Bij de jaarwisseling zijn door de Y2K22 bug talloze Exchange mail servers over de hele wereld vastgelopen omdat de FIP-FS scan engine in de war raakt door het jaartal 2022. Er is een tijdelijke patch.
Beheerders van on-premise Exchange Server-systemen die tijdens de jaarwisseling stand-by stonden, werden om middernacht (om precies te zijn: op 1 januari 2022, 00:00 UTC) opgeschrikt. Veel Exchange-servers waren ineens niet meer in staat om mails te sturen. Een bericht hierover, waarin ook naar de oorzaak werd verwezen, verspreidde zich snel op Twitter.
Conversie van de datumwaarde gaat fout
Waarden vanaf 2201010000 voor data en tijden in het nieuwe jaar liggen buiten het bereik dat kan worden weergegeven met een lang integer getal. Als gevolg daarvan stopte de anti-malware-engine met het afleveren van e-mails. Microsoft heeft op zijn Technet-pagina’s instructies gepubliceerd die het probleem zouden moeten verhelpen zonder de scanning op malware te moeten uitschakelen. Een PowerShell script moet de procedure vereenvoudigen.
Julian Sieber vermoedt in een Techcommunity commentaar van 31 december 2021 dat er een overflow optreedt bij het omzetten van de string in een signed integer waarde. Vervolgens worden onder PID 10816 de foutcodes 0x80004005 en de foutbeschrijving ‘Kan “2201010002” niet converteren naar lang‘ in de logbestanden geschreven.
Het probleem doet zich voor onder verschillende Exchange Server versies en verschillende patch levels. Niet alle on-premises Exchange Servers worden getroffen – maar de aanname is dat de anti-malware scan of mailfiltering op die systemen niet actief is en dit dus uberhaupt niet kan zien.
Workaround Y2K22 bug in Exchange mail: Deactiveer anti-malware scanning
Voor Exchange Server is er een PowerShell script Disable-AntiMalwareScanning.ps1, dat de scan-engine uitschakelt. Het uitvoeren van dit script is een tijdelijke workaround.
Daarna moesten sommige gebruikers de transport service of zelfs de Exchange server opnieuw opstarten.
Als alternatief kan het volgende PowerShell commando worden gebruikt om het filteren van de mails tijdelijk uit te schakelen:
Set-MalwareFilteringServer exch-19 -BypassFiltering $true
Ook hier zal de transportdienst waarschijnlijk opnieuw moeten worden opgestart. Een lezer liet weten dat na het uitvoeren van het commando
Get-TransportAgent “Malware Agent” | Disable-TransportAgent
het ontvangen en verzenden van mail onder Exchange Server 2016 met de laatste Cumulative Update ook weer werkte. Microsoft heeft enige informatie over dit onderwerp verzameld in het artikel “Disable or bypass anti-malware scanning“.
In de tussentijd is er een signature-update om het probleem op te lossen. Maar er zijn meldingen dat dit het probleem niet oplost.
Microsoft levert nieuwe oplossing voor Exchange Y2K22 bug
Het lijkt er op dat de getroffen servers de eigen functie van het product gebruikten om te scannen op malware. De eventlogs vertoonden het bericht “The FIP-FS Microsoft Scan Engine failed to load.
De eerste aanbeveling van Microsoft was om de dienst uit te schakelen. Het bedrijf leverde een PowerShell script dat de klus klaarde.
Een halve dag later publiceerde Microsoft op zijn Technet-pagina’s instructies om het probleem op te lossen zonder het scannen op malware te hoeven uitschakelen. De handmatige instructies vereisen veel afzonderlijke stappen. Ook hier zou een PowerShell-script het proces moeten vereenvoudigen – aanvankelijk was Microsoft niet in staat een geautomatiseerde oplossing te bieden en schatte dat het dagen zou duren om die te ontwikkelen en te implementeren.
De nieuwe geautomatiseerde oplossing is naar verluidt geschikt voor Exchange Server 2016 en 2019.
zie vooral deze daarop, welke hardware is vooral besmet.
https://itdaily.be/nieuws/security/kwetsbaarheid-in-populaire-chips/
Vppral dan ook, bescherming begint bij jezelf
https://itdaily.be/blogs/security/beveiliging-in-2022-wat-komt-er-op-je-af-en-hoe-bescherm-je-jezelf/