新年伊始，萬(wàn)象更新，但在2022年的第一天，微軟卻給大家開了一個(gè)不大不小的“玩笑”：由于FIP-FS 反惡意軟件掃描引擎中的“2022年”錯(cuò)誤，Microsoft Exchange服務(wù)器無(wú)法從2022 年1月1 日開始發(fā)送電子郵件。

眾所周知，自從 Exchange Server 2013 以來(lái)，Microsoft 就默認(rèn)啟用 FIP-FS 反垃圾郵件和反惡意軟件掃描引擎，以保護(hù)用戶免受惡意電子郵件的侵害。

但是，誰(shuí)也沒想到，在2022年的第一天會(huì)因?yàn)樵撘鎸?dǎo)致無(wú)法發(fā)送郵件。

來(lái)自2022年的錯(cuò)誤

2022年1月1日，全球 Microsoft Exchange 管理員收到大量的告警報(bào)告，F(xiàn)IP-FS 引擎中的一個(gè)錯(cuò)誤阻止了內(nèi)部部署服務(wù)器的電子郵件傳遞。

安全研究員兼 Exchange 管理員 Joseph Roosen 表示，這是由 Microsoft 使用帶符號(hào)的 int32 變量來(lái)存儲(chǔ)日期值引起的，該值的最大值為 2,147,483,647。

但是2022年的日期最小值為2,201,010,001，大于signed int32變量所能存儲(chǔ)的最大值，導(dǎo)致掃描引擎失敗，無(wú)法釋放郵件進(jìn)行發(fā)送。

觸發(fā)此錯(cuò)誤時(shí)，Exchange Server 的事件日志中將出現(xiàn) 1106 錯(cuò)誤，指出“FIP-FS 掃描進(jìn)程初始化失敗。錯(cuò)誤：0x8004005。錯(cuò)誤詳細(xì)信息：未指定的錯(cuò)誤”或“錯(cuò)誤代碼：0x80004005。反惡意軟件掃描引擎在將值“2201010001”轉(zhuǎn)換為長(zhǎng)整數(shù)值時(shí)遇到錯(cuò)誤，導(dǎo)致無(wú)法在加載相關(guān)進(jìn)程。

發(fā)現(xiàn)這一問(wèn)題后，微軟一面準(zhǔn)備發(fā)布一個(gè) Exchange Server 更新，該更新使用更大的變量來(lái)保存日期以正式修復(fù)此錯(cuò)誤;而針對(duì)那些急需發(fā)送電子郵件的用戶，微軟給出了一個(gè)緊急的解決辦法：禁用FIP-FS 掃描引擎。

禁用FIP-FS 掃描引擎，用戶可在 Exchange Server 上執(zhí)行以下 PowerShell 命令：

Set-MalwareFilteringServer -Identity  -BypassFiltering $true 
Restart-Service MSExchangeTransport 

然后重新啟動(dòng) MSExchangeTransport 服務(wù)，郵件發(fā)送就會(huì)恢復(fù)正常。

但是這個(gè)方法存在明顯的安全隱患，禁用FIP-FS 掃描引擎后，那些惡意、垃圾電子郵件將會(huì)非常容易發(fā)送至用戶手中，大大增加了用戶計(jì)算機(jī)中招的風(fēng)險(xiǎn)。

目前，微軟已經(jīng)發(fā)布了修復(fù)補(bǔ)丁，并促使用戶盡快進(jìn)行修復(fù)。

事件發(fā)生后，微軟發(fā)文表示，正在積極解決在 Exchange Server 2016 和 Exchange Server 2019上郵件無(wú)法發(fā)送的問(wèn)題。該問(wèn)題是與2022年更改的日期有關(guān)，F(xiàn)IP-FS 掃描引擎本身并沒有任何的安全問(wèn)題。微軟隨后將會(huì)發(fā)布有關(guān)解決該問(wèn)題的詳細(xì)信息。

參考來(lái)源：

https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-year-2022-bug-in-fip-fs-breaks-email-delivery/