微軟FIP-FS 反惡意軟件掃描引擎由于Year 2022漏洞導(dǎo)致Exchange服務(wù)器無(wú)法發(fā)送郵件。

從2013年開(kāi)始，微軟在Exchange服務(wù)器中默認(rèn)啟用了FIP-FS反垃圾郵件和反惡意軟件掃描引擎來(lái)保護(hù)用戶免受惡意郵件的影響。

微軟Exchange Y2K22 bug

2022年1月1日，來(lái)自全球各地的微軟exchange管理員報(bào)告稱，F(xiàn)IP-FS引擎中的一個(gè)bug攔截了服務(wù)器發(fā)送的郵件。

Exchange管理員和安全研究人員Joseph Roosen稱，這一事件發(fā)生的原因是微軟使用int 32變量來(lái)保存日期值，因此可保存的日期的最大值為2,147,483,647。但2022年日期的最小值為2,201,010,001，比int 32可保存的日期最大值還大，使得掃描引擎產(chǎn)生錯(cuò)誤無(wú)法對(duì)要發(fā)送的郵件成功掃描。

該漏洞觸發(fā)后，Exchange服務(wù)器事件日志中會(huì)出現(xiàn)1106錯(cuò)誤，"The FIP-FS Scan Process failed initialization. Error: 0x8004005. Error Details: Unspecified Error"或"Error Code: 0x80004005. Error Description: Can't convert "2201010001" to long."。

微軟需要發(fā)布新的Exchange服務(wù)器更新，使用更大的變量來(lái)保存日期值以修復(fù)該漏洞。

在微軟發(fā)布官方更新之前，Exchange服務(wù)器管理員可以通過(guò)臨時(shí)禁用FIP-FS掃描引擎的方法來(lái)使用Exchange服務(wù)器恢復(fù)正常運(yùn)行。

在Exchange服務(wù)器上運(yùn)行以下Powershell命令可以禁用FIP-FS掃描引擎：

Set-MalwareFilteringServer -Identity  -BypassFiltering $true 
Restart-Service MSExchangeTransport 

 MSExchangeTransport 服務(wù)重啟后，就可以正常發(fā)送郵件了。

微軟官方已經(jīng)確認(rèn)該問(wèn)題的存在，該問(wèn)題影響Exchange Server 2016和Exchange Server 2019版本，并稱正在修復(fù)該問(wèn)題。但也確認(rèn)該問(wèn)題并不是一個(gè)安全相關(guān)的問(wèn)題。

微軟給出自動(dòng)化修復(fù)腳本參見(jiàn)：https://techcommunity.microsoft.com/t5/exchange-team-blog/email-stuck-in-transport-queues/ba-p/3049447

本文翻譯自：https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-year-2022-bug-in-fip-fs-breaks-email-delivery/如若轉(zhuǎn)載，請(qǐng)注明原文地址。