info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

اختلال سراسری Microsoft Exchange در روز اول سال ۲۰۲۲

خلاصه: با اختلال سراسری  Microsoft Exchangeدر یکم ژانویه، سال ۲۰۲۲ چندان خوب برای این شرکت آغاز نشد. البته مایکروسافت نسخه اضطراری موقتی برای رفع این باگ منتشر کرده است.

در ساعات آغازین سال ۲۰۲۲ ، مدیران Exchange در سراسر دنیا متوجه شدند که سرورهای آن‌ها قادر به ارسال ایمیل نیستند. پس از بررسی‌ها متوجه شدند که ایمیل‌ها در صف قرار گیر می‌کنند. ویندوز به افراد پیام شکل۱ را نمایش می‌داد.

شکل۱- خطای Windows

مایکروسافت اعلام کرد که این مشکل به دلیل تغییر تاریخ و ورود به سال جدید وجود آمده‌است. مشکل antivirus engine یا malware engine نیست و حتی مشکل امنیتی نیست. سازنده ویندوز نیز اشاره کرده که این مشکل در نسخه‌های داخلی Exchange Server 2016 و Exchange Server 2019 تأثیر گذاشته است، اما مشخص نکرده است که این تأثیر چقدر گسترده بوده است.

این خطاها ناشی از بررسی version موتور اسکن آنتی‌ویروس FIP-FS و تلاش برای ذخیره تاریخ در متغیر signed int32 است. این متغیر فقط می‌تواند حداکثر مقدار ۲,۱۴۷,۴۸۳,۶۴۷ را ذخیره کند. این مقدار کمتر از مقدار تاریخ جدید ۲,۲۰۱,۰۱۰,۰۰۱ معادل با نیمه شب اول ژانویه ۲۰۲۲ است. در نتیجه مقدار تاریخ جدید در این متغییر ذخیره نمی‌شود. به همین دلیل، زمانی‌که Microsoft Exchange در تلاش است که نسخه اسکن AV را بررسی کند، باگ ایجاد می‌شود؛ باعث از کار افتادن موتور اسکن بدافزار می‌شود و پیام‌ها در صف‌ گیر می‌کنند.

 

انتشار نسخه موقت برای رفع مشکل توسط مایکروسافت

مایکروسافت یک نسخه موقت منتشر کرده است که نیاز است افراد در حین کار با Microsoft Exchange  این به‌روزرسانی را انجام بدهند. این به‌روز رسانی به طور خودکار مشکل را برطرف می‌کند. این اصلاح به شکل یک اسکریپت PowerShell با نام Reset-ScanEngineVersion.ps1 ارائه شده است. پس از اجرا، باعث توقف اسکریپت سرویس‌های Microsoft Filtering Management و Microsoft Exchange Transport می‌شود، فایل‌های موتور AV قدیمی‌تر را حذف می‌کند، موتور AV جدید را دانلود می‌کند و این سرویس را دوباره شروع به استفاده می‌کند.

 

برای استفاده از اسکریپت خودکار برای رفع مشکل، می‌توان این مراحل را در هر سرور داخلی Microsoft Exchange در سازمان دنبال کرد:

 

  1. اسکریپت Reset-ScanEngineVersion.ps1 را ازhttps://aka.ms/ResetScanEngineVersion  دانلود کنید.
  2. Exchange Management Shell را باز کنید.
  3. با اجرای Set-ExecutionPolicy -ExecutionPolicy RemoteSigned، policy یا سیاست‌های اجرا را برای اسکریپت‌های PowerShell تغییر می‌دهید.
  4. اسکریپت را اجرا کنید.
  5. اگر قبلاً موتور اسکن را غیرفعال کرده بودید، دوباره با استفاده از اسکریپت Enable-AntimalwareScanning.ps1 آن را فعال کنید.

مایکروسافت هشدار می‌دهد که این فرآیند بسته به اندازه سازمان ممکن است مدتی طول بکشد. همچنین مراحلی را ارائه کرده است که مدیران می‌توانند برای به‌روزرسانی دستی موتور اسکن استفاده کنند. پس از اجرای اسکریپت، ارسال ایمیل دوباره شروع می‌شود اما بسته به میزان ایمیلی که در صف گیر کرده است زمان لازم است تا تکمیل شود. موتور جدید اسکن AV شماره version، 2112330001 خواهد بود که به تاریخی اشاره می‌کند که وجود ندارد و مدیران نباید نگران آن باشند.

 در آخرین به‌روزرسانی نیز حداکثر مقدار صحیح متغیر int32 تغییر پیدا کرد. مایکروسافت نیز اشاره کرده که این به‌روزرسانی‌ها ممکن است ادامه‌دار باشد.