اختلال در سرورهای Microsoft Exchange

اختلال در سرورهای Microsoft Exchange

سرورهای Microsoft Exchange که به صورت داخل شبکه و on-premiseپیاده سازی شده اند، از اول ژانویه 2022، به دلیل باگ در موتور اسکن ضد بدافزار FIP-FS نمی‌توانند ایمیل ارسال کنند. از نسخه Exchange Server 2013، مایکروسافت موتور اسکن ضد هرزنامه و ضد بدافزار FIP-FS را به طور پیش فرض فعال کرد تا از کاربران در برابر ایمیل های مخرب محافظت کند.

باگFIP-FS  در مایکروسافتExchange  در ارسال ایمیل اختلال ایجاد میکند.

سرورهای Microsoft Exchange که به صورت داخل شبکه(on-permise) پیاده سازی شده اند، از اول ژانویه 2022، به دلیل باگ در موتور اسکن ضد بدافزار FIP-FS نمی‌توانند ایمیل ارسال کنند. از نسخه Exchange Server 2013، مایکروسافت موتور اسکن ضد هرزنامه و ضد بدافزار FIP-FS را به طور پیش فرض فعال کرد تا از کاربران در برابر ایمیل های مخرب محافظت کند.

باگ Microsoft Exchange Y2K22

بر اساس گزارش‌های متعدد از مدیران Microsoft Exchange در سراسر جهان، یک اشکال در موتور اسکن FIP-FS ارسال ایمیل با سرورهای داخلی Exchange را از نیمه‌شب ۱ ژانویه ۲۰۲۲ مسدود می‌کند. جوزف روزن، محقق امنیتی و مدیر اکسچنج گفت که این امر به دلیل استفاده مایکروسافت از متغیر عددی نشانه گذاری شده int32 برای ذخیره value تاریخ است که حداکثر آن 2,147,483,647 است. با این حال، تاریخ‌ها در سال 2022 دارای حداقل مقدار 2,201,010,001 هستند که بیشتر از حداکثر مقداری است که می‌توان در متغیر نشانه گذاری شده int32 ذخیره کرد و باعث می‌شود موتور اسکن از کار بیفتد و نامه را برای تحویل آزاد نکند!

با توجه به تحقیقات انجام شده در مورد این موضوع، دلیل این اتفاق این است که مایکروسافت از یک متغیر int32 نشانه گذاری شده برای تاریخ استفاده می کند و مقدار تاریخ جدید 2,201,010,001 بیش از حداکثر مقدار "long int32" است که 2,147,483,647 است.

هنگامی که این باگ شروع به کار میکند، خطای 1106 در لاگ سرور Exchange ظاهر می شود که می گوید: "فرآیند اسکن FIP-FS در مقداردهی اولیه ناموفق بود. خطا: 0x8004005. جزئیات خطا: خطای نامشخص" ، یا "کد خطا: 0x80004005. شرح خطا: نمی توان "2201010001" را به long تبدیل کرد.

مایکروسافت برای رفع این باگ، باید یک آپدیت برای سرور Exchange را منتشر کند که از یک متغیر بزرگ‌تر برای نگه داشتن تاریخ استفاده کند. با این حال، برای سرورهای داخلی Exchange که در حال حاضر تحت تأثیر قرار گرفته‌اند، مدیران می‌توانند موتور اسکن FIP-FS را غیرفعال کنند تا اجازه دهند ایمیل دوباره ارسال شود.

برای غیرفعال کردن موتور اسکن FIP-FS، می توانید دستورات PowerShell زیر را در سرور Exchange اجرا کنید:

Set-MalwareFilteringServer -Identity  -BypassFiltering $true

Restart-Service MSExchangeTransport

پس از راه اندازی مجدد سرویس MSExchangeTransport، ایمیل ها مجدداً تحویل داده می شوند.

متأسفانه، با این اصلاح غیررسمی، ایمیل های فرستاده ‌شده دیگر توسط موتور اسکن مایکروسافت اسکن نمی‌شوند، که منجر به دریافت ایمیل‌های مخرب و هرزنامه‌های بیشتری به کاربران می‌شود. مایکروسافت تأیید کرده است که در حال کار بر روی یک اصلاح است و امیدوار است که اطلاعات بیشتری در آینده در دسترس باشد.

مایکروسافت اعلام کرده است که از مشکلی که باعث می‌شود ایمیل ها در صف‌های انتقال در Exchange Server 2016 و Exchange Server 2019 گیر کنند، آگاه هستند و در حال حاضر مشغول بررسی اختلال پیش آمده میباشند. نتایج بدست آمده نشان میدهد که این مشکل از طرف موتور اسکن بدافزار نیست و مربوط به امنیت نمی باشد. در بررسی نسخه ( version checking)  بر روی فایل امضا باعث از کار افتادن موتور اسکن بدافزار می شود و در نتیجه پیام ها در صف های انتقال گیر می کنند و فرستاده نمیشوند.

مایکروسافت به زودی جزئیات مربوط به نحوه حل این مشکل را منتشر میکند. در همین حین، اگر سازمان شما در محل خارج از شبکه سرور Exchange اسکن بدافزار بر روی ایمیل ها انجام میدهد، (به عنوان مثال، با مسیریابی ایمیل ها از طریق Exchange Online، یا با استفاده از نرم افزار های دیگر)، می‌توانید اسکن بدافزار را دور بزنید یا غیرفعال کنید. در سرورهای Exchange خود transport queues را پاک کنید. اگر یک اسکنر بدافزار موجود برای ایمیل غیر از موتور موجود در Exchange Server دارید، باید از یکی از این راه‌حل‌ها استفاده کنید.

منبع: www.bleepingcomputer.com