Lale Çorumlu

Microsoft Exchange şirket içi sunucuları, FIP-FS kötü amaçlı yazılımdan koruma tarama motorundaki "2022 Yılı" hatası nedeniyle 1 Ocak 2022'den itibaren e-posta teslim edemez.

Microsoft, Exchange Server 2013'ten başlayarak, kullanıcıları kötü niyetli e-postalardan korumak için varsayılan olarak FIP-FS istenmeyen posta önleme ve kötü amaçlı yazılımdan koruma tarama motorunu etkinleştirdi.

Microsoft Exchange Y2K22 hatası

Dünya çapındaki Microsoft Exchange yöneticilerinden gelen sayısız rapora göre, FIP-FS motorundaki bir hata, 1 Ocak 2022 gece yarısından itibaren şirket içi sunucularla e-posta teslimini engelliyor.

Güvenlik araştırmacısı ve Exchange yöneticisi Joseph Roosen, bunun Microsoft'un bir tarihin değerini saklamak için imzalı bir int32 değişkeni kullanması nedeniyle olduğunu ve bunun en fazla 2.147.483.647 değerine sahip olduğunu söyledi.

Ancak, 2022'deki tarihlerin minimum 2.201.010.001 veya daha büyük bir değeri vardır; bu, imzalı int32 değişkeninde depolanabilecek maksimum değerden daha büyüktür ve bu, tarama motorunun başarısız olmasına ve teslimat için posta bırakmamasına neden olur.

According to additional research on this issue, this is happening because Microsoft is using a signed int32 for the date and the new date value of 2,201,010,001 is over the max value of "long" int32 being 2,147,483,647. @MSFTExchange - Not sure why it was structured this way??

— Joseph Roosen (@JRoosen) January 1, 2022

Bu hata tetiklendiğinde, Exchange Sunucusunun Olay Günlüğünde "FIP-FS Tarama İşlemi başlatılamadı. Hata: 0x8004005. Hata Ayrıntıları: Belirtilmemiş Hata" veya "Hata Kodu: 0x80004005. Hata Açıklaması: Can "2201010001"i uzuna çevir."

Dear @msexchangeteam. The FIP-FS “Microsoft” Scan Engine Failed to Load. Can’t Convert “2201010001” to long.

— long wtf = 2201010001; (@miketheitguy) January 1, 2022

Microsoft'un bu hatayı resmi olarak düzeltmek için tarihi tutmak için daha büyük bir değişken kullanan bir Exchange Server güncellemesi yayınlaması gerekecek.

Ancak, şu anda etkilenen şirket içi Exchange Sunucuları için yöneticiler, e-postanın yeniden teslim edilmesini sağlamak için FIP-FS tarama motorunu devre dışı bırakabileceğinizi buldu .

FIP-FS tarama motorunu devre dışı bırakmak için Exchange Sunucusunda aşağıdaki PowerShell komutlarını çalıştırabilirsiniz:

Set-MalwareFilteringServer -Identity -BypassFiltering $true
Restart-Service MSExchangeTransport

MSExchangeTransport hizmeti yeniden başlatıldıktan sonra posta yeniden teslim edilmeye başlayacaktır.

Ne yazık ki, bu resmi olmayan düzeltmeyle, teslim edilen postalar artık Microsoft'un tarama motoru tarafından taranmayacak ve bu da kullanıcılara daha fazla kötü amaçlı e-posta ve spam ulaşmasına yol açacaktır.

Microsoft, bir düzeltme üzerinde çalıştıklarını onayladı ve bugün daha fazla bilgiye sahip olmayı umuyor.

Exchange Server 2016 ve Exchange Server 2019'da iletilerin aktarım kuyruklarında takılmasına neden olan bir sorunun farkındayız ve üzerinde çalışıyoruz. Sorun, yeni yılın değişmesiyle birlikte bir tarih denetimi hatasıyla ilgilidir ve AV motorunun bir hatası değil kendisi. Bu, kötü amaçlı yazılım taraması veya kötü amaçlı yazılım motoruyla ilgili bir sorun değildir ve güvenlikle ilgili bir sorun değildir. İmza dosyasına karşı gerçekleştirilen sürüm denetimi, kötü amaçlı yazılım motorunun çökmesine ve dolayısıyla iletilerin aktarım kuyruklarında takılmasına neden oluyor.

Bu sorunu çözmek için aktif olarak çalışıyoruz ve bu sorunun nasıl çözüleceğine ilişkin ayrıntıları bugün daha sonra yayınlamayı umuyoruz. Bu arada, kuruluşunuz şirket içi Exchange sunucularınızın dışındaki iletilerde kötü amaçlı yazılım taraması yapıyorsa (örneğin, postaları Exchange Online üzerinden yönlendirerek veya bir üçüncü taraf ileti hijyeni çözümü kullanarak), kötü amaçlı yazılım taramasını atlayabilir veya devre dışı bırakabilirsiniz. Exchange sunucularınızda ve taşıma kuyruklarınızı temizleyin. Bu geçici çözümlerden birini yalnızca, Exchange Server'daki motor dışında e-posta için mevcut bir kötü amaçlı yazılım tarayıcınız varsa kullanmalısınız.

BleepingComputer, sorunla ilgili olarak Microsoft ile de iletişime geçti ancak henüz bir yanıt almadı.

Kaynak: https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-year-2022-bug-in-fip-fs-breaks-email-delivery/