Microsoft đã phát hành một bản vá khẩn cấp cho một lỗ hổng dẫn đến việc trì hoãn gửi email trên các máy chủ vật lý (on-premise) Microsoft Exchange.
Khi năm 2022 vừa bắt đầu, quản trị viên Exchange trên toàn thế giới đã phát hiện máy chủ của họ không còn gửi email được nữa. Sau khi điều tra, họ nhận thấy thư đang bị kẹt trong hàng đợi và event log (nhật ký sự kiện) của Windows cho thấy các lỗi sau.
Các lỗi này xảy ra do Microsoft Exchange đang kiểm tra phiên bản của công cụ quét vi-rút (antivirus/AV) FIP-FS và cố gắng lưu trữ ngày trong một biến (variable) int32.
Biến này chỉ có thể lưu trữ giá trị tối đa là 2,147,483,647, nhỏ hơn giá trị ngày mới là 2,201,010,001 cho ngày 1 tháng 1 năm 2022, vào lúc nửa đêm.
Do đó, khi Microsoft Exchange kiểm tra phiên bản công cụ AV, nó sẽ tạo ra lỗi và khiến hệ thống gặp sự cố.
Microsoft phát hành bản vá lỗi tạm thời
Microsoft đã phát hành bản vá tạm thời để khắc phục sự cố.
Bản vá lỗi có dạng một tập lệnh PowerShell có tên 'Reset-ScanEngineVersion.ps1.' Khi được thực thi, tập lệnh sẽ dừng các dịch vụ Microsoft Filtering Management và Microsoft Exchange Transport, xóa các tệp công cụ AV cũ hơn, tải xuống công cụ AV mới và khởi động lại các dịch vụ.
Để sử dụng tập lệnh tự động, bạn có thể làm theo các bước sau trên từng máy chủ vậy lý Microsoft Exchange:
1. Tải xuống tập lệnh Reset-ScanEngineVersion.ps1 từ địa chỉ https://aka.ms/ResetScanEngineVersion.
2. Mở Exchange Management Shell với quyền quản trị viên.
3. Thay đổi chính sách thực thi cho tập lệnh PowerShell bằng cách chạy lệnh Set-ExecutionPolicy -ExecutionPolicy RemoteSigned.
4. Chạy tập lệnh đã tải xuống.
Nếu trước đó bạn đã tắt công cụ rà quét, hãy bật lại nó bằng cách sử dụng tập lệnh Enable-AntimalwareScanning.ps1.
Quá trình này có thể mất một khoảng thời gian, tùy thuộc vào quy mô của tổ chức.
Microsoft cũng cung cấp các bước hướng dẫn để quản trị viên có thể cập nhật công cụ rà quét theo cách thủ công.
Sau khi thực thi tập lệnh, các email sẽ bắt đầu được gửi trở lại, và mất một khoảng thời gian để hoàn thành tùy thuộc vào số lượng email bị kẹt trong hàng đợi.
Microsoft cho biết công cụ quét AV mới có phiên bản số 2112330001, tham chiếu đến một ngày không tồn tại và quản trị viên không cần lo lắng vì điều này. "Công cụ mới này sẽ nhận được hỗ trợ và cập nhật đầy đủ của Microsoft".
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Các nhà nghiên cứu Hàn Quốc đã thử nghiệm các cuộc tấn công trên một số ổ cứng SSD để cài cắm phần mềm độc hại.
Tín nhiệm mạng | “Have I Been Pwned” cho phép bạn kiểm tra xem liệu email và mật khẩu của mình có thuộc danh sách 441.000 tài khoản đã bị đánh cắp trong một chiến dịch đánh cắp thông tin bằng phần mềm độc hại RedLine hay không.
Tín nhiệm mạng | Các nhà nghiên cứu tại công ty bảo mật Tenable đã phát hiện 6 lỗ hổng có mức độ cao trong phiên bản firmware mới nhất (1.0.4.120) của bộ định tuyến Netgear Nighthawk R6700v3, cho phép kẻ tấn công kiểm soát hoàn toàn thiết bị.
Tín nhiệm mạng | Hơn 1.200 trang web sử dụng phishing toolkits, còn gọi là bộ công cụ lừa đảo MitM, được triển khai trong thực tế cho phép tin tặc vượt qua bảo mật xác thực hai yếu tố
Tín nhiệm mạng | Tin tặc tấn công “credential stuffing” vào người dùng LastPass nhằm giành quyền truy cập vào kho lưu trữ mật khẩu trên đám mây của họ.
Tín nhiệm mạng | ReasonLabs đã phát hiện ra một phần mềm độc hại mới xâm nhập vào máy tính của nạn nhân được ngụy trang dưới dạng phiên bản mới nhất của bộ phim Spiderman.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
