The CERT-Bund warns to X more than 15,000 Exchange servers in Germany, which are openly accessible from the Internet with at least one security vulnerability. Some of the vulnerabilities are already being actively exploited.
In March 2024, the BSI had already 17000 Exchange servers which are openly accessible from the Internet and contain known vulnerabilities.
Most servers are vulnerable to the vulnerability CSV-2024-26198, followed by CVE-2023-364439 and CVE-2023-36745. While most servers are vulnerable to a vulnerability from the year 2024, vulnerabilities from the year 2023 are in second and third place:
In just over half a year, this number has only been reduced by a good 2000 servers, so the question arises as to why there are still so many Exchange servers that are not at the current patch level. The current CU 14 for Exchange 2019 dates from February 2024 and the corresponding SU from April 2024, so you have actually had a good 5 months to install the updates.
Perhaps most companies do not know that updates for the Exchange Server should be installed urgently?
The Exchange Health Checker is the easiest way to get an overview of the update status and other security and configuration problems. The Exchange Health Checker can be downloaded here:
The Health Checker can then be executed in an administrative Exchange Management Shell:
.\HealthChecker.ps1An HTML output of the report can then be generated:
.\HealthChecker.ps1 -BuildHtmlServersReportThe first few lines tell you whether you need to take action. If the "Vulnerability Detected" column is displayed in red, there is definitely something wrong. The rest of the report then explains what the problem is and often even includes a link.
Incidentally, the 17000 servers in the March report corresponded to 37% of all publicly accessible Exchange servers in Germany. So there should be about 45000 Exchange servers in Germany, which is not a small number in my opinion. Unfortunately, so many publicly accessible and known vulnerable Exchange servers are not a small number either.
If this article is read by people with outdated Exchange servers, please write me a message via the contact form, I would be interested in the background and maybe I can help a little further.
Here on the blog there is also an overview of the current Exchange Server versions:
You can also sign up for the security update newsletter on this page. I will then send you an e-mail when there is a new security update for Exchange Server.
Erschreckend ist doch auch, das noch ca. 10% aller Exchangeserver Uraltversionen (2010/2013) sind, die schon lange keine Updates mehr bekommen.
Da sollte man die Leute mal fragen, warum die noch solche Uraltversionen nutzen.
Na vermutlich wird hier Geld keine ganz untergeordnete Rolle spielen. Exchange 2010 war im Vergleich zu Office 365 und selbst Exchange 2019 noch relativ günstig für kleine Unternehmen zu bekommen. Ein Upgrade wurde dann aus Kostengründen nicht mehr durchgeführt.
Ich habe eine grundsätzliche Frage zum HealthChecker. Im meinem Bericht wird TLS 1.3 als enabled angezeigt, was richtig ist. Aber in ROT. Wieso? Hätte ich TLS 1.3 nicht aktivieren dürfen?
Exchange 2019 unterstützt bisher kein Tls 1.3 und deswegen soll man es deaktivieren. Ab cu15 wird er auf win 2022 und 2025 Tls 1.3 unterstützen.
Das hab ich offenbar überlesen. Danke für die Info.
Das würde mich auch interessieren. Ich vermute es ist eine Mischung aus:
– Die Geschäftsleitung hält Updates für überbewertet (Downtime, kostet nur Geld)
– Weil der ITler gegangen ist, wurde die Wartung wurde von irgendeinem Angestellten übernommen, der dank der Doku das Exchange Admin Center finden konnte, auf der er fortan Postfächer anlegt und löscht.
– Es ist ein zuständiger ITler am Werk, der das aus sonstigen Gründen vernachlässigt. (Fehlendes Wissen, keine Lust, ich weiß es nicht…. )
37% ist aber wirklich eine ziemlich heftig hohe Zahl. Ich hätte eher was bei 10% vermutet.
Ich betreue einige von den ungepatchten bzw. von den 2000 stk die jetzt wieder aktuell sind. Bei allen Exchange Servern die ich in den letzten 5 Jahren so gesehen habe war einfach niemand vor Ort der wusste was er tut. Sie wissen nicht wie man Exchange migriert, sie kennen das System mit den CUs nicht, usw. Das größte Hindernis ist aber die Angst dass es nach einem Update nicht mehr funktioniert und sie nicht wissen warum. Verständlich, keine Mails bekommen gleicht einem Produktionsausfall und wie wir alle wissen gibt es manchmal schon seltsame Exchange Probleme, vor allem wenn die initiale Konfiguration schon nicht gepasst hat.
Dann vergeht sehr viel Zeit bis jemand externes eingekauft wird der schon mehr als einen Exchange gesehen hat, vielleicht weil sie sparen wollen, oder weil die ITler vor Ort zu Stolz sind. Und dann stehen wir da, vor einem Exchange 2010 der das letzte Update vor X Jahren gesehen hat.
Ich bin froh drüber, so gibt es immer was zu tun :)