Bleeding Edge Snort

You could add the rule manually via webadmin (at least if there are specific ones you are interested in). You could also import from a file at the command line, but this would 1) probably get overwritten by the next ruleset Up2Date and 2) void your support.

[ QUOTE ]
You could add the rule manually via webadmin ....

[/ QUOTE ]

I just tried this, but i think i`ve done something wrong...

It is about this new WMF Exploit.

I found this on bleedingsnort.com:

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"BLEEDING-EDGE EXPLOIT WMF Escape Record Exploit"; flow:established,from_server; content:"|01 00 09 00 00 03|"; depth:500; content:"|00 00|"; distance:10; within:12; content:"|26 06 09 00|"; within:5000; classtype:attempted-user; reference:url,www.frsirt.com/english/advisories/2005/3086; sid:2002733; rev:1[;)]

So i tried on the ASG:

Description: BLEEDING-EDGE EXPLOIT WMF Escape Record Exploit

Selector: tcp $EXTERNAL_NET any -> $HOME_NET any

Filter: flow:established,from_server; content:"|01 00 09 00 00 03|"; depth:500; content:"|00 00|"; distance:10; within:12; content:"|26 06 09 00|"; within:5000; classtype:attempted-user; reference:url,www.frsirt.com/english/advisories/2005/3086; sid:2002733; rev:1;

But after adding that rule, i can`t surf anymore.
("Server for this Side is not reachable")

I tried to add the "msg:"BLEEDING-.." for the "flow: established..", remove the last ";" and finaly to find the correct Snort syntax on snort.org.
There are so many infos, but i can`t find the correct syntax to add that rule into the IDS of the ASG...  [:S]

Hope you could help me.

There is an example in the built-in help in the webmin.

Barry

That was the first place i look at, and the second was the manual.
But sorry, i dont`t see my mistake...

Description: no question  [;)]
Selector: i think this is also ok
Filter: this is all what the HELP says:"The actual recognition part of this rule in Snort syntax (e.g., "dsize: >800;"). "
The manual says that i must finish with ";" - i did it... 

To be honest - i don`t realy understand all these parameters, but i want to react in time and it would be nice if someone could tell me, how to add that rule.

notec

Hi, 

I have also tried to add local astaro rules to block the current Windows WMF exploit (from bleedingedge).  The problem seems to be that Astaro adds certain elements to each rule automagically, and if you also specify one of those elements in your filter, then snort will fail to load at all and you will not be able to surf.  

To fix this, look in the IDS live log and you will see it complain about your new rule and die.  Just remove the elements that it does not like until snort loads.  For the WMF bleeding edge rule to load I had to remove the "msg", "sid", and "classtype" elements (if I remember correctly).

I am still not sure that the rule is working correctly, but snort does load at least.  There is another built in rule in web-client called "
WEB-CLIENT Microsoft wmf metafile access - ID 2436" that hits the only test I have of the newer WMF exploit.  

Can anyone with better knowledge of snort let us know if the exisiting WMF rule will block all of the new exploits?  Or if the bleeding edge rule works correctly?  I am not confident in my ability to test this well.

Thanks

I've likewise been trying to add the bleeding-edge snort rule for the WMF issue and haven't had any luck. As mentioned by others  I aslo find the interface for adding rules to be, shall we say, less than obvious and the help file sheds little light on the subject IMO.

If someone can point me towards a good explanation of how to add rules it would be most appreciated.

Also the idea of being able to add rules via some more efficient method than the admin screen would be excellent. May I suggest that all the partners that recently received the survey / feedback request comment on this as allowed.

Ok, I am able to load the be-snort rules for WMF into the Astaro as follows:

Description: WMF part 1
Selector: tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any
Filter: flow:established,from_server; flowbits:isnotset,bleeding_wmf_expl; content:"HTTP"; depth:4; nocase; flowbits:set,bleeding_wmf_http; flowbits:noalert;

Description: WMF part 2
Selector:  tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any
Filter: flowbits:isset,bleeding_wmf_http; flowbits:isnotset,bleeding_wmf_expl; content:"|00 09 00 00 03|"; content:"|00 00|"; distance:10; within:12; flowbits:set,bleeding_wmf_expl; flowbits:noalert;

Description: WMF part 3
Selector:   tcp $EXTERNAL_NET any -> $HOME_NET any
Filter: flowbits:isset,bleeding_wmf_expl; pcre:"/\x26[\x00-\xff]\x09\x00/"; classtype:attempted-user; threshold:type limit, track by_src, count 1,seconds 120;


Everything is loaded fine with snort.  The info on bleeding edge says "flow_depth (of http_inspect_server) has to be set to 0" so I edited /var/chroot-snort/etc/snort/snort.conf-defaults and added "flow_depth 0" to the end of the http_inspect_server line.  this makes it show up as set to 0 in the live log so i think everything should be ok.

but... now how can i test this?  anyone know of a good way?

Thanks

I just tested, and they don't seem to work. Test online here:

http://www.heise.de/security/dienste/browsercheck/demos/ie/wmf.shtml

I can tell you though that the ASG Antivirus sure picked up the Heise email test as a virus and blocked it. I can also tell you the latest Symantec AV defs as well as Antivir detect it.