باگ FIP-FS در مایکروسافتExchange در ارسال ایمیل اختلال ایجاد میکند.
سرورهای Microsoft Exchange که به صورت داخل شبکه و on-premiseپیاده سازی شده اند، از اول ژانویه 2022، به دلیل باگ در موتور اسکن ضد بدافزار FIP-FS نمیتوانند ایمیل ارسال کنند. از نسخه Exchange Server 2013، مایکروسافت موتور اسکن ضد هرزنامه و ضد بدافزار FIP-FS را به طور پیش فرض فعال کرد تا از کاربران در برابر ایمیل های مخرب محافظت کند.
باگ Microsoft Exchange Y2K22
بر اساس گزارشهای متعدد از مدیران Microsoft Exchange در سراسر جهان، یک اشکال در موتور اسکن FIP-FS ارسال ایمیل با سرورهای داخلی را از نیمهشب ۱ ژانویه ۲۰۲۲ مسدود میکند.
جوزف روزن، محقق امنیتی و مدیر اکسچنج گفت که این امر به دلیل استفاده مایکروسافت از متغیر عددی نشانه گذاری شده int32 برای ذخیره value تاریخ است که حداکثر آن 2,147,483,647 است. با این حال، تاریخها در سال 2022 دارای حداقل مقدار 2,201,010,001 هستند که بیشتر از حداکثر مقداری است که میتوان در متغیر نشانه گذاری شده int32 ذخیره کرد و باعث میشود موتور اسکن از کار بیفتد و نامه را برای تحویل آزاد نکند!
با توجه به تحقیقات انجام شده در مورد این موضوع، دلیل این اتفاق این است که مایکروسافت از یک int32 نشانه گذاری شده برای تاریخ استفاده می کند و مقدار تاریخ جدید 2,201,010,001 بیش از حداکثر مقدار “long int32” است که 2,147,483,647 است.
هنگامی که این باگ شروع به کار میکند، خطای 1106 در لاگ سرور Exchange ظاهر می شود که می گوید: “فرآیند اسکن FIP-FS در مقداردهی اولیه ناموفق بود. خطا: 0x8004005. جزئیات خطا: خطای نامشخص” ، یا “کد خطا: 0x80004005. شرح خطا: “نمی توان “2201010001” را به long تبدیل کرد.”
برطرف کردن مشکل ارسال ایمیل در مایکروسافت اکسچنج
مایکروسافت برای رفع این باگ، باید یک آپدیت برای سرور Exchange را منتشر کند که از یک متغیر بزرگتر برای نگه داشتن تاریخ استفاده کند. با این حال، برای سرورهای داخلی Exchange که در حال حاضر تحت تأثیر قرار گرفتهاند، مدیران میتوانند موتور اسکن FIP-FS را غیرفعال کنند تا اجازه دهند ایمیل دوباره ارسال شود.
برای غیرفعال کردن موتور اسکن FIP-FS، می توانید دستورات PowerShell زیر را در سرور Exchange اجرا کنید:
Set-MalwareFilteringServer -Identity -BypassFiltering $true
Restart-Service MSExchangeTransport
پس از راه اندازی مجدد سرویس MSExchangeTransport، ایمیل ها مجدداً تحویل داده می شوند.
متأسفانه، با این اصلاح غیررسمی، ایمیل های فرستاده شده دیگر توسط موتور اسکن مایکروسافت اسکن نمیشوند، که منجر به دریافت ایمیلهای مخرب و هرزنامههای بیشتری به کاربران میشود. مایکروسافت تأیید کرده است که در حال کار بر روی یک اصلاح است و امیدوار است که اطلاعات بیشتری در آینده در دسترس باشد.
ماکروسافت اعلام کرده است که از مشکلی که باعث میشود پیامها در صفهای انتقال در Exchange Server 2016 و Exchange Server 2019 گیر کنند، آگاه هستند و در حال حاضر مشغول بررسی اختلال پیش آمده هستند.
نتایج بدست آمده نشان میدهد که این مشکل از طرف موتور اسکن بدافزار نیست و مشکل مرتبط با امنیت نمی باشد. در بررسی نسخه بر روی فایل امضا باعث از کار افتادن موتور اسکن بدافزار می شود و در نتیجه پیام ها در صف های انتقال گیر می کنند و فرستاده نمیشوند.
ماکروسافت به زودی جزئیات مربوط به نحوه حل این مشکل را منتشر میکند. در همین حین، اگر سازمان شما در محل خارج از شبکه سرور Exchange اسکن بدافزار بر روی ایمیل ها انجام میدهد، (به عنوان مثال، با مسیریابی ایمیل ها از طریق Exchange Online، یا با استفاده از نرم افزار های دیگر)، میتوانید اسکن بدافزار را دور بزنید یا غیرفعال کنید. در سرورهای Exchange خود transport queues را پاک کنید. اگر یک اسکنر بدافزار موجود برای ایمیل غیر از موتور موجود در Exchange Server دارید، باید از یکی از این راهحلها استفاده کنید.
