MicrosoftFIP-FS反恶意软件扫描引擎由于2022年漏洞,导致Exchange服务器无法发送邮件。从2013年开始,Microsoft在Exchange服务器中默认启用FIP-FS反垃圾邮件和反恶意软件扫描引擎,以保护用户免受恶意电子邮件的侵害。MicrosoftExchangeY2K22漏洞2022年1月1日,来自世界各地的MicrosoftExchange管理员报告称,FIP-FS引擎中的一个漏洞拦截了服务器发送的邮件。Exchange管理员兼安全研究员JosephRoosen表示,该事件的发生是因为微软使用int32变量来存储日期值,因此可以存储的最大日期值是2,147,483,647。但是2022年的date最小值是2,201,010,001,大于int32可以保存的最大date,导致扫描引擎产生错误,无法成功扫描到要发送的邮件。漏洞触发后,Exchange服务器事件日志中会出现1106错误,“TheFIP-FSScanProcessfailedinitialization.Error:0x8004005.ErrorDetails:UnspecifiedError”或“ErrorCode:0x80004005.ErrorDescription:Can'将“2201010001”转换为长整数。微软需要发布新的Exchange服务器更新,使用更大的变量来保存日期值来修复漏洞。在Microsoft发布正式更新之前,ExchangeServer管理员可以暂时禁用FIP-FS扫描引擎以恢复ExchangeServer的正常运行。在Exchange服务器上执行如下Powershell命令关闭FIP-FS扫描引擎:Set-MalwareFilteringServer-Identity-BypassFiltering$trueRestart-ServiceMSExchangeTransportMSExchangeTransport服务重启后,邮件可以正常发送。微软官方已经确认该问题的存在,影响ExchangeServer2016和ExchangeServer2019版本,并表示正在修复该问题。但也确认该问题不是安全相关问题。微软提供了自动修复脚本,参见:https://techcommunity.microsoft.com/t5/exchange-team-blog/email-stuck-in-transport-queues/ba-p/3049447本文翻译自:https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-year-2022-bug-in-fip-fs-breaks-email-delivery/如有转载请注明原文地址。
