Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 8171 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Intrusion Prevention Alerts

jon8145
We've started getting some intrusion prevention alerts for a couple of PC's, I'm a bit confused as to what they are telling me and what I should do.

An example alert;

Intrusion Prevention Alert

An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.

Details about the intrusion alert:

Message........: BROWSER-IE Microsoft Internet Explorer CSS importer use-after-free attempt
Details........: https://www.snort.org/search?query=18196
Time...........: 2015-06-11 14:36:52
Packet dropped.: yes
Priority.......: high
Classification.: Attempted User Privilege Gain IP protocol....: 6 (TCP)

Source IP address: 207.123.57.107
Source port: 80 (http)
Destination IP address: 192.168.2.56
Destination port: 64728
        
-- 
HA Status          : HA MASTER (node id: 1)
System Uptime      : 58 days 20 hours 25 minutes
System Load        : 0.21
System Version     : Sophos UTM 9.310-11

Please refer to the manual for detailed instructions.


There have been a few different types of message, with various source IP's but only two PC's as the destination IP. All packets have been dropped.

The alert seems to be saying there was a bad response received from a web request, but I can't find any trace of requests being made to the source IP's on either Sophos logs or PC's. The PC users haven't reported ay errors or strangeness either.

Can anyone explain?


This thread was automatically locked due to age.
Parents
  • 0
    This would be logged in the intrusion prevention log.  You won't find it in other logs, because IPS already dropped it.  If you believe that this is a false positive, you can get the rule SID from the log and use that to make a rule modification to disable the rule.

    For more details on a specific rule, you'd have to head over to https://www.snort.org/.  They make the rules, UTM just uses them.  If you follow the link in the notification, there's a link to a NIST CVE.  On that page there's a link to several other explanatory articles, including a Microsoft Security Advisory.  Pretty much your remediation is to make certain that your PC's are patchesd to current.
Reply
  • 0
    This would be logged in the intrusion prevention log.  You won't find it in other logs, because IPS already dropped it.  If you believe that this is a false positive, you can get the rule SID from the log and use that to make a rule modification to disable the rule.

    For more details on a specific rule, you'd have to head over to https://www.snort.org/.  They make the rules, UTM just uses them.  If you follow the link in the notification, there's a link to a NIST CVE.  On that page there's a link to several other explanatory articles, including a Microsoft Security Advisory.  Pretty much your remediation is to make certain that your PC's are patchesd to current.
Children
No Data