新年伊始,萬象更新,但在2022年的第一天,微軟卻給大家開了一個不大不小的“玩笑”:由于FIP-FS 反惡意軟件掃描引擎中的“2022年”錯誤,Microsoft Exchange服務器無法從2022 年1月1 日開始發送電子郵件。
眾所周知,自從 Exchange Server 2013 以來,Microsoft 就默認啟用 FIP-FS 反垃圾郵件和反惡意軟件掃描引擎,以保護用戶免受惡意電子郵件的侵害。
但是,誰也沒想到,在2022年的第一天會因為該引擎導致無法發送郵件。
來自2022年的錯誤
2022年1月1日,全球 Microsoft Exchange 管理員收到大量的告警報告,FIP-FS 引擎中的一個錯誤阻止了內部部署服務器的電子郵件傳遞。
安全研究員兼 Exchange 管理員 Joseph Roosen 表示,這是由 Microsoft 使用帶符號的 int32 變量來存儲日期值引起的,該值的最大值為 2,147,483,647。
但是2022年的日期最小值為2,201,010,001,大于signed int32變量所能存儲的最大值,導致掃描引擎失敗,無法釋放郵件進行發送。
觸發此錯誤時,Exchange Server 的事件日志中將出現 1106 錯誤,指出“FIP-FS 掃描進程初始化失敗。錯誤:0x8004005。錯誤詳細信息:未指定的錯誤”或“錯誤代碼:0x80004005。反惡意軟件掃描引擎在將值“2201010001”轉換為長整數值時遇到錯誤,導致無法在加載相關進程。
發現這一問題后,微軟一面準備發布一個 Exchange Server 更新,該更新使用更大的變量來保存日期以正式修復此錯誤;而針對那些急需發送電子郵件的用戶,微軟給出了一個緊急的解決辦法:禁用FIP-FS 掃描引擎。
禁用FIP-FS 掃描引擎,用戶可在 Exchange Server 上執行以下 PowerShell 命令:
- Set-MalwareFilteringServer -Identity -BypassFiltering $true
- Restart-Service MSExchangeTransport
然后重新啟動 MSExchangeTransport 服務,郵件發送就會恢復正常。
但是這個方法存在明顯的安全隱患,禁用FIP-FS 掃描引擎后,那些惡意、垃圾電子郵件將會非常容易發送至用戶手中,大大增加了用戶計算機中招的風險。
目前,微軟已經發布了修復補丁,并促使用戶盡快進行修復。
事件發生后,微軟發文表示,正在積極解決在 Exchange Server 2016 和 Exchange Server 2019上郵件無法發送的問題。該問題是與2022年更改的日期有關,FIP-FS 掃描引擎本身并沒有任何的安全問題。微軟隨后將會發布有關解決該問題的詳細信息。
參考來源:https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-year-2022-bug-in-fip-fs-breaks-email-delivery/
