Il primo bug del 2022

Microsoft Exchange, ecco la patch urgente al bug che bloccava l’invio delle e-mail

È disponibile la patch per Microsoft Exchange che corregge il bug emerso lo scorso primo gennaio nel motore antimalware sui server in modalità on-premise dell’azienda di Redmond. Ecco cos’è successo e come correre ai ripari con il primo emergency fix del nuovo anno

03 Gen 2022
C
Mirella Castigli

Giornalista

Per Microsoft il primo bug dell’anno è arrivato con i festeggiamenti del 2022: l’azienda di Redmond ha infatti reso disponibile l’emergency fix che risolve la vulnerabilità scoperta nell’invio delle e-mail sui server in modalità on-premise di Microsoft Exchange.

Non si tratta di una falla in senso stretto, ma di un bug che impediva ai server, equipaggiati con il sistema targato Microsoft, di elaborare correttamente i messaggi di posta elettronica in coda: “La falla”, spiega Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “ha purtroppo un impatto significativo sulle operazioni di organizzazioni che utilizzano istanze di server Microsoft Exchange on-premise, impedendo di fatto la consegna delle e-mail“.

La patch per la falla in Microsoft Exchange

“Ciò accade per la presenza di bug nel motore di scansione antimalware (AV) utilizzato da Microsoft per proteggere i propri utenti”, mette in evidenza Paganini.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

La soluzione è già arrivata. “Microsoft ha per ora rilasciato una patch temporanea che risolve il problema, si tratta di uno script che una volta eseguito disabilita i servizi di Microsoft Filtering Management e Microsoft Exchange Transport per sostituire alcune componenti del motore antivirus”.

Gli amministratori dei Server Exchange in modalità on-premise hanno infatti trovato un primo workaround. Inizialmente avevano chiesto agli utenti di disabilitare il motore di scansione FIP-FS per consentire ai messaggi di posta elettronica di ristabilire il flusso delle mail. Ma adesso bisogna scaricare il fix di Microsoft.

L’aggiornamento arriva nella forma di uno script PowerShell chiamato Reset-ScanEngineVersion.ps1.

Una volta eseguito, lo script ferma i servizi Microsoft Filtering Management e Microsoft Exchange Transport services, cancella i file AV engine più vecchi, scarica il nuovo AV engine e fa ripartire di nuovo i servizi.

Per usare gli script automatici per applicare i fix, si possono effettuare i seguenti passaggi sui server on-premise di Microsoft Exchange:

  1. effettuare il download dello script Reset-ScanEngineVersion.ps1;
  2. aprire Exchange Management Shell;
  3. cambiare la policy di esecuzione degli script di PowerShell con i comandi Set-ExecutionPolicy -ExecutionPolicy RemoteSigned;
  4. far girare lo script;
  5. se è stato disabilitato lo scanning engine, come suggerito da Microsoft in un primo momento, bisogna riabilitarlo di nuovo usando lo script Enable-AntimalwareScanning.ps1.

Microsoft Exchange, i dettagli sulla vulnerabilità

La scoperta del bug è avvenuto quando alla mezzanotte del primo gennaio gli amministratori di Microsoft Exchange a livello globale hanno scoperto che i server avevano smesso di consegnare le e-mail e hanno iniziato a indagare. Hanno così trovato che la spedizione dei messaggi di posta elettronica risultava bloccata e che i log degli eventi Windows mostrava uno dei seguenti errori (vedi foto).

La falla, detta Y2k22 bug, risiedeva nel motore di scansione dell’antimalware FIP-FS che serve per bloccare eventuali e-mail infette. Gli errori, infatti, comparivano quando Microsoft Exchange controllava la versione dello scanning engine dell’antivirus FIP-FS e quando cercava di archiviare il date value in una variabile int32.

“La causa del problema è l’uso di una variabile di un formato, l’int32, non idoneo a contenere il valore rappresentativo di una data a partire dall’1 gennaio 2022”, sottolinea ancora Pierluigi Paganini: “l’incapacità a gestire le date dal primo gennaio genera un errore (codice 1106) visibile nel registro eventi di Exchange Server”, conclude l’esperto.

La variabile in esame era infatti in grado di archiviare un valore massimo di 2,147,483,647, che era inferiore al nuovo date value di 2,201,010,001 fissato per il primo gennaio 2022, al volgere della mezzanotte della fine dell’anno.

A quel punto, appena scoccata la mezzanotte dell’ultimo giorno dell’anno, i server hanno cessato di consegnare le e-mail. Gli amministratori di Microsoft Exchange a livello globale hanno poi ricevuto la segnalazione del problema scoprendo così il bug dopo aver condotto un’indagine.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2