Nach dem heutigen Jahreswechsel streiken weltweit zahlreiche Exchange-Server, weil die FIP-FS-Scan-Engine gegen Malware die Jahreszahl 2022 nicht korrekt verarbeitet. Es gibt aber einen temporären Workaround.
Der Administratoren von selbst gehosteten Exchange Server-Systemen (On-Premises-Server), waren um genau Mitternacht gefordert: Plötzlich konnten viele Exchange Server keine Emails mehr übertragen. Eine Information dazu, die auch auf die Ursache hinwies, verbreitete sich sehr schnell über Twitter.
Ursache: Das Konvertieren des Datums geht schief
Beim Konvertieren des Werts “2201010001” in einen Long-Integer-Wert läuft die Anti-Malware Scan Engine auf einen Fehler, so dass der betreffende Prozess dann nicht mehr geladen werden kann.
Julian Sieber vermutet in einem Techcommunity-Kommentar vom 31. Dezember 2021, dass es bei der Konvertierung des Strings in einen signed Integer-Wert zu einem Überlauf komme.
Dazu werden unter der PID 10816 die Fehlercodes 0x80004005 und sowie die Fehlerbeschreibung Kann “2201010002” nicht in Long konvertieren in die Logdateien geschrieben.
Das Problem scheint unter diversen Exchange Server-Versionen und bei unterschiedlichen Patchständen aufzutreten. Es sind aber wohl nicht alle On-Premises Exchange Server betroffen, weshalb vermutet wird, dass auf den nicht betroffenen Systemen der Antimalware-Scan oder die Email-Filterung nicht aktiv ist.
Schneller Workaround: Antimalware-Scanning deaktivieren
Zum Exchange Server gehört ein PowerShell-Script „Disable-AntiMalwareScanning.ps1“, das die Scan Engine deaktiviert. Als funktionierender temporärer Workaround empfiehlt sich die Ausführung dieses Scripts.
Einige Nutzer mussten nach Ausführung des Scripts den Transport-Dienst oder sogar den kompletten Exchange-Server neu starten.
Als Alternative kann man auch den nachfolgende PowerShell-Befehl benutzen, um die Filterung der Emails zeitweilig außer Kraft zu setzen:
Set-MalwareFilteringServer exch-19 -BypassFiltering $true
Auch danach muss anschließend der Transport-Dienst neu gestartet werden.
Microsoft selbst hat einige Informationen zu diesem Themenbereich in seinem Beitrag “Disable or bypass anti-malware scanning” zusammengestellt.