Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1896 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Meldung Windows Updates???

JonasE
Hallo liebes Forum,

ich habe seit gestern alle 15min diese IPS Meldung.
Laut Google steht hinter der IP 62.156.209.*** WindowsUpdates

Hat jemand das gleiche Problem?

Intrusion Prevention Alert

An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.

Details about the intrusion alert:

Message........: BROWSER-PLUGINS Microsoft Internet Explorer Time DATIME.DLL ActiveX clsid access
Details........: https://www.snort.org/search?query=20706
Time...........: 2015-09-10 11:32:01
Packet dropped.: yes
Priority.......: high
Classification.: Attempted User Privilege Gain IP protocol....: 6 (TCP)

Source IP address: 62.156.209.112
Source port: 80 (http)
Destination IP address: 192.168.2.20 (dc) Destination port: 55860
        
-- 
System Uptime      : 23 days 0 hours 28 minutes
System Load        : 0.08
System Version     : Sophos UTM 9.315-2

Please refer to the manual for detailed instructions.


This thread was automatically locked due to age.
  • 0
    Yes, I have also observed this same problem. Our UTM started alerting this same message early yesterday morning, approx 2:20am eastern Australia time. The destination IP address is our internal WSUS server.

    Apologies for the switch to English language... I cannot read/write German (and had to GoogleTranslate the text above!)
  • 0 in reply to JonasE
    Have a similar issue here.  Ran a pcap on my WSUS server which was listed as the supposed attack target.  The traffic matches up with WSUS synchronization activity.  The IP addresses (multiple) for the source appear to be CDNs used my Microsoft to distribute software.  the hosts point to wsus.ds.download.windowsupdate.com  here is the GET requests from the pcaps of one of the sessions.

    GET /d/msdownload/update/software/secu/2015/08/windows6.1-kb3087038-ia64_ef4606ab4859fd21db2a9f50d6e80f42949b5b94.cab HTTP/1.1
    Connection: Keep-Alive
    Accept: */*
    Accept-Encoding: identity
    If-Unmodified-Since: Wed, 26 Aug 2015 21:45:12 GMT
    Range: bytes=0-3614979
    User-Agent: Microsoft BITS/7.7
    Host: wsus.ds.download.windowsupdate.com

    It doesn't appear to be causing problems with the synch though.
Cookie Information Banner