{"id":261082,"date":"2022-01-01T10:21:24","date_gmt":"2022-01-01T09:21:24","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=261082"},"modified":"2022-01-03T14:35:53","modified_gmt":"2022-01-03T13:35:53","slug":"exchange-fip-fs-scan-engine-failed-to-load-cant-convert-2201010001-to-long-1-1-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/01\/01\/exchange-fip-fs-scan-engine-failed-to-load-cant-convert-2201010001-to-long-1-1-2022\/","title":{"rendered":"Exchange Year 2022 Problem: FIP-FS Scan Engine failed to load – Can’t Convert “2201010001” to long (1.1.2022)"},"content":{"rendered":"

[English<\/a>]Kurzer Hinweis an die Administratoren im Dienst, deren On-Premises Exchange Server gerade streiken und die FIP-FS Scan Engine (Virenscanner) nicht laden k\u00f6nnen, und einen Fehler Can't Convert \"2201010001\" to long<\/em>\u00a0 melden. Ihr seid wohl nicht allein, zum 1.1.2022 scheinen wohl einige Exchange Server zu mucken. Es gibt wohl ein Exchange Year 2022 Problem. Hier ein schneller \u00dcberblick, was Sache ist.<\/p>\n

<\/p>\n

Virenscanner FIP-FS<\/h2>\n

\"\"FIP-FS ist wohl der Anti-Malware-Virenscanner, der seit Exchange Server 2013 an Bord ist. Dieser soll die On-Premises Exchange Server-Installation auf sch\u00e4dliche Inhalte \u00fcberpr\u00fcfen. Allerdings scheint diese Anti-Malware Scan Engine h\u00e4ufiger Probleme zu bereiten. Frank Z\u00f6chling hat bereits im Oktober 2016 den Beitrag Exchange 2016: FIPFS Event ID 6027 Filter Updates werden nicht runtergeladen<\/a> ver\u00f6ffentlicht, der auf zahlreiche Fehlerm\u00f6glichkeiten beim Aktualisieren der Signaturdateien hinweist.<\/p>\n

Und Anfang Dezember 2021 hat jemand auf serverfault.com den Eintrag Exchange 2019 Antimalware engine updates download but don't get applied<\/a> gepostet. Dort erzeugt die FIP-FS\u00a0 MS Filtering Engine permanent Eintr\u00e4ge in der Ereignisanzeige, weil Updates nicht installiert werden konnten. Es hat wohl verschiedene Exchange-Versionen getroffen und d\u00fcrfte mit Downloads von Updates oder Virensignaturen zu tun haben. Dort wurde der Fehler durch Microsoft wohl korrigiert.<\/p>\n

FIP-FS-Fehler Can't Convert \"2201010001\" to long<\/h2>\n

Ich bin gerade auf Twitter durch einen Follower auf nachfolgenden Tweet aufmerksam gemacht worden, der das Problem, welches seit dem 1. Januar 2022 auftritt, in aller K\u00fcrze beschreibt.<\/p>\n

\"Exchange:<\/a><\/p>\n

Unter Exchange kann die Microsoft Scan Engine FIP-FS nicht geladen werden. Stattdessen wird der Fehler Can't Convert \"2201010001\" to long <\/em>gemeldet. In Folge-Tweets meldet sich ein weiterer Nutzer<\/a> mit dem Namen Joseph Roosen:<\/p>\n

Umm ya having issues with no mailflow because of this since that keeps crashing over and over since 0000 UTC.
\nDear we have a problem with hybrid since this service keeps crashing so basically mail is down.
\n@MSFTExchange<\/a>\u00a0@Microsoft<\/a>\u00a0@MSFT365Status<\/a><\/p><\/blockquote>\n

Passt also, der Exchange l\u00e4sst keine Mails mehr durch. Und \u00fcber Facebook hat mich jemand auf diesen Tweet<\/a> von Joseph Roosen hingewiesen, der das etwas im Kontext beleuchtet:<\/p>\n

<\/a><\/p>\n

Passt aktuell wohl: P\u00fcnktlich zum Jahreswechsel streikt der Virenscanner bei Exchange Server und jagt Administratoren einen Schrecken ein. Bei Microsoft gibt es seit M\u00e4rz 2021 den Beitrag The FIP-FS Scan Process failed initialization. Error: 0x80010105 AND Faulting application name: scanningprocess.exe<\/a>, der sich auf Exchange Server 2016 auf Windows Server 2016 bezieht. Dort gibt es den aktuellen Eintrag vom 1.1.2022:<\/p>\n

The exchange server was stuck with this error:<\/p>\n

The FIP-FS \"Microsoft\" Scan Engine failed to load. PID: 39268, Error Code: 0x80004005. Error Description: Can't convert \"2201010003\" to long. \/ Event ID 5300<\/p>\n

I have disabled filtering:<\/p>\n

Set-MalwareFilteringServer exch-19 -BypassFiltering $true<\/p>\n

and email is going agian … and I am looking for more info how to recover malware scanning service<\/p>\n

FYI
\nhappy new year exchnage<\/p><\/blockquote>\n

Da scheinen also einige Exchange-Server betroffen zu sein.<\/p>\n

Workaround: Anti Malware-Agent deaktivieren<\/h2>\n

Der Betroffene aus obigem Tweet hat inzwischen \u00fcber Twitter eine sehr einfache L\u00f6sung gepostet<\/a>. Er hat den Anti Malware-Agenten auf dem Exchange Server deaktiviert.<\/p>\n

\"Exchange<\/p>\n

Dazu gibt es das Script Disable-AntiMalwareScanning.ps1. <\/em>Dann werden zwar keine Malware-Scans mehr ausgef\u00fchrt – aber die Mails lassen sich wieder versenden und zustellen. Noch jemand, der von dieser Neujahrs\u00fcberraschung betroffen ist.<\/p>\n

Erg\u00e4nzung: Blog-Leser Marcus S. hat auf Facebook darauf hingewiesen, dass der PowerShell-Befehl:<\/p>\n

Get-TransportAgent \"Malware Agent\" | Disable-TransportAgent<\/pre>\n
auch funktioniert und die Mails wieder durchkommen. Erg\u00e4nzung:<\/strong> Microsoft hat im Dokument Disable or bypass anti-malware scanning<\/a> einige Erl\u00e4uterungen zum Thema zusammen getragen.<\/p>\n
Erg\u00e4nzung 2:<\/strong> Microsoft hat das Ganze best\u00e4tigt und arbeitet an einem Fix (siehe\u00a0Microsoft best\u00e4tigt Exchange Year 2022 Problem FIP-FS Scan Engine failed to load (1. Jan. 2022)<\/a>).<\/p>\n
Erg\u00e4nzung 3:<\/strong> Es gibt einen tempor\u00e4ren Fix, siehe\u00a0Tempor\u00e4rer Fix f\u00fcr Exchange Year 2022 Problem FIP-FS Scan Engine failed to load (1. Jan. 2022)<\/a><\/p>\n
\u00c4hnliche Artikel:
\n<\/strong>Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a>
\nWichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nExchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nMicrosoft MSERT hilft bei Exchange-Server-Scans<\/a>
\nExchange-Hack: Neue Patches und neue Erkenntnisse<\/a>
\nAnatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a>
\nExchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a>
\nNeues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a>
\nGab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a>
\nProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a>
\nMicrosoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben<\/a>
\nSicherheitsupdate f\u00fcr Exchange Server 2013 Service Pack 1 \u2013 Neue CUs f\u00fcr Exchange 2019 und 2016 (16.3.2021)<\/a>
\nMicrosoft Defender schlie\u00dft automatisch CVE-2021-26855 auf Exchange Server<\/a>
\nExchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)<\/a>
\nNeues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)<\/a>
\nVorwarnung: 0-Day-Schwachstellen, ist das n\u00e4chste Exchange-Drama im Anrollen?<\/a>
\nSicherheitsupdates f\u00fcr Exchange Server (Juli 2021)<\/a>
\nKumulative Exchange Updates Juni 2021 ver\u00f6ffentlicht<\/a>
\nExchange Server Security Update KB5001779 (13. April 2021)<\/a>
\nExchange-Schwachstellen: Droht Hafnium II?<\/a>
\nExchange Server: Neues zu den ProxyShell-Schwachstellen<\/a>
\nAngriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)<\/a>
\nAngriffswelle, fast 2.000 Exchange-Server \u00fcber ProxyShell gehackt<\/a>
\nProxyShell, ProxyLogon und Microsofts Exchange-Doku f\u00fcr Ausnahmen vom Virenschutz<\/a>
\nExchange und ProxyShell: Neues von Microsoft und Sicherheitsspezialisten<\/a>
\nTianfu Cup 2021: Exchange 2019 und iPhone gehackt<\/a>
\nBabuk-Gang nutzt ProxyShell-Schwachstelle in Exchange f\u00fcr Ransomware-Angriffe<\/a>
\nExchange Server November 2021 Sicherheitsupdates schlie\u00dfen RCE-Schwachstelle CVE-2021-423<\/a>
\nBSI\/CERT-Warnung: Kompromittierte Exchange-Server werden f\u00fcr E-Mail-Angriffe missbraucht (Nov. 2021)<\/a>
\nWarnung (CERT-Bund, USA, GB) vor Angriffen auf Exchange und Fortinet<\/a>
\nProxyNoShell: Mandiant warnt vor neuen Angriffsmethoden auf Exchange-Server (Nov. 2021)<\/a>
\nWarnung: ProxyShell, Squirrelwaffle und ein PoC-Exploit, patcht endlich eure Exchange-Server<\/a>
\nCERT-Bund-Warnung: 30% der deutschen Exchange Server mit offenem OWA angreifbar<\/a>
\nBeispiele f\u00fcr Viren-Mails nach \u00dcbernahme eines Exchange-Servers<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Kurzer Hinweis an die Administratoren im Dienst, deren On-Premises Exchange Server gerade streiken und die FIP-FS Scan Engine (Virenscanner) nicht laden k\u00f6nnen, und einen Fehler Can't Convert \"2201010001\" to long\u00a0 melden. Ihr seid wohl nicht allein, zum 1.1.2022 scheinen wohl … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,7459],"tags":[5359,24],"class_list":["post-261082","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-software","tag-exchange","tag-problem"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261082","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=261082"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261082\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=261082"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=261082"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=261082"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}