新年伊始，萬象更新，但在2022年的第一天，微軟卻給大家開了一個不大不小的“玩笑”：由于FIP-FS 反惡意軟件掃描引擎中的“2022年”錯誤，Microsoft Exchange服務(wù)器無法從2022 年1月1 日開始發(fā)送電子郵件。

眾所周知，自從 Exchange Server 2013 以來，Microsoft 就默認(rèn)啟用 FIP-FS 反垃圾郵件和反惡意軟件掃描引擎，以保護(hù)用戶免受惡意電子郵件的侵害。

但是，誰也沒想到，在2022年的第一天會因為該引擎導(dǎo)致無法發(fā)送郵件。

來自2022年的錯誤

2022年1月1日，全球 Microsoft Exchange 管理員收到大量的告警報告，F(xiàn)IP-FS 引擎中的一個錯誤阻止了內(nèi)部部署服務(wù)器的電子郵件傳遞。

安全研究員兼 Exchange 管理員 Joseph Roosen 表示，這是由 Microsoft 使用帶符號的 int32 變量來存儲日期值引起的，該值的最大值為 2,147,483,647。

但是2022年的日期最小值為2,201,010,001，大于signed int32變量所能存儲的最大值，導(dǎo)致掃描引擎失敗，無法釋放郵件進(jìn)行發(fā)送。

觸發(fā)此錯誤時，Exchange Server 的事件日志中將出現(xiàn) 1106 錯誤，指出“FIP-FS 掃描進(jìn)程初始化失敗。錯誤：0x8004005。錯誤詳細(xì)信息：未指定的錯誤”或“錯誤代碼：0x80004005。反惡意軟件掃描引擎在將值“2201010001”轉(zhuǎn)換為長整數(shù)值時遇到錯誤，導(dǎo)致無法在加載相關(guān)進(jìn)程。

發(fā)現(xiàn)這一問題后，微軟一面準(zhǔn)備發(fā)布一個 Exchange Server 更新，該更新使用更大的變量來保存日期以正式修復(fù)此錯誤;而針對那些急需發(fā)送電子郵件的用戶，微軟給出了一個緊急的解決辦法：禁用FIP-FS 掃描引擎。

禁用FIP-FS 掃描引擎，用戶可在 Exchange Server 上執(zhí)行以下 PowerShell 命令：

Set-MalwareFilteringServer -Identity  -BypassFiltering $true 
Restart-Service MSExchangeTransport 

然后重新啟動 MSExchangeTransport 服務(wù)，郵件發(fā)送就會恢復(fù)正常。

但是這個方法存在明顯的安全隱患，禁用FIP-FS 掃描引擎后，那些惡意、垃圾電子郵件將會非常容易發(fā)送至用戶手中，大大增加了用戶計算機(jī)中招的風(fēng)險。

目前，微軟已經(jīng)發(fā)布了修復(fù)補(bǔ)丁，并促使用戶盡快進(jìn)行修復(fù)。

事件發(fā)生后，微軟發(fā)文表示，正在積極解決在 Exchange Server 2016 和 Exchange Server 2019上郵件無法發(fā)送的問題。該問題是與2022年更改的日期有關(guān)，F(xiàn)IP-FS 掃描引擎本身并沒有任何的安全問題。微軟隨后將會發(fā)布有關(guān)解決該問題的詳細(xì)信息。

參考來源：

https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-year-2022-bug-in-fip-fs-breaks-email-delivery/