Microsoft a publié un correctif d’urgence pour un bug de l’année 2022 qui interrompt la livraison des e-mails sur les serveurs Microsoft Exchange sur site.
Alors que l’année 2022 arrivait et que l’horloge sonnait minuit, les administrateurs Exchange du monde entier ont découvert que leurs serveurs ne délivraient plus de courrier électronique. Après enquête, ils ont découvert que le courrier restait bloqué dans la file d’attente et que le journal des événements Windows indiquait l’une des erreurs suivantes.
Log Name: Application Source: FIPFS Logged: 1/1/2022 1:03:42 AM Event ID: 5300 Level: Error Computer: server1.contoso.com Description: The FIP-FS "Microsoft" Scan Engine failed to load. PID: 23092, Error Code: 0x80004005. Error Description: Can't convert "2201010001" to long.
Log Name: Application Source: FIPFS Logged: 1/1/2022 11:47:16 AM Event ID: 1106 Level: Error Computer: server1.contoso.com Description: The FIP-FS Scan Process failed initialization. Error: 0x80004005. Error Details: Unspecified error.
Ces erreurs sont dues au fait que Microsoft Exchange vérifie la version du moteur d’analyse antivirus FIP-FS et tente de stocker la date dans une variable int32 signée.
Cependant, cette variable ne peut stocker qu’une valeur maximale de 2 201 010 001, ce qui est inférieur à la nouvelle valeur de date de 2 201 010 001 pour le 1er janvier 2022, à minuit.
Pour cette raison, lorsque Microsoft Exchange tente de vérifier la version de l’analyse antivirus, cela génère un bug et provoque le blocage du moteur de malware.
« La vérification de version effectuée par rapport au fichier de signature provoque le plantage du moteur de malware, entraînant le blocage des messages dans les files d’attente de transport », a expliqué Microsoft dans un article de blog.
Microsoft publie un correctif temporaire
Microsoft a publié un correctif temporaire nécessitant une action du client tout en travaillant sur une mise à jour qui résout automatiquement le problème.
Ce correctif se présente sous la forme d’un script PowerShell nommé « Reset-ScanEngineVersion.ps1 ». Une fois exécuté, le script arrêtera les services Microsoft Filtering Management et Microsoft Exchange Transport, supprimera les anciens fichiers du moteur AV, téléchargera le nouveau moteur AV et redémarrera les services.
Pour utiliser le script automatisé pour appliquer le correctif, vous pouvez suivre ces étapes sur chaque serveur Microsoft Exchange sur site de votre organisation :
- Téléchargez le script Reset-ScanEngineVersion.ps1 depuis https://aka.ms/ResetScanEngineVersion.
- Ouvrez un Exchange Management Shell élevé.
- Modifiez la stratégie d’exécution des scripts PowerShell en exécutant Set-ExecutionPolicy -ExecutionPolicy RemoteSigned.
- Exécutez le script.
- Si vous aviez précédemment désactivé le moteur d’analyse, réactivez-le à l’aide du script Enable-AntimalwareScanning.ps1.
Microsoft prévient que ce processus peut prendre un certain temps, selon la taille de l’organisation.
Microsoft a également fourni des étapes que les administrateurs peuvent utiliser pour mettre à jour le moteur d’analyse manuellement.
Après avoir exécuté le script, Microsoft indique que les e-mails recommenceront à être livrés, mais que cela peut prendre un certain temps en fonction de la quantité d’e-mails bloqués dans la file d’attente.
Microsoft explique également que le nouveau moteur d’analyse AV portera le numéro de version 211233001, qui fait référence à une date qui n’existe pas et que les administrateurs ne devraient pas s’inquiéter.
« Le moteur d’analyse récemment mis à jour est entièrement pris en charge par Microsoft. Bien que nous devions travailler sur cette séquence à plus long terme, la version du moteur d’analyse n’a pas été annulée, mais a plutôt été intégrée à cette nouvelle séquence », a expliqué Microsoft.
« Le moteur d’analyse continuera à recevoir des mises à jour dans cette nouvelle séquence. »