Ruim half miljoen Microsoft IIS-servers op internet zijn end-of-life

maandag, 23 maart 2026 (16:23) - Security.NL

In dit artikel:

The Shadowserver Foundation meldt dat meer dan 511.000 vanaf internet bereikbare Microsoft IIS-webservers inmiddels end-of-life zijn en daardoor geen reguliere beveiligingsupdates meer krijgen. Van die servers vallen ruim 277.000 volledig buiten Microsofts betaalde Extended Security Updates (ESU)-programma; circa 234.000 komen nog wel in aanmerking voor die tijdelijke, tegen betaling verkrijgbare fixes. De meeste verouderde installaties staan in de Verenigde Staten (ongeveer 119.000). In Nederland zijn ongeveer 6.700 IIS-servers gevonden, waarvan circa 2.200 buiten het ESU-dekking vallen.

Microsoft stopte de ondersteuning voor IIS 8 en 8.5 op 10 oktober 2023, waarbij organisaties maximaal drie jaar tegen betaling updates kunnen blijven ontvangen; ESU geldt alleen voor deze versies. Nieuwere IIS-versies (IIS 10) blijven ondersteund tot begin 2029. Omdat internet-blootgestelde, niet-ondersteunde servers geen beveiligingspatches meer krijgen, lopen ze een verhoogd risico op misbruik. Organisaties wordt aangeraden om te upgraden naar ondersteunde versies, ESU af te nemen indien nodig, of alternatieve hosting-/patchstrategieën te volgen om kwetsbaarheden te beperken.

Lees het volledige artikel