Microsoft lança correção de emergência para bug do Exchange ano de 2022

A Microsoft lançou uma correção de emergência para um bug do ano de 2022 que está interrompendo a entrega de e-mail em servidores Microsoft Exchange locais.

Conforme o ano de 2022 avançava e o relógio batia meia-noite, os administradores do Exchange em todo o mundo descobriram que seus servidores não estavam mais entregando e-mail. Depois de investigar, eles descobriram que o e-mail estava preso na fila e o log de eventos do Windows mostrou um dos seguintes erros.

Log Name: Application 
Source: FIPFS 
Logged: 1/1/2022 1:03:42 AM 
Event ID: 5300 
Level: Error 
Computer: server1.contoso.com
Description: The FIP-FS "Microsoft" Scan Engine failed to load. PID: 23092, Error Code: 0x80004005. Error Description: Can't convert "2201010001" to long.

Log Name: Application 
Source: FIPFS 
Logged: 1/1/2022 11:47:16 AM 
Event ID: 1106 
Level: Error 
Computer: server1.contoso.com 
Description: The FIP-FS Scan Process failed initialization. Error: 0x80004005. Error Details: Unspecified error.

Esses erros são causados pelo Microsoft Exchange verificando a versão do mecanismo de verificação antivírus FIP-FS e tentando armazenar a data em uma variável int32 assinada.

No entanto, essa variável pode armazenar apenas um valor máximo de 2.147.483.647, que é menor que o novo valor de data de 2.201.010.001 para 1º de janeiro de 2022, à meia-noite.

Por isso, quando o Microsoft Exchange tenta verificar a versão de verificação do AV, ele gera um bug e causa o travamento do mecanismo de malware.

“A verificação de versão executada no arquivo de assinatura está causando o travamento do mecanismo de malware, resultando em mensagens presas em filas de transporte”, explicou a Microsoft em uma postagem no blog.

Microsoft lança correção temporária

A Microsoft lançou uma correção temporária que exige ação do cliente enquanto trabalha em uma atualização que corrige automaticamente o problema.

Essa correção vem na forma de um script do PowerShell denominado ‘Reset-ScanEngineVersion.ps1.’ Quando executado, o script interromperá os serviços Microsoft Filtering Management e Microsoft Exchange Transport, excluirá arquivos de mecanismo AV mais antigos, fará download do novo mecanismo AV e iniciará os serviços novamente.

Para usar o script automatizado para aplicar a correção, você pode seguir estas etapas em cada servidor Microsoft Exchange local em sua organização:

Baixe o script Reset-ScanEngineVersion.ps1 em https://aka.ms/ResetScanEngineVersion .
Abra um Shell de Gerenciamento do Exchange elevado.
Altere a política de execução para scripts do PowerShell executando Set-ExecutionPolicy -ExecutionPolicy RemoteSigned .
Execute o script.
Se você já havia desabilitado o mecanismo de varredura, habilite-o novamente usando o script Enable-AntimalwareScanning.ps1 .

A Microsoft avisa que esse processo pode demorar, dependendo do porte da organização.

A Microsoft também forneceu etapas que os administradores podem usar para atualizar o mecanismo de verificação manualmente.

Depois de executar o script, a Microsoft diz que o e-mail começará a ser entregue novamente, mas pode levar algum tempo para ser concluído, dependendo da quantidade de e-mail que ficou preso na fila.

A Microsoft também explica que o novo mecanismo de verificação AV terá o número de versão 2112330001, que faz referência a uma data que não existe e que os administradores não devem se preocupar.

“O mecanismo de varredura recém-atualizado é totalmente suportado pela Microsoft. Embora precisemos trabalhar nessa sequência por um longo prazo, a versão do mecanismo de varredura não foi revertida, ao invés disso foi implementada nesta nova sequência”, explicou a Microsoft.

“O mecanismo de verificação continuará recebendo atualizações nesta nova sequência.”

Fonte: Bleeping Computer