Bug de año nuevo en Exchange interrumpe distribución de correos

Durante la medianoche de comienzo de año, múltiples administradores de sistemas de todo el mundo reportaron que MS Exchange no lograba sincronizar los correos recién enviados durante 2022, quedando en la cola sin poder visualizarse en las bandejas de entrada.

Este error se debe a que el valor con el que se representa la fecha en el sistema, supera el límite predefinido, causando que el programa no logre ejecutar sus tareas de forma correcta.

Falla de MS Exchange

Este error es originado en la comunicación entre FIP-FS anti-malware scanning engine en su intento de escanear los correos recepcionados por Exchange, ocasionando que no pudiesen ser procesados debido a que de forma predeterminada y por medidas de seguridad, el escaneo de malware es un prerrequisito para la distribución de correos a sus destinatarios.

Este módulo anti-malware viene incluido desde Exchange 2013 y ha generado errores únicamente en las versiones 2016 y 2019.

La falla se produce cuando el reloj cambió a las 00:00 del 01 de enero de 2022, debido a que las fechas son almacenadas en el sistema mediante variables, en este caso “int32” la que por defecto mantenía un límite de 2.147.483.647, lo cual es inferior a 2.201.010.001 que corresponde al nuevo año a medianoche.

Recomendaciones de Microsoft

Para este error Microsoft lanzó mediante sus canales oficiales una serie de recomendaciones que permiten mitigar el error de forma automática o manual como se detalla a continuación:

1. Deshabilitar el escaneo de malware por defecto de la marca y utilizar escáner de correos de un tercero.
   • Existen recomendaciones de emergencia que involucran deshabilitar el escaneo de correos, lo cual NO SE RECOMIENDA ya que puede ser fácilmente afectado por spam o phishing.
2. Para una solución adecuada se pueden ejecutar herramientas entregadas por Microsoft que solucionan el error de forma automatizada, aunque es esperable la liberación de nuevas actualizaciones:
   • Descargar el siguiente el script: https://aka.ms/ResetScanEngineVersion 
   • Antes de ejecutar el script, cambie la política de ejecución de los scripts de PowerShell ejecutando 
     • Set-ExecutionPolicy -ExecutionPolicy RemoteSigned.
   • Ejecute la secuencia de comandos en cada servidor Exchange que descargue actualizaciones antimalware en su organización (utilice la Shell de administración de Exchange con el máximo nivel de privilegios).
3. De lo contrario, se puede realizar el proceso de forma manual para lo que se recomienda seguir el siguiente enlace hacia la publicación oficial de Microsoft donde se describe el paso a paso detalladamente:
   • https://techcommunity.microsoft.com/t5/exchange-team-blog/email-stuck-in-exchange-on-premises-transport-queues/ba-p/3049447

Panorama

Si bien en esta ocasión no se presenta una vulnerabilidad propiamente tal, ni puede ser explotada desde dentro o fuera de la red, este fallo sí supone un problema para la tríada de seguridad, específicamente en la disponibilidad de la información. 

En muchas organizaciones esto último toma gran relevancia, en donde, por ejemplo, deben cumplir con servicios críticos, que en gran porcentaje, llegan a clientes a través del servicio de mensajería por e-mail, y la interrupción del proceso de envío de esta información puede ser complejo para ambas partes, lo cual pudiese llevar a errores o faltas en el cumplimiento de tareas, servicios y/o normativas, pudiendo exponerse a multas en los casos de mayor envergadura.

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.