SICUREZZA DIGITALE

Data Microsoft: 33 dicembre

Brutta sorpresa per i server di posta elettronica Exchange...

L’anno nuovo è iniziato decisamente in salita per Microsoft. Un curioso bug ha intaccato i server Exchange versioni 2016 e 2019 sostanzialmente riempiendo la “coda” di recapito e lasciando letteralmente “sospeso” l’invio e la ricezione di migliaia di messaggi di posta elettronica.

Ricorda un po’ l’evento del “Millenium Bug” paventato ma decisamente ridimensionato, se non per gli incassi di venditori di truffaldini apparati o soluzioni per il salto dal 1999 al 2000.

Con ordine, cosa è successo?

Exchange Server rappresenta il prodotto Microsoft per la gestione della posta elettronica. Si tratta di un complesso sistema che si occupa, dall’inizio alla fine, di gestire i sistemi email di aziende e istituzioni, ed è disponibile sia nella versione “on premises” (cioè con tutte le infrastrutture installate nel datacenter dell’operatore), sia in versione “online” (cioè, l’azienda “noleggia” il servizio di posta elettronica direttamente da Microsoft, che mantiene l’efficienza dell’infrastruttura fisica ma consente la gestione del sistema ai clienti, liberandoli dall’immobilizzazione e del mantenimento dei server fisici).

Tra le varie componenti di Exchange, una delle più importanti è il cosiddetto “Transport Service”, che è il servizio che, letteralmente, si occupa di “leggere” il destinatario di un messaggio email inviato da un client e provvedere ad individuare il destinatario (sia “interno”, cioè nella medesima organizzazione di posta elettronica), sia appartenente ad un dominio esterno (@qualchecosa.com), occupandosi di verificarne l’esistenza interrogando i record MX (l’equivalente, sui DNS, dei record A / AAAA per i domini web), facendosi comunicare l’indirizzo del server di ricezione della posta, recapitando il messaggio ed infine restando in attesa di eventuali risposte e conferme di avvenuto recapito.

In questo complesso sistema, come in ogni tradizionale sistema di posta “fisica”, i messaggi vengono accodati in uno spazio temporaneo per consentire ai server di effettuare tutte queste operazioni e, nel frattempo, vengono anche elaborati con riguardo alla loro conformazione logica e di contenuto, per verificarne l’originalità, la liceità ed effettuando una prima “scrematura” sui messaggi notoriamente od euristicamente ritenuti spam, fraudolenti o pericolosi.

Tutto ciò avviene attraverso l’utilizzo di “filtri antispam” che, in modo molto simile agli antivirus, utilizzano degli elenchi di “comportamenti” o “firme” che i sistemi riconoscono come “sospetti”, “fraudolenti” o “pericolosi”, da rintracciarsi nelle intestazioni dei messaggi email, nellamancata corrispondenza tra il mittente che appare nel messaggio ed i server da cui il messaggio è effettivamente uscito, ovvero nel contenuto del messaggio stesso.

Aggiornare le firme dei Filtri Antispam

Come per gli antivirus sui nostri computer, anche i Filtri di trasporto dei server di posta elettronica si collegano periodicamente ad un’infrastruttura da cui ricevono gli aggiornamenti di tali “firme pericolose”, che vengono aggiornate anche più volte al giorno grazie alle scoperte dei vari CERT (nazionali o privati), dei laboratori di ricerca dei produttori di antivirus, delle infrastrutture di sicurezza e (anche) dalle segnalazioni degli utenti (il classico “contrassegna come spam” che molti di noi utilizzano nei propri client di posta), derivando così un sistema collaborativo di difesa, anche se purtroppo di solito in modo “reattivo”.

Cosa è successo il 1° gennaio?

In occasione di un aggiornamento dei filtri antispam di routine il primo dell’anno, i server Exchange di tutto il mondo hanno ricevuto la versione 2201010001 dell’elenco, ma i sistemi di controllo ed installazione automatica sono andati in tilt per un errore nel calcolo della checksum del file scaricato.

La checksum è un codice che viene calcolato in modo univoco con  l’utilizzo di parametri noti al mittente ed al destinatario e consente di accertare che un file non venga modificato durante il suo viaggio digitale tra i sistemi; in sostanza, una sorta di “sigillo”che attesta che il file ricevuto sia esattamente corrispondente al file inviato.

L’esito negativo della routine di controllo dei server Exchange, dovuta alla variazione dell’anno (che contraddistingue il nome e la versione del file delle “firme” antispam), ha bloccato letteralmente il servizio di trasporto di tutte le macchine Exchange a ciò dedicate, determinando l’accumulo di email che sono rimaste “in pancia” ai server fino alla massima capienza degli spazi disco destinati a tale immagazzinamento temporaneo.

Risultato: milioni di email non inviate, migliaia di server Exchange letteralmente inchiodati.

La soluzione della community di Exchange

Chiaramente, sin dalle prime segnalazioni, la comunità degli utenti Exchange (che, vi assicuro per esperienza personale, è composta di persone davvero valentissime!) si è messa in moto, e la prima ovvia soluzione è stata una procedura rapidamente diffusa via forum e “telefono senza fili” per la disattivazione o il bypass del servizio Transport Filter.

In questo modo, almeno i server hanno potuto “scodare” i messaggi, al prezzo della mancata o non aggiornata verifica di sicurezza e del fatto che la procedura vada eseguita su OGNI singolo server logico incaricato del trasporto dei messaggi: un lavorone, soprattutto per le organizzazioni più grandi che ancora gestiscono “in house” il proprio sistema di messaggistica. 

E soprattutto, dei poveri “reperibili” del 1° gennaio!

Il più classico dei porkaround: la soluzione Microsoft

Una volta accertato che il problema fosse nella data, Microsoft ci ha “messo una pezza” che, seppur buffa, di fatto ha rimesso i sistemi in grado di utilizzare i filtri.

Semplicemente, ha generato una nuova versione dei filtri aggiornati, datandola… 33 dicembre! I files delle nuove firme, infatti, sono denominati 211233.0001

Chiaramente ed evidentemente si tratta di un workaround, una soluzione temporanea che in termini gergali degli addetti ai lavori viene definita porkaround. Una “porcata” che però funziona.

Aspettiamo la fix definitiva al bug Y2K22 e…”buone Feste fatte!

Back to top button