Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[CRIT-852] Intrusion Protection Alert

Hallo zusammen,

ich kriege seit kurzer Zeit ständig Benachrichtigungsmails mit dem Subject:
[CRIT-852] Intrusion Protection Alert (Packet dropped)

und der Message:
WEB-CLIENT wmf file arbitrary code execution attempt

Die Source IP address gibt keinen Aufschluß.


Was hat das zu bedeuten?


Danke für Eure Hilfe und Infos.


JaLan


This thread was automatically locked due to age.
  • Die Source ist auch nicht das Problem (da kommt das schädliche WMF-File her, wird eben irgendein verseuchter Rechner im Internet sein) interessant ist wohl eher das Ziel (welcher Rechner will das File haben).

    Was hat das zu bedeuten -> hier gehts um eine Schwachstelle in Windows, dass mit speziellen WMF-Bildern (das ist ein Vektorgrafikformat, das es unter Win schon sehr lange gibt) Vollzugriff auf das System erlangt werden kann, sobald diese angezeigt werden. Die Lücke ist aber schon recht alt und kann vernünftig gepatchten Rechnern nichts anhaben.

    mfg
    Bastian
  • Danke für Deine Info.

    Die "Destination IP address" stammt von einem Linux Rechner.

    Die "Destination ports" variieren.

    Geben diese Auskunft?


    Danke für Eure Hilfe und Infos.

    JaLan
  • Was willst du überhaupt wissen?

    Die destination ports geben keine Auskunft, da diese bei HTTP-Verbindungen dynamisch verhandelt werden.

    mfg
    Monarch
  • Wieso wird das WMF-File an einen Linux Rechner geschickt?
    Oder von ihm angefordert?


    Danke

    JaLan
  • Tja das kann dir hier niemand sagen, wir kennen den Linux-Rechner ja nicht. Du könntest ihn ja mal unter die Lupe nehmen...

    Oder es ist am Ende sogar nur ein Fehlalarm [;)] ...