2022年1月1日,微软Exchange电子邮件系统由于年末的日期验证错误产生的安全漏洞,导致电子邮件系统的瘫痪,无法发送邮件。
日期验证失败导致邮件无法发送
Exchange Server是微软推出的一套电子邮件服务组件,是一个消息与协作系统,可以被用来构建应用于企业、学校的邮件系统。
自2013年开始,为了保护用户不收到恶意邮件,Exchange服务器中默认启用了FIP-FS反垃圾邮件和反恶意软件扫描引擎。而正是这个引擎导致了微软2022年的第一个漏洞。
2022年1月1日,微软Exchange管理员报告称,FIP-FS引擎中的一个bug拦截了服务器发送的邮件。随后,Exchange管理员和安全研究人员Joseph Roosen表示,出现问题的原因是微软使用int 32变量来保存日期值,可保存的日期的最大值为2,147,483,647,而2022年日期的最小值为2,201,010,001,超出了 int 32可保存的日期最大值,因此扫描引擎产生错误无法对要发送的邮件成功扫描。
据悉,如果出现邮件无法发送的情况,Exchange服务器事件日志中会出现错误5300和1106(FIPFS)。
微软紧急发布修复程序
发现漏洞之后,微软紧急发布了修复程序,支持自动修复和手动修复。
如果选择自动化解决方案,需要先下载脚本(https : //aka.ms/ResetScanEngineVersion )。在运行脚本之前,通过运行Set-ExecutionPolicy -ExecutionPolicy RemoteSigned更改 PowerShell 脚本的执行策略。在下载反恶意软件更新的每个 Exchange 邮箱服务器上运行该脚本。
如果选择手动解决方案,需要执行以下的步骤:
验证安装了受影响的版本 :
运行 Get-EngineUpdateInformation 并检查 UpdateVersion 信息。如果它以“22...”开头,则继续。如果安装的版本以“21...”开头,则无需采取任何措施。
删除现有引擎和元数据 :
- 停止 Microsoft 筛选管理服务。当提示同时停止 Microsoft Exchange 传输服务时,单击是。
- 使用任务管理器确保 updateservice.exe 未运行。
- 删除以下文件夹:%ProgramFiles%\Microsoft\Exchange Server\V15\FIP-FS\Data\Engines\amd64\Microsoft。
- 从以下文件夹中删除所有文件:%ProgramFiles%\Microsoft\Exchange Server\V15\FIP-FS\Data\Engines\metadata。
更新到最新引擎
- 启动 Microsoft 筛选管理服务和 Microsoft Exchange 传输服务。
- 打开 Exchange 命令行管理程序,导航到 Scripts 文件夹 (%ProgramFiles%\Microsoft\Exchange Server\V15\Scripts),然后运行Update-MalwareFilteringServer.ps1 。
验证引擎更新信息
- 在 Exchange 命令行管理程序中,运行Add-PSSnapin Microsoft.Forefront.Filtering.Management.Powershell。
- 运行Get-EngineUpdateInformation,验证UpdateVersion信息为2112330001(或更高)
更新引擎后,验证邮件流是否正常工作,并且确保应用程序事件日志中不存在 FIPFS 错误事件。
