Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 8169 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Intrusion Prevention Alerts

jon8145
We've started getting some intrusion prevention alerts for a couple of PC's, I'm a bit confused as to what they are telling me and what I should do.

An example alert;

Intrusion Prevention Alert

An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.

Details about the intrusion alert:

Message........: BROWSER-IE Microsoft Internet Explorer CSS importer use-after-free attempt
Details........: https://www.snort.org/search?query=18196
Time...........: 2015-06-11 14:36:52
Packet dropped.: yes
Priority.......: high
Classification.: Attempted User Privilege Gain IP protocol....: 6 (TCP)

Source IP address: 207.123.57.107
Source port: 80 (http)
Destination IP address: 192.168.2.56
Destination port: 64728
        
-- 
HA Status          : HA MASTER (node id: 1)
System Uptime      : 58 days 20 hours 25 minutes
System Load        : 0.21
System Version     : Sophos UTM 9.310-11

Please refer to the manual for detailed instructions.


There have been a few different types of message, with various source IP's but only two PC's as the destination IP. All packets have been dropped.

The alert seems to be saying there was a bad response received from a web request, but I can't find any trace of requests being made to the source IP's on either Sophos logs or PC's. The PC users haven't reported ay errors or strangeness either.

Can anyone explain?


This thread was automatically locked due to age.
  • 0
    This would be logged in the intrusion prevention log.  You won't find it in other logs, because IPS already dropped it.  If you believe that this is a false positive, you can get the rule SID from the log and use that to make a rule modification to disable the rule.

    For more details on a specific rule, you'd have to head over to https://www.snort.org/.  They make the rules, UTM just uses them.  If you follow the link in the notification, there's a link to a NIST CVE.  On that page there's a link to several other explanatory articles, including a Microsoft Security Advisory.  Pretty much your remediation is to make certain that your PC's are patchesd to current.
  • 0
    If you're using Web Protection, Jon, you should be able to find 207.123.57.107 in the Web Filtering log.

    Cheers - Bob
  • 0
    Thanks for the responses. We are pretty much patched up to date so we should be fine, but I'm still confused.

    Only two PC's have been the destination for these packets, one of them has had them from a number of different source IP addresses. They appear to be HTTP responses but I still can't find anything to support that, especially the outbound request (such as on the Sophos logs, the browser history).

    Nothing dodgy on the PC's, AV checks are clean, no dodgy websites and so on.

    Been using Sophos for 6 months now, never had these alerts before until last Monday.

    Why aren't we getting them for other PC's? What is triggering them?
  • 0
    Why aren't we getting them for other PC's? What is triggering them?
    Any information given here would simply be a guess.  We can't see what is going on in your infrastructure.  If this is occurring on a regular ongoing basis, you may want to take some packet captures, so that you can analyze the packets.