Tags: Exchange, Troubleshooting, Malware
Ein Fehler in der Malware-Engine von Exchange führte bei vielen Kunden anlässlich des Jahreswechsels zu einem Absturz dieser Komponente und in der Folge zu einem Stau von Nachrichten in der Warteschlange. Microsoft stellte dafür keine automatische Lösung, sondern ein Script bereit, das Admins selbst ausführen müssen.
Das Problem ergab sich mit dem Update der Signaturdatei, welche die Muster zur Erkennung von Viren und anderer Schadsoftware enthält. Die Malware-Engine prüft deren Datum und wandelt es dabei in eine 32-Bit-Integer-Zahl nach dem Muster "YYMMDDHHMM" um. Nach dem Jahreswechsel begann diese mit einer "22" und überschritt so den maximal möglichen Wert von 2147483648.
Mail-Rückstau nach Crash der Malware-Engine
Durch den dadurch verursachten Absturz der Malware-Engine stockt der Transport von Nachrichten. Außerdem schreibt das System die Ereignisse 5300 und 1106 (FIPFS) in den Application Eventlog auf dem Exchange-Server. Diese Einträge erhält man auch bei der Ausführung des HealthChecker-Scripts, so dass man dieses nutzen kann, um das Problem zu verifizieren.
Da sich dieser Vorfall am Neujahrswochenende ereignete, dürften viele Anwender erst spät reagiert haben. In diesem Fall könnten viele Mails aufgelaufen und möglicherweise von Exchange automatisch aus der Warteschlange entfernt worden sein.
Viele Admins wurden über soziale Medien wie Reddit oder Twitter aufmerksam, da Microsoft erneut nur langsam reagierte. Eine vorübergehende Maßnahme bestand darin, die Malware-Engine zu deaktivieren.
Eingriff von Admins erforderlich
Microsoft hat nun eine Lösung in Form eines PowerShell-Scripts bereitgestellt, das Admins auf jedem Mailbox-Server in einer Sitzung mit administrativen Rechten ausführen sollen. Falls noch nicht erfolgt, muss dort die Execution-Policy für PowerShell auf RemoteSigned geändert werden.
Transport-Server sind von diesem Problem ebenso wenig betroffen wie reine Management-Server in einer hybriden Konfiguration mit Office 365. Versendet in einer Hybrid-Bereitstellung jedoch ein On-prem-Server die Mails, dann wird der Fix auch dort benötigt.
Keine Signatur-Updates mehr für Exchange 2013
Außerdem führt das Datumsproblem nur bei Exchange 2016 und 2019 zu einem Absturz der Malware-Engine. Daher stauen sich die Mails in Exchange 2013 zwar nicht, aber falls diese Version bereits ein Antimalware-Update erhalten hat, das mit "22" beginnt, dann erhält dies in Zukunft keine neuen Signaturen mehr.
"Neue" Versionierung
Das Script ersetzt die Scan-Engine und zugehörige Metadaten durch ein Update, dessen Schema für die Versionierung weiterhin mit einer "21" beginnt. Dabei handelt es sich offensichtlich um eine vorübergehende Lösung, der Microsoft eine grundsätzliche Fehlerbehebung folgen lassen dürfte.
Kommentare zum Blog-Post, in dem Microsoft die Problembehebung ankündigt, berichten davon, dass die vollständige Ausführung des Scripts mehr als eine Stunde dauern kann. Außerdem finden sich dort zahlreiche Klagen, wonach die Ausführung des Scripts gescheitert sei oder nach dessen Beendigung die Nachrichten sich weiter in der Warteschlage stauen.
Manuelle Behebung als Alternative
In einigen Fällen ließ sich das Problem der Mail-Queue durch einen Neustart des Servers beheben. Als Hindernis für das Script kann sich der BITS-Dienst erweisen, der das Löschen von Dateien durch das Script verhindert und daher temporär angehalten werden muss.
Außerdem scheint das Script manchmal daran zu scheitern, dass die Beendigung des Transportdienstes zu lange dauert und dadurch ebenfalls Dateien weiter geöffnet sind. Für solche Situationen beschreibt Microsoft, wie man die einzelnen Schritte des Scripts manuell abarbeiten kann. Dies ist unter Exchange 2013 generell notwendig, weil das Script nicht für diese Version ausgelegt ist.
Verfügbarkeit
Das Script ResetScanEngineVersion kann von Microsofts Website heruntergeladen werden. Eine genaue Anleitung für das manuelle Zurücksetzen der Engine-Version findet sich im oben erwähnten Blog-Beitrag.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Microsoft ändert Empfehlung für Virenscanner-Ausschlüsse auf Exchange Server
- Vermisste E-Mails in Microsoft Exchange nachverfolgen
- Kumulative Updates für Exchange kommen später, AMSI-Integration als neues Feature
- Windows Defender schließt Exchange-Schwachstelle CVE-2021-26855 automatisch und räumt Folgen eines Angriffs auf
- Kritische Exchange-Schwachstellen: Patches für alte CUs, vorläufige Schutzmaßnahmen, Tool zum Erkennen erfolgreicher Angriffe
Weitere Links