Het probleem is juist dat non-IT ondernemers vaak IT puur als iets zien dat er maar een beetje bij hangt, in plaats van een serieus onderdeel van de bedrijfsvoering.

[Reactie gewijzigd door GekkePrutser op 6 maart 2021 22:01]

Ok dus als jouw product bij klanten geleverd is en onderhouden moet worden (meeste machines hebben onderhoud nodig bijvoorbeeld) dan hoef ik dat in jouw ogen ook niet te doen, want het werkt toch? Met alle respect, maar ik vind dit zo'n verschrikkelijk domme reactie. Uiteraard snap ik dat je als ondernemer zo min mogelijk kosten wilt hebben en dat je de risicoanalyse maakt. Wat geef je over je eigen product voor adviesen?
Je hebt het over onderhoud op een gekocht product. Volkomen valide. Zeggen dat ik maar een nieuw product moet kopen als het door mij gekocht product fouten blijkt te bevatten: niet zo valide. Daar zit een verschil in, en ik hoop dat je dat kan zien.
Een product heeft geen eeuwige levensduur. In de IT ben je afhankelijk van hoe een product op moment X ontwikkeld is (dat geldt overigens niet alleen voor de IT). Op dat moment is met de beste intenties en met de knowledge van dat moment ontwikkeld. Dat een x aantal jaar later blijkt dat een product niet meer aan de standaarden van de huidige tijd voldoet en daarmee niet of nauwelijks nog veilig te houden is, is een van de redenen waarom men dat advies geeft. Kijk maar naar de auto industrie. Een auto kan het prima blijven doen maar de eisen voor veiligheid zijn over de loop der jaren behoorlijk aangepast/aangescherpt. Je kan nog steeds in de oude auto's rijden echter als je dat veilig wilt doen zal je of aanpassingen moeten doen of je moet een nieuwere kopen.

Dus ja ik begrijp je standpunt maar elk product heeft een levensspanne. En op een gegeven moment houdt het op met de ondersteuning

En met alle respect maar in de digitale wereld is steeds meer criminaliteit te vinden en dan moet je keuzes maken. En die risico's moet je als ondernemer ook meenemen in je begroting.
Investeer jij dan ook niet herhaaldelijk in de kern van je Business?

Dan is het snel gebeurd met je bedrijf.

Tja, eerst maar een versleutelde bestanden, dan leert men wel.
Het gaat uitstekend met mijn bedrijf, dank u. Hoe gaat het met uw bedrijf?
Misschien kun je beter geen IT infra structuur gebruiken als ondernemer dan. Je springt ook niet eerst van het dak om je daarna pas druk te maken om het neerkomen en dat je eigenlijk niet zit te wachten op het neerkomen, stomme natuurkundigen....
Dan is het denk ik belangrijk dat je als niet-IT ondernemer zoveel mogelijk IT uitbesteed en waar mogelijk alles de Cloud in trekt en daarbij de oude legacy rommel vooral niet meeverhuist. De situatie die je beschrijft zijn 'de good old days' waar je die luxe nog kon permitteren. No more. Vorbei. Software is eating the World, and Services is eating Software.
Ja IT mensen zien de rekeningen niet. De meeste MKBers in Nederland houden het hoofd boven water maar maken geen grote winsten.
Maar je laat je computers ook geen 10 jaar aan 1 stuk draaien zonder ze te vervangen. Je werkt ook niet meer met Windows XP. Je mobiele telefoon is er ook geen van 10 jaar terug. Je wagen is vermoedelijk ook geen 10 jaar oud. Waarom zou je op servergebied dan denken dat je niet mee moet gaan?

IT vereist terugkomende investeringen. En dat kan je gewoon ver van te voren inplannen. En je moet niet altijd mee met het laatste nieuwe, maar op sommige vlakken wil je ook niet wachten tot de systemen het helemaal begeven. Neem nu een mailserver. Wil je echt wachten tot de dag dat die het begeeft om dan pas te gaan upgraden? Het risico lopen dat je dagen of weken zonder email komt te zitten in deze tijden?

En er is helemaal geen upgrade-woede. Exchange 2010 heeft zowat 12 jaar ondersteuning gehad. Dat is geen korte periode. Meeste bedrijven vervangen hun computerhardware al na 5 of 6 jaar. Dat wil dan ook zeggen dat vele van die servers vandaag al op hun tweede hardwareplatform staan waarbij een IT-er ook al aan het denken is om dat alweer te gaan vervangen.

IT is geen set & forget systeem. Dat heeft onderhoud nodig, dat heeft regelmatig vervanging nodig. Net zoals bijna alle andere dingen in een bedrijf. En dat moet je gewoon mee budgetteren.
Vanuit een IT oogpunt is dat inderdaad het geval. Echter is het voor sommige bedrijven echt onwijs veel werk om een systeem te upgraden. Dan heb ik het niet per se over een software update uitvoeren, maar mensen moeten ook leren omgaan met de nieuwere features wil het daadwerkelijk meerwaarde hebben.

Sommige mensen hebben ook de voorkeur voor een ouder systeem, omdat het nieuwe systeem niet altijd beter is. De "upgrade" van windows 7 naar windows 8 is daar een goed voorbeeld van. Windows 8 werkte dusdanig anders dat veel mensen er aan moesten wennen. Zelfs na het een aantal maanden gebruiken vond ik windows 7 nogsteeds fijner dan 8 en 8.1. We zijn nu tig jaar verder en ik heb nogsteeds de voorkeur voor het goede oude control panel tegenover windows 10 zijn settings.
Als het upgraden geld kost, het werkt minder fijn, dan denk ik ook waarom zou je upgraden.

Er zit natuurlijk wel een bovengrens aan. Zodra er geen support meer wordt gegeven is het een kwestie van tijd voordat een systeem niet meer veilig is. Op dat moment zou ik toch denken, is er geen beter alternatief?
Ze moeten dan maar een controle inbouwen die zorgt dat de software gewoon niet meer kan draaien na die datum. (of lastig gaan doen, poorten blokkeren, ...)
Dan houdt het "het werkt toch?" al snel op 8-)
Voor dat bedrijven heb je o365. Vaste kost en alles up to date.
Absoluut een interessante optie. Scheelt een hoop upgrade-happy IT-ers ook. 😜
2010 is alsnog gepatcht.
Wat direct de risico's aangaf. Als MS oude code afstoft en programmeurs opschaalt om dit te fixen, dan is er wel serieus iets aan de hand. Ik vind het overigens bewonderingswaardig dat MS in zulke gevallen, ook al is de support al even verlopen. Toch pakken ze dan de handschoen op en brengen ze een patch uit, ze hadden ook kunnen zwaaien en de 2010 beheerders aan hun lot kunnen overlaten.

Los van dat je 2010 eigenlijk niet meer moet hebben draaien natuurlijk, maar in sommige gevallen is het nu eenmaal zo dat dit wel zo is.
Er is wel een patch voor 2010 in dit geval.
Neemt niet weg dat iemand die exchange 2010 draait zich even achter de oren moet krabben of hij zijn werk/hobby wel verstaat...
Dat is vaak wel heel kort door de bocht. Het is meestal niet de IT afdeling die niet willend is maar het management.

In dat soort gevallen moet het eerst gewoon fout gaan voordat er actie ondermonen wordt.

Het enige wat je dan kan doen is om dit gevaar schriftelijk meerdere keren te vermelden.
Als een manager mij verplicht ouwe meuk te draaien, dan tekent die manager voor mij een contract waarin hij mij in niet mis te verstane bewoording vrijwaard van alle verantwoordelijkheid. Zo niet? Ben ik weg.
Daar ben je sowieso van gevrijwaard als werknemer. Je manager draagt de eindverantwoordelijkheid.
Sowieso denk ik niet: Ik heb het gelukkig nog nooit mee hoeven maken, maar het lijkt mij dat als je verzaakt je werkgever op de hoogte te brengen van potentiele gevaren je wel degelijk op zijn minst een waarschuwing aan je broek hebt hangen?
In mijn ervaring wordt zolang het risico niet duidelijk is belegd, altijd een persoon zo laag mogelijk in de rangorde gezocht voor de schopstoel.
Als een manager mij verplicht ouwe meuk te draaien, dan tekent die manager voor mij een contract waarin hij mij in niet mis te verstane bewoording vrijwaard van alle verantwoordelijkheid. Zo niet? Ben ik weg.
Dat is makkelijk praten, dus jij wil je baan verliezen, en dan geen zekerheid hebben dat je weer een (goede) baan krijgt, of voor een lange tijd geen baan meer heb, of helemaal geen baan meer, omdat die werkgever tegen de andere van de zelfde soort werk zegt dat jij niet goed je werk doet en niet luistert, zo hebben veel mensen hun baan verloren en nooit meer de zelfde werk kunnen doen, omdat hun werkgever gelogen (of niet) heeft tegen zijn vrienden die in de zelfde vak zitten, en als je dan voor een zelfde baan gaat, krijg je te horen dat ze je niet kunnen gebruiken of zo iets.
In de IT komt het maar zelden voor dat je lang zonder baan zit volgens mij. Tenzij je, zoals @hottestbrain aangeeft, je werk niet verstaat dan kan het lastig worden ja.
Maar ik sta er net zo in hoor.. als ik mijn werk niet fatsoenlijk mag uitvoeren vanwege mismanagement.. dan pas ik niet binnen dat bedrijf en ben ik zo weg.
In de IT komt het maar zelden voor dat je lang zonder baan zit volgens mij. Tenzij je, zoals @hottestbrain aangeeft, je werk niet verstaat dan kan het lastig worden ja.
Maar ik sta er net zo in hoor.. als ik mijn werk niet fatsoenlijk mag uitvoeren vanwege mismanagement.. dan pas ik niet binnen dat bedrijf en ben ik zo weg.
Ja en er zijn HEEL veel mensen die niet zo even weer een baan kunnen krijgen zo als ik al boven zij, wat doe je dan, ben echt benieuwd of je dan nog het zelfde denkt als je alles verliest omdat je aan geen baan meer kan komen of een baan waar je een stuk minder verdiend.
Als jij beheerder van een exchange server bent, heb je in no-time een nieuwe baan. Al dan niet na een door het UWV betaalde opleiding/cursus om een inhaalslag van on-prem exchange 2010 naar cloud office 365 te maken. Er is nog altijd een heel groot tekort aan beheerders, van junior tot senior.

https://www.linkedin.com/...=exchange%20administrator
Er is nooit een te kort aan bepaald personeel. Wat wel speelt is dat de markt te weinig vergoeding voor bepaalde functies wil betalen. We werken (nog) in vrije markt. Dus als vergoedingen, voorwaarden en garanties omhoog gaan, zijn mensen best bereid tot omscholing, wat KM's extra te reizen etc.

Kapitaal vloeit altijd daar naar toe waar het meeste rendement te behalen valt. Want zoek je PHP programmeurs voor €1800,- met 3 jaar ervaring, dan vind je ze niet. Verdienen ze €4000,- netto, dan zal je recruiters actief zien mensen te gaan benaderen. En desnoods opleidingen gestart gaan worden.

[Reactie gewijzigd door gepebril op 7 maart 2021 18:00]

Er is nooit een te kort aan bepaald personeel .... En desnoods opleidingen gestart gaan worden.
Die twee rijmen niet met elkaar.
Helemaal gelijk. Bedoelde meer op blijvend te kort in een branche.
Volgens deze IT beheerder valt dat vies tegen. De algemene consensus bij werkgevers als het om beheer-personeel gaat is dat "elke aap dat beheer kan plegen". De meeste IT baantjes zijn tegenwoordig werkplekken waar ze liever uit de kluiten gewassen pubers neerzetten.
Ik snap je punt hoor. Maar zou jij graag ergens blijven werken waar dergelijk belangrijke keuzes voor jouw worden gemaakt maar jij wel de verantwoordelijkheid dient te dragen? Ik absoluut niet..
Je hebt een goed punt, wellicht moet je in dat geval niet je oude schoenen weggooien alvorens je nieuwe hebt.
Ik snap je punt hoor. Maar zou jij graag ergens blijven werken waar dergelijk belangrijke keuzes voor jouw worden gemaakt maar jij wel de verantwoordelijkheid dient te dragen? Ik absoluut niet..
Je hebt een goed punt, wellicht moet je in dat geval niet je oude schoenen weggooien alvorens je nieuwe hebt.
Als ik dan niet zonder een baan zit, vooral in deze tijd, ja dan vind ik het best dat ze (werkgever en zo) stomme dingen doen, waar ze dan helemaal zelf mee zitten.

[Reactie gewijzigd door AmigaWolf op 6 maart 2021 17:36]

Dat "niet zijn werk verstaan" hoeft ook niet op een IT’er te slaan management is hier in dan net zo fout.
Dat is altijd zo makkelijk om het maar af te schuiven op het management.
Als IT een voorstel heeft gedaan zonder rekening te houden met het budget en daar goede afspraken over te maken is het nog steeds IT dat heeft gefaald.
Het is de fout van management als zij geen genoeg prioriteit geven aan automatisering en daarmee het juiste butget toewijst. Er zijn nog zoveel bedrijven die niet door hebben dat hun fundering de automatiosering is, ondanks dat niet core-business is. Wederom ligt het dan bij management, dan kan de IT-afdeling roepen wat zij wil.
Hoeveel budget wordt er vrijgemaakt bij een dergelijke hack? :+
Niet oneindig houdbaar argument, maar end of service producten gebruiken in productie omgevingen kan niet. Draaien ze ook nog Windows XP aan het internet?
Hier gebruikt een grote zorginstelling in de buurt nog altijd Exchange 2010, deze draait bij hun IT leverancier.
Ik vind dat zorgelijk, vooral voor een zorginstelling. Die IT leverancier mag van mij bij een data breach flink aansprakelijk gesteld worden dat ze dit uberhaupt willens en wetens als opdracht accepteren. 'Geen geld' is met patientgegevens (die men niet mag mailen, I know, het gebeurt alsnog, overal) gewoon geen valide excuus.
Je hebt helemaal gelijk hoor, daar niet van.
Maar dit artikel geeft toch ook maar aan dat je met een ( tot voor kort ) up to date versie van 2013/2016/2019 zeker ook niet altijd veilig bent.
Dan zit je in support maar wordt je server toch overgenomen ondanks dat je je aan alle veiligheidsvoorschriften hebt gehouden.
Het is dan best wel interessant om te weten of de versies die al ( jaren lang ) EOL zijn, of deze versies überhaupt dit lek bevatten.
Wellicht hebben bepaalde voorgaande versies dit lek niet en wellicht is daar dan een goede verklaring voor te vinden, of juist niet.
Al die informatie is best interessant, toch? :)
In het verleden was het volgens mij al vaker voorgekomen dat hele ernstige lekken enkel in de nieuwste windows versies voorkwamen, maar oudere en waaronder ook EOL versies vrijuit gingen.
Ik mag hopen dat men in't vervolg iets sneller patched dan (2013 tot nu is) ACHT JAAR |:(
het is niet dat ze het 8 jaar hebben laten liggen, het heeft zo lang geduurd vooraleer het ontdekt is, dus ik zou zeggen kudo's voor Microsoft als je weet dat dit een product is dat vooral door grote bedrijven en overheden gebruikt wordt en dat zijn sappige targets voor hackers waar heel veel waardevolle informatie te vinden is.
Een beetje rare opmerking. 2013 is gewoon nog in support (tot 2023) en wordt dus actief onderhouden door Microsoft. 2013 slaat alleen op de hoofdversie, niet op verdere updates. Een 2013 met de laatste updates (dus CU23+bijvoorbeeld de update van deze week) wordt gewoon gezien als up-to-date.

Als je goed gelezen had was dit lek niet beperkt tot 2013, ook 2016 en de allernieuwste 2019 waren lek. Dus al had je op 2019 met alle updates gezeten, het meest up-to-date systeem wat je maar kan bedenken, dan nog was je kwetsbaar.

Over 2010 kan je iets vinden, die is uit support sinds vorig jaar en zou niet meer actief gebruikt moeten worden. Gelukkig heeft MS daar wel een patch voor uitgebracht, hopelijk worden er nu wat beheerders en organisaties wakker die besluiten om alsnog te upgraden naar een nieuwere versie danwel M365.
Je kan EOL niet gebruiken als een behoorlijk heftige exploit gebruikt wordt. Dan breng je uit hoffelijkheid een patch uit, of misschien zelfs gewoon uit verantwoordelijkheid. Dit werkt beidde kanten uit, niet alleen die van de afnemer, te makkelijk en comfortabel gezegd alhoewel ik in deze hoedanigheid wel met je mee hoop.

[Reactie gewijzigd door SkyStreaker op 6 maart 2021 11:31]

EOL is EOL. Dat is precies hetgeen waar je EOL voor kunt gebruiken. We mogen erg blij zijn met de coulance waarbij ze de patch nog uitbrengen. Ja, schijnbaar voelen ze de verantwoordelijkheid nog, maar dat mag je naar mijn idee helemaal nooit van uit gaan bij EOL. Je moet gewoon zorgen dat je bij blijft op een supported versie, like it or not.
Maar zoals hierboven ook al gezegd ken ik ook nog wel bedrijven die nog Exchange 2010 draaien, gelukkig niet meer primair of rechtstreeks aan internet gekoppeld, maar dan nog. Maar dat blijft op hun eigen verantwoordelijkheid/risico.
Dat kan en moet je net wel. De support zou initieel in Januari van 2020 ophouden, MS heeft deze al een keer verlengt naar Oktober van 2020 omdat er nog te veel mensen niet over waren. Maar eens moet het ophouden of mensen gaan nooit upgraden. Dat is hetzelfde met nu nog patches voor XP uitbrengen. Zolang je dat blijft doen blijven mensen zwaar verouderde en onveilige software gebruiken want als het ernstig misgaat dan komen ze wel met een fix.

Microsoft geeft al heel lang zeer goed aan wanneer een product uit ondersteuning gaat, en ze doen dat met reden. Zo kan je goed op tijd plannen om te upgraden. En door de lange ondersteuning moet je niet met elke upgrade meegaan. In geval van Exchange 2010 kon je wachten tot Exchange 2019 voordat je ging upgraden.
Assumption is the mother of all fuck ups...
Ja ik hoop dat ook, alleen de praktijk wijst anders uit...
Klopt, maar ze bestaan zeker nog en er is ondanks eol wel een patch voor.
Microsoft heeft een out of band patch uitgebracht voor Exchange 2010: Exchange Server 2010 (update requires SP 3 or any SP 3 RU – this is a Defense in Depth update)

Download link naar patch: http://www.catalog.update...m/Search.aspx?q=KB5000978

Quote van MicroSoft: "Exchange 2010 is not vulnerable to the same attack chain as Exchange 2013/2016/2019, but there is a vulnerability that we have addressed for Exchange 2010 and our recommendation is to install the update."
voor deze werd nog een exchange 2010 patch uitgebracht.
Ook voor Exchange 2010 is een update uitgebracht, CU32. Best netjes van Microsoft maar inderdaad dit moet je niet meer willen.
Daar vergis je je nog in :P Mijn vorige werkgever draaide tot vorige maand nog op Exchange 2010 en een snelle zoek query op Shodan Search levert 501 Exchange 2010 hits op voor Nederland en 18,430 wereldwijd.

Om het nog leuke te maken shodan.io vindt nog 80 exchange 2007 machines in Nederland en zelfts 50 Exchange 2003 machine :X

[Reactie gewijzigd door HKLM_ op 6 maart 2021 19:34]

Ook 2010 heeft een patch gekregen. De nood was blijkbaar hoog.
Is gewoon nog een CU voor gekomen
Roept er echt niemand schande van dat een zeroday in een stuk software uit 2010 nu pas ontdekt word?
Maar 2010, 2013, 2016... dat is allemaal zo oud, dat gebruikt gelukkig iemand meer 😉
Ik weet dat ik gelijk naar -3 gemod wordt, maarre...
Wat is dikwijls mis is gewoon de verontwaardiging in het feit dat er mensen zijn die willen inbreken. En dat wij dat moeten tegengaan. Nog erger de mening dat als je dat niet doet dat je dan schuldig bent.
Dat is omdraaien van wat eigenlijk normaal zou moeten zijn. En verder is het symptoombestrijding.

Verder heeft ICT een hele laag boter op z'n hoofd. En simpel mailsysteem dat alleen maar mail doet, en een mail cliënt die alleen maar mail leest is blijkbaar niet genoeg.
Ik schat dat Mercury mail for Novell and Pegasus Mail niet zulke lekken heeft, EN OOK NIET KAN HEBBEN.

M'n eerste computercursus was in eind 1967. Sinds die tijd heb ik geleefd van werkzaam zijn in de ICT. En ik zie nu teveel korte lontjes die alles maar wijten aan niet updaten van te complexe systemen.
Ik denk dat we beter eens kunnen teruggaan naar systemen die doen wat hun essentiële taak is, en niet meer dan dat.

Een veilig e-mail systeem is niet moeilijk, als het zich beperkt tot leesbase tekst. Waarom daarin meer verstoppen? SMS idem.

</opa mode off>
Heb je wel enig idee wat deze zero days inhouden? Los van dat we niet meer teruggaan naar de oertijd. Alles en iedereen is 24/7 online.

Wat betreft oppakken en veroordelen van deze criminelen heb je gelijk, jammer genoeg is dat een stuk lastiger dan gedacht.
Ik heb wel een idee over de zero-days impact. En ik hoef ook niet terug naar de oertijd.
Maar het is veel eenvoudiger om een systeem dat maar één taak heeft veilig te houden, en ook om meerdere systemen die elk maar één taak hebben, dan een systeem te maken dat van alles en nog wat moet doen. En bij dat alles omvattende systeem is er niemand meer die de zero-days gaten ziet.

En @Aapmansz heeft ook gelijk Mercury onder Windows of Pegasus en IMAP werd ook minder stabiel.
Maar oorspronkelijk als onder Novell was het best wel goed en nog meer begrijpelijk. Ik heb zelf nog eens conversieprogramma's gemaakt om Mercury/Pegasus om te zetten naar een IMAP server (met behoud van alle e-mail mappen voor gebruikers etc (Management wilde van Novell af). , idem nog een paar jaar hebben we de IMAP server kunnen omzetten naar Exchange. En toen was het duimen draaien dat het bleef werken. De Novell/IMAIL server waren als ASCII filesysteem nog te benaderen. En omdat het niet veel meer dan dat was ongevoelig voor gekke aanvallen.

Ben nu een paar jaar met pensioen, heb gelukkig jullie huidige problemen niet op m'n bordje. Maar tot die tijd zat ik nog wel in wat eufemistisch in de "Expert groep informatiebeveiliging Rijksoverheid" heette. Er zullen wel redenen geweest zijn dat ik daarin zat (hoewel dat mij ontgaan is), leverde in elk geval mooie inzichten op over de datacenters AMSx en wat daar gedaan werd voor bv fysieke beveiliging.

Dus ja ik heb (of beter had) wel enig besef over beveiligingszaken.

Maar ik blijf van mening dat, we als samenleving, bij een inbraak we de fout moeten leggen bij de inbreker en niet bij de huiseigenaar.
Uiteraard wel voorkomen dat de inbreker kan inbreken.
Goede sloten en goed hang en sluitwerk zijn een must.

Wat betreft oude meuk.
Migreren van Mercury naar Google apps for business was best een klus.
Migratie van Google naar Microsoft was appeltje eitje.

Vroegah was niet alles beter ouwe pensionado :+
Als software “minder stabiel” is bij normaal gebruik gaan mijn nekharen overeind staan. No way dat daar dan geen lekken in zitten. Dat niemand het onderzoekt maakt nog niet dat ze er niet zijn. Als geen hond het gebruikt is dat uitzoeken gewoon niet interessant genoeg,
Terug naar de oertijd :+
Destijds was het een prima oplossing.

Later voldeed Mercury voor Windows.
Met de IMAP module ook te gebruiken met andere mailclients dan Pegasus.

En toen kwamen de mobieltjes met email, Mercury IMAP was niet capabel om meerdere connecties op dezelfde mailbox correct af te handelen. Zorgde voor verrassende effecten.
Ook opruimen (verwijderen oude en/of grote mails met bijlagen) liep niet soepel.

Dus overgestapt op Gmail for Business.
Iedereen blij :+
Niet Core business processen (o.a. email en office) lekker de cloud intrappen.

Tegenwoordig gebruiken we Office365 met Exchange365.
Kost een paar centen maar heb je ook wat.
Jahoor, geen probleem om een oud mailsysteem te gebruiken. Als jij jouw werkgever kunt overtuigen dat hij/zij elke keer naar kantoor moet komen om te zien of er een nieuw mailtje binnen is gekomen, of zelf wilt versturen. Als je dat lukt, ga je gang en installeer dat oldskool mail systeem.
Ik geloof niet dat het oude mailsysteem dat zou verplichten.

20 jaar geleden kon ik ook vanaf thuis werken en m'n mail bekijken, wat dat betreft lul je uit je nekharen.
Ik herinner me nog een conversatie met een collega die in 1997 in Mexico zat en verbaasd was dat om middernacht reageerde. Kan ik het helaas niet meer reproduceren.
Als je wilt dat ik reageer, dan verwacht ik wel een normale reactie. Hopelijk was je taalgebruik 20 jaar geleden beter dan nu.
Van huis uit via een encrypted verbinding op een XServer inloggen met je XClient bestaat al een aardig tijdje hoor.
ja dat kan... en aardig omslachtig om alleen je mail te lezen. Vandaar mogelijkheden kwamen zoals webmail, om remote ook je mail te kunnen lezen. Kan ook via imap/pop, maar dat is inmiddels behoorlijk onveilig. Dus blijf je over met https voor webmail. (en andere zaken, zoals autodiscover)
En daar kunnen kwetsbaarheden in zitten. Zoals elk protocol / service die vanaf internet te bereiken is.
Ik vind dat apart inloggen toch al een stuk handiger dan naar de zaak rijden hoor, waar het om ging. :Y)
mee eens. Ik reageerde allen op Luno's stelling dat een mail programma alleen maar mail moet doen en dan zulke problemen niet heeft. En dat ICT te ver is doorgeschoten. Maar dat houdt wel in dat je dus niet zo makkelijk meer remote mail kunt lezen. Want VPN heeft ook weer z'n uitdagingen. En om elke keer VPN op te moeten bouwen om via RDP/Citrix je mail te kunnen lezen, is wel erg omslachtig. Dan is webmail / activesync toch veel handiger. Ofwel, Luno's reactie houdt helemaal geen rekening met de manier waarop tegenwoordig mensen werken.
Beetje jammer van je post. Je eerste gedeelte daar ben ik het roerend mee eens, het tweede gedeelte dan weer niet.

Als er een robot door de straat zou rijden die overal controleert of er een voordeur of raampje open staat en vervolgens een signaal naar de eigenaar van de robot stuurt dat een bepaald adres zijn deur niet op slot heeft dan zouden we de eigenaar van de robot een crimineel noemen. Daarnaast is het niet zo handig om je deur niet op slot te doen.

Wanneer dit online gebeurt (port scans of dit soort Exchange hacks) dan wordt de eigenaar van de firewall verweten dat hij een poort open heeft laten staan. Dat iemand doelbewust aan het scannen is naar firewalls die niet goed beveiligd zijn, daar valt niemand over.
Voor de geïnteresseerden die, net als ik, zich afvragen hoe een web shell werkt :

https://www.acunetix.com/...uction-web-shells-part-1/
Weet niet of het al gemeld is, maar de Microsoft Safety scanner is nu ook geupdate om deze exploit te herkennen.

Link:
https://docs.microsoft.co...e/safety-scanner-download

Bron:
https://msrc-blog.microso...s-mitigations-march-2021/
Helemaal onderaan de post.

Het script waarover gesproken wordt is ook al uitgewerkt met wat verbetering tweaks:
https://github.com/microsoft/CSS-Exchange/tree/main/Security
De genoemde script gaf bij mij het resultaat dat er een suspicious file gevonden was:
"C:\ProgramData\VMware\VMware Tools\vss_manifests.zip".

Bijzondere was inderdaad dat tijdens de installatie van het KB-artikel voor Exchange ook de VMWare tools geüpdate zijn.
De genoemde ZIP-file voor allerzekerheid gescand via VirusTotal en daar in geen infecties gevonden.
Blijft uiteraard wel enorm bijzonder.
Heb je de scanner daarna ook even gedraaid?
En de laatst aangepaste datum van dat zip bestandje gechecked :-) en je inetpub uiteraard voor verdachte bestanden.
Scanner heeft gedraaid en geen infecties gevonden. Uiteraard het ZIP-bestandje op datum gecontroleerd evenals de folder Inetpub, geen bijzonderheden.
Zojuist nog een extra controle gedaan naar aanleiding van deze berichtgeving, en tot mijn opluchting ook nu geen sporen gevonden van enige inbraak danwel geïnstalleerde webshells.
Ik had 3 "foute" requests, maar de firewall sprong ertussen voordat ze verder iets hebben kunnen doen. Niets aangetroffen qua webshells of wat dan ook.
Dan weet je weer waarom je meerdere lagen inbouwt :)
En de halve wereld sowieso al op de IP blocklist. Ja het is wat rigorous, maar niemand uit Azie heeft iets op mijn mailserver te zoeken.

Blijkbaar is dit dus alleen niet voldoende gezien de requests....
Vroeger deed ik dat ook, maar ik ben daarmee gestopt. Het heeft tegenwoordig weinig zin meer, zoals je zelf ziet. Enerzijds worden IPv4 ranges actief verhandeld door het tekort en kan je dus niet meer zo zeker zijn wat het land van herkomst is en anderzijds wordt er veel gebruik gemaakt van proxies in andere (veilig geachte) landen.
White-listen als concept heeft meer dan genoeg nadelen in het gebruik ervan. Maar het helpt wel om alle netwerkverkeer te blokkeren als het niet van een betrouwbare bron komt. Het bijhouden van betrouwbare bronnen lijst is echter hoofdpijn verwekkend in middel- en grote bedrijven. In kleine bedrijven kan het wel een uitkomst zijn.
Hebben ze dus eerst een port scan kunnen doen.
Hafnium schijnt gerelateerd te zijn aan de Chinese staat. Zijn er inmiddels niet genoeg redenen voor sancties (naast cyberattacks)? Als je als land militair en economisch groot genoeg bwnt kom je echt met alles weg.
Vraag me altijd af welke namen men in China en Rusland geeft aan hackersgroepen die voor westerse overheden werken.

Het is een oorlog vanuit beide kanten. Als wij sancties gaan opleggen hiervoor dan krijgen we dezelfde sancties gewoon terug.
Daarbij is eigenlijk nooit met zekerheid te zeggen of het ook die hackersgroep is, je kan alleen de source ip achterhalen die uit een bepaald land komt, maar er is nooit met zekerheid te zeggen of het ook hackers zijn uit die landen.
Het gaat wel degelijk om veel meer dan alleen maar een eenvoudig IP adres hoor. De enige manier dat je weetr dat ze binnenzitten is odmat ze sporen achterlaten. In dit geval ook geen klein beetje als ze o.a. een webshell achterlaten. Al die dingen kan je gaan analyseren en dan merk je dat verschillende hackers verschillende stijlen hebben om iets te doen. Het kan gaan om hoe code geschreven en gestructureerd is, hoe variabelen en functies zijn benoemd, hoe commentaat geschreven wordt, welke obfuscatie er gebruikt is en ga zo maar verder.

Als het puur om IP adressen zou gaan, dan zou je nooit iets van identificatie kunnen doen.
En zelfs een source IP heeft geen enkele toegevoegde waarde.
Wie zegt er dat de hackers niet een routering door een gehackte server gebruiken? Vrij eenvoudig om een shell verbinding naar een gehackte server in Rusland te leggen en van daaruit de malware te verspreiden. Zelfs vrij eenvoudig om ook de C&C op te zetten op een dergelijk systeem. En voilá, iedereen is vanuit Rusland gehackt....
mogelijk een een eenheid aanduiding?

In China en N-Korea zijn er legereenheden 'divisies' die zich bezighouden met cyber warfare, waaronder hacking. De bekendste is denk ik wel Unit 121 (N-korea) die ook veel samenwerkt met Chinese eenheden.
Nee hoor, die 'sancties' zijn er namelijk al en worden nadrukkelijk uitgebuit. China begint al direct met spierballen vertoon als een westers land iets doet wat haar niet bevalt, en omdat we in het 'westen' (als afkorting dan maar even) een veel opener en daardoor voor politici kwetsbaarder maatschappij hebben hebben die een 'chilling effect'.

https://nos.nl/artikel/23...van-kwestie-xinjiang.html

https://nos.nl/artikel/23...nd-niet-open-te-doen.html

Of herinner je je nog hoe de directie van ASML dit voorval:
https://www.ad.nl/economi...ionnen-bij-asml~a87ef918/

ontkende: https://www.nrc.nl/nieuws...chinese-spionage-a3956651
Het is helaas hoe de grote wereld werkt. Luisterde gisteren in de auto nog een NYT podcast over hoe Biden gereageerd heeft op de moord op Khashoggi door die Saudische kroonprins. Was hij tijdens de verkiezingen nog erg bullish, nu is er gelimiteerde actie van de VS. Argumentatie, de kroonprins is pas 35, zit er nog 3-4 decennia. Risico is te groot dat Rusland / China in een vacuum stapt als de VS hem te hard aanpakt. 'Een klassiek dilemma tussen doen wat aansluit bij de waarden van de VS vs wat goed is voor de VS' zoals de presentatiefiguur het uitlegde. Logisch, maar uitermate frustrerent.
Die cyber attacks worden al heel lang over en weer uitgevoerd. Het grote verschil is dat het westen er vrij open in is, een land als China niet.
Voor kleinere bedrijven is Kopano een prima alternatief, veilig en Open Source. Kolab werkt ook prima. Zijn genoeg gratis/betaalbare alternatieven, zeker voor het mkb. De it’ers moeten er wel voor open staan uiteraard.
Denk dat de it'ers daar niet de grootste hobbel zijn


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True