Σε δεκάδες χιλιάδες γερμανικούς servers «τρέχει» μια έκδοση Exchange που δεν υποστηρίζεται πλέον. Παρότι οι αριθμοί βελτιώνονται, παραμένουν ανησυχητικά υψηλοί.
Το Cert-Bund (Computer Emergency Response Team), που ανήκει στο BSI (Ομοσπονδιακή Υπηρεσία Ασφάλειας Πληροφοριών της Γερμανίας), εξέδωσε νέα προειδοποίηση για μη προστατευμένους Exchange servers στη Γερμανία.
Σύμφωνα με ανάρτηση της αρχής στο Mastodon, αυτή τη στιγμή μόνο το 19% των online προσβάσιμων servers με OWA (Outlook Web Access) τρέχει έκδοση Exchange που εξακολουθεί να λαμβάνει ενημερώσεις ασφαλείας. Το υπόλοιπο 81% παραμένει ευάλωτο.
Τον Οκτώβριο του 2025 ο αριθμός των Exchange servers που δεν υποστηρίζονταν πλέον είχε αυξηθεί ραγδαία. Αιτία ήταν ότι τότε σταμάτησε η υποστήριξη για τις (ακόμη πολύ διαδεδομένες) εκδόσεις Exchange 2016 και Exchange 2019.
Έκτοτε, μόνο το Microsoft Exchange Server SE (Subscription Edition) λαμβάνει ενημερώσεις.
Δύο εβδομάδες μετά τη λήξη υποστήριξης, τα Exchange 2016 και 2019 είχαν συνολικά μερίδιο αγοράς πάνω από 80%. Μαζί με τις ακόμη παλαιότερες εκδόσεις 2010 και 2013, το ποσοστό έφτανε το 92%.
Μόνο το 8% των Exchange servers που λειτουργούσαν στη Γερμανία, στα τέλη Οκτωβρίου 2025, βασιζόταν στο υποστηριζόμενο Exchange Server SE.
Η μετεγκατάσταση προχωρά αργά
Στο μεταξύ, τα στοιχεία δείχνουν μια ελαφρώς λιγότερο ανησυχητική εικόνα—αν και εξακολουθεί να απέχει πολύ από το «καλό».
Σύμφωνα με τη νέα ενημέρωση του Cert-Bund, το Exchange Server SE τρέχει σήμερα στο 19% όλων των γερμανικών Exchange servers, οι οποίοι έτσι συνεχίζουν να λαμβάνουν updates.
Το Exchange 2019 παραμένει κοντά στο 40%, το Exchange 2016 περίπου στο 35%, ενώ τα 2013 και 2010 βρίσκονται στο 3% το καθένα.
Οι διαχειριστές που χρησιμοποιούν ακόμη παρωχημένη έκδοση Exchange θα πρέπει να μεταβούν άμεσα σε λύση που υποστηρίζεται.
Καθώς το Exchange 2019 και οι παλαιότερες εκδόσεις δεν λαμβάνουν πλέον ενημερώσεις, γνωστά κενά ασφαλείας παραμένουν μόνιμα χωρίς patch.
Αυτό καθιστά, με την πάροδο του χρόνου, ολοένα και ευκολότερη την παραβίαση αυτών των συστημάτων από επιτιθέμενους.
Το BSI εκδίδει τακτικά προειδοποιήσεις για ευάλωτους Exchange servers στη Γερμανία. Τον Οκτώβριο του 2025, η αρχή ανέφερε ότι παρακολουθεί περίπου 33.000 Exchange συστήματα.
Πριν από λίγες εβδομάδες, το Cert-Bund προειδοποίησε επίσης για ευάλωτους servers με παρωχημένες εκδόσεις της λύσης email και groupware Zimbra—εκεί, το ποσοστό των ευάλωτων συστημάτων έφτανε πρόσφατα περίπου στο 40%.
Πρακτικές οδηγίες για να μειώσετε άμεσα το ρίσκο (για admins & IT managers)
Η ύπαρξη OWA/Exchange εκτεθειμένου στο internet είναι συχνός στόχος για αυτοματοποιημένες σαρώσεις, credential stuffing και εκμετάλλευση γνωστών ευπαθειών.
Αν έχετε Exchange on‑premises (σε Ελλάδα ή οπουδήποτε), τα παρακάτω βήματα βοηθούν να ευθυγραμμιστείτε με βασικές πρακτικές hardening και risk management.
Γρήγορος έλεγχος: τι πρέπει να καταγράψετε σήμερα
- Έκδοση Exchange (2010/2013/2016/2019/SE) και επίπεδο ενημερώσεων (CUs/SUs όπου ισχύει).
- Αν το OWA/ECP είναι δημόσια προσβάσιμο και από ποιες IP.
- Αν χρησιμοποιείται MFA και αν επιτρέπεται legacy authentication.
- Κατάσταση TLS, certificates, και πολιτικές password.
Άμεσα μέτρα μετριασμού (πριν τη μετεγκατάσταση)
- Περιορίστε την έκθεση: επιτρέψτε OWA μόνο μέσω VPN, reverse proxy ή allowlist IP όπου είναι εφικτό.
- Ενεργοποιήστε MFA παντού (ειδικά για admin accounts) και εφαρμόστε Conditional Access αν υπάρχει σχετική υποδομή.
- Ενισχύστε την επιτήρηση: κεντρικοποιήστε logs σε SIEM, και βάλτε alerts για ύποπτα sign-ins, μαζικά exports mailbox, ή ασυνήθιστα EWS/OWA patterns.
- Εφαρμόστε EDR στους Exchange servers και διασφαλίστε ότι το λειτουργικό και τα components (IIS/.NET) είναι πλήρως ενημερωμένα.
- Ελέγξτε τα backups: offline/immutable αντίγραφα, δοκιμασμένες επαναφορές και σαφές RPO/RTO.
Στρατηγική μετεγκατάστασης: Exchange Server SE ή cloud
- Για οργανισμούς με on‑prem ανάγκες: σχεδιάστε μετάβαση σε Exchange Server SE με δοκιμές σε staging περιβάλλον.
- Για μείωση λειτουργικού ρίσκου: αξιολογήστε μετάβαση σε Microsoft 365/Exchange Online ή hybrid μοντέλο, ώστε η ενημέρωση/σκλήρυνση να γίνεται πιο συστηματικά.
- Ορίστε χρονοδιάγραμμα, υπεύθυνους και “cutover plan” για να μη μείνουν παλαιές εκδόσεις «ξεχασμένες» σε παραγωγή.
