Cerca
Close this search box.
Cerca
Close this search box.

Software EOL: un caso pratico in cui ITAM è utile alla sicurezza

Il caso Microsoft Exchange Server.

In che modo i processi ITAM di monitoraggio di software EOL sono utili per ridurre le esposizioni alle vulnerabilità di sicurezza.

Con il termine software EOL (End of Life) si fa riferimento a versioni software per cui è stata prevista la fine del supporto e quindi non saranno più disponibili aggiornamenti di sicurezza.

La visibilità sul software EOL e quindi con supporto terminato è un aspetto da non trascurare, perché alla sua esecuzione sulle reti aziendali possono essere associate delle vulnerabilità che aumentano il rischio di violazione dei dati di un’organizzazione.

I motivi per cui le aziende non riescono ad avere il controllo sul software EOL sono molteplici: acquisti indipendenti a livello multi-dipartimentale con il risultato di avere informazioni frammentarie, documentazione non aggiornata sul ciclo di vita degli asset, ma anche difficoltà nel rincorrere gli annunci dei vendor per pianificare massivamente migrazioni o aggiornamenti.

Ma gli impatti a livello di sicurezza sono sotto gli occhi di tutti: prendiamo come esempio Microsoft Exchange Server nelle sue versioni 2007, 2010, 2013. Secondo una scansione di ShadowServer ci sono quasi 20.000 server di posta elettronica Microsoft Exchange in Europa, USA e Asia che sono vulnerabili a difetti di esecuzione di codice remoto e sono esposti in Internet.

Questi sistemi di posta elettronica, infatti, eseguono una versione del software che attualmente non è più supportata (come si può vedere dal sito di Microsoft per le versioni 2007, 2010 e non ultima la 2013 che ha terminato il supporto l’11 aprile 2023 e per cui Microsoft consiglia caldamente la migrazione a Microsoft 365, Office 365 o Exchange 2019).

Exchange rientra tra prodotti di Microsoft con Fixed Lifecycle Policy, ovvero prodotti che al momento del rilascio hanno già una data di fine supporto.  Solitamente si definisce un minimo di cinque anni per il Mainstream Support e un periodo addizionale di Extended Support, termini entro i quali i clienti hanno a disposizione Service Pack da distribuire (correzioni raccolte in “pacchetti”) o indicazioni per sanare le vulnerabilità.

Oltre queste date, Microsoft NON garantisce più aggiornamenti di sicurezza. Con Exchange 2007 la data di fine del supporto esteso risale al 2017, mentre con le sue versioni più “giovani” siamo al 2020 e all’aprile di quest’anno.

Software EOL: i rischi legati ad Exchange

Come si legge su Bleeping Computer, i computer che eseguono le versioni non più supportate del server Exchange sono vulnerabili a ProxyLogon, un problema di sicurezza critico classificato come CVE-2021-26855, che può essere concatenato con un bug meno grave identificato come CVE-2021-27065 per ottenere l’esecuzione di codice remoto.

Nel caso di istanze che hanno raggiunto la fine del supporto, l’unica opzione rimasta è l’aggiornamento a una versione che riceva ancora gli aggiornamenti di sicurezza.

L’impostazione di processi SAM (ne abbiamo parlato anche qui) permette di ottenere dei report di qualità elevata sull’uso in tempo reale del software: tra le informazioni condivise troviamo anche i dati di fine supporto.

In WEGG ci appoggiamo alla tecnologia Snow, il cui database di riconoscimento software si integra ai dati sulle vulnerabilità forniti dal National Vulnerability Database: nelle aziende nostre clienti ci adoperiamo per promuovere il monitoraggio del software in esecuzione sulle reti aziendali in modo da disporre di dati utili alla sicurezza.

Sotto si vede una schermata di dettaglio del prodotto Exchange 2007, che estrae le informazioni di fine supporto direttamente dagli annunci forniti dal vendor:

Come WEGG risolve il problema del software EOL

 La preparazione di report sul software EOL da parte dei nostri consulenti ITAM con il supporto della tecnologia Snow facilita la comprensione di quanti dispositivi sono interessati da possibili software con supporto terminato e dove si trovano questi asset.

L’organizzazione di questi report – disponibili dopo un periodo di metering – include informazioni quali:

  • Software Name
  • Software Version
  • Software Edition
  • Date Type (EOL, EOS)
  • Date Value (la data attuale di monitoraggio)
  • Source (il link all’announcement ufficiale del vendor)


La consapevolezza di quali versioni
non sono più supportate permette di avere il controllo sulle vulnerabilità che possono interessare il proprio parco licenze: nella schermata sotto, tratta da un’analisi fatta su un nostro cliente, si vedono quali sono le versioni Exchange installate per cui è ancora previsto il supporto (2016 e 2019) e quali per cui sarebbe bene pianificare al più presto una migrazione (2010).

L’analisi non è solo retroattiva: il fatto di disporre di report aggiornati sul software EOL permette anche di pianificare le future migrazioni.  È possibile, infatti, attivare degli alert sugli asset IT che raggiungono la fine del loro ciclo di vita entro 12 mesi e trovarsi sempre un passo avanti alle versioni non più supportate.

La presenza all’interno del proprio ambiente di software obsoleto (fuori supporto), infatti, espone l’azienda a una costante vulnerabilità di sicurezza: ma quello che le aziende spesso trascurano è il fatto che il problema si estende non solo ai prodotti che richiedono una licenza a pagamento (vedi il caso Exchange), ma anche a prodotti gratuiti. Nel report seguente, ad esempio, si vede uno di essi, 7-Zip.

La reportistica SAM predisposta da WEGG sulla tecnologia Snow diventa uno strumento fondamentale per aiutare i team di Security e Operations a impostare dei processi continui di mitigazione del rischio.

02-s pattern02

Vorresti monitorare il ciclo di vita delle tue applicazioni software?

CONTATTACI PER APPROFONDIRE!