[Dshield] FW: BASE Incident Report

John LaCour johnlacour at gmail.com
Tue Jun 7 04:51:45 GMT 2005


The signature is triggering at approximately 0x596 - on the
X-LINK2STATE SMTP verb.
MS05-21 is an MS Exchange heap overflow using this verb.

It looks like it might be false positive, but it's not clear to me from this
trace if anything is being passed as an argument along with X-LINK2STATE
or not.

See http://seclists.org/lists/vuln-dev/2005/Apr/0011.html for more info.

-John

On 6/6/05, tfischer at oldenburggroup.com <tfischer at oldenburggroup.com> wrote:
> 
>    Could someone please help me understand what I am looking at here? I
> caught this on my external snort sensor. What bothers me the most are lines
> 320-360. Thanks for any help.
> 
> Generated by BASE v1.0 (denise) on Mon,  6 Jun 2005 11:06:26 -0500
> 
> ----------------------------------------------------------------------------
> --
> #(2 - 181520) [2005-06-05 01:31:15] [snort/2001848]  BLEEDING-EDGE EXPLOIT
> MS05-021 Exchange Link State - Possible Attack
> IPv4: 206.246.140.28 -> 66.195.132.211
>       hlen=5 TOS=0 dlen=1500 ID=44834 flags=0 offset=0 TTL=116 chksum=12112
> TCP:  port=48784 -> dport: 25  flags=***A**** seq=884118049
>       ack=4132745246 off=5 res=0 win=17138 urp=0 chksum=44183
> Payload:  length = 1460
> 
> 000 : 72 65 73 73 3A 20 67 6F 6E 7A 61 6C 65 73 40 63   ress: gonzales at c
> 010 : 61 72 72 6F 74 70 61 74 63 68 2E 6E 65 74 0D 0A   arrotpatch.net..
> 020 : 0D 0A 2D 2D 2D 20 53 65 73 73 69 6F 6E 20 54 72   ..--- Session Tr
> 030 : 61 6E 73 63 72 69 70 74 20 2D 2D 2D 0D 0A 20 50   anscript ---.. P
> 040 : 61 72 73 69 6E 67 20 4D 65 73 73 61 67 65 20 3C   arsing Message <
> 050 : 65 3A 5C 6D 64 61 65 6D 6F 6E 5C 67 61 74 65 77   e:\mdaemon\gatew
> 060 : 61 79 73 5C 63 61 72 72 6F 74 70 61 74 63 68 2E   ays\carrotpatch.
> 070 : 6E 65 74 5C 70 64 35 30 30 30 30 33 36 31 34 34   net\pd5000036144
> 080 : 39 2E 6D 73 67 3E 0D 0A 20 46 72 6F 6D 3A 20 66   9.msg>.. From: f
> 090 : 6F 78 40 6E 6F 72 74 68 65 72 6E 6E 61 76 69 67   ox at northernnavig
> 0a0 : 61 74 69 6F 6E 2E 63 6F 6D 0D 0A 20 54 6F 3A 20   ation.com.. To:
> 0b0 : 67 6F 6E 7A 61 6C 65 73 40 63 61 72 72 6F 74 70   gonzales at carrotp
> 0c0 : 61 74 63 68 2E 6E 65 74 0D 0A 20 53 75 62 6A 65   atch.net.. Subje
> 0d0 : 63 74 3A 20 43 61 6C 6C 20 66 72 6F 6D 20 43 61   ct: Call from Ca
> 0e0 : 6E 61 64 61 20 66 6F 72 20 52 58 0D 0A 20 4D 65   nada for RX.. Me
> 0f0 : 73 73 61 67 65 2D 49 44 3A 0D 0A 20 4D 58 2D 72   ssage-ID:.. MX-r
> 100 : 65 63 6F 72 64 20 72 65 73 6F 6C 75 74 69 6F 6E   ecord resolution
> 110 : 20 6F 66 20 5B 63 61 72 72 6F 74 70 61 74 63 68    of [carrotpatch
> 120 : 2E 6E 65 74 5D 20 69 6E 20 70 72 6F 67 72 65 73   .net] in progres
> 130 : 73 20 28 44 4E 53 20 53 65 72 76 65 72 3A 20 31   s (DNS Server: 1
> 140 : 39 38 2E 37 30 2E 33 36 2E 37 30 29 2E 2E 2E 0D   98.70.36.70)....
> 150 : 0A 20 50 3D 30 32 30 20 44 3D 63 61 72 72 6F 74   . P=020 D=carrot
> 160 : 70 61 74 63 68 2E 6E 65 74 20 54 54 4C 3D 28 34   patch.net TTL=(4
> 170 : 32 29 20 4D 58 3D 5B 6C 69 73 74 73 65 72 76 65   2) MX=[listserve
> 180 : 72 2E 63 61 72 72 6F 74 70 61 74 63 68 2E 6E 65   r.carrotpatch.ne
> 190 : 74 5D 20 7B 32 30 39 2E 34 33 2E 34 37 2E 31 32   t] {209.43.47.12
> 1a0 : 36 7D 0D 0A 20 49 67 6E 6F 72 69 6E 67 20 69 72   6}.. Ignoring ir
> 1b0 : 72 65 6C 65 76 61 6E 74 20 52 52 2C 20 6C 69 73   relevant RR, lis
> 1c0 : 74 73 65 72 76 65 72 2E 63 61 72 72 6F 74 70 61   tserver.carrotpa
> 1d0 : 74 63 68 2E 6E 65 74 20 50 3D 30 32 30 0D 0A 20   tch.net P=020..
> 1e0 : 50 3D 30 31 30 20 44 3D 63 61 72 72 6F 74 70 61   P=010 D=carrotpa
> 1f0 : 74 63 68 2E 6E 65 74 20 54 54 4C 3D 28 34 32 29   tch.net TTL=(42)
> 200 : 20 4D 58 3D 5B 66 72 62 2E 63 61 72 72 6F 74 70    MX=[frb.carrotp
> 210 : 61 74 63 68 2E 6E 65 74 5D 20 7B 31 32 2E 32 30   atch.net] {12.20
> 220 : 32 2E 31 39 33 2E 39 30 7D 0D 0A 20 50 3D 30 31   2.193.90}.. P=01
> 230 : 30 20 44 3D 63 61 72 72 6F 74 70 61 74 63 68 2E   0 D=carrotpatch.
> 240 : 6E 65 74 20 54 54 4C 3D 28 34 32 29 20 4D 58 3D   net TTL=(42) MX=
> 250 : 5B 63 61 72 72 6F 74 70 61 74 63 68 2E 6E 65 74   [carrotpatch.net
> 260 : 5D 20 7B 31 32 2E 32 30 32 2E 31 39 33 2E 39 30   ] {12.202.193.90
> 270 : 7D 0D 0A 20 41 74 74 65 6D 70 74 69 6E 67 20 4D   }.. Attempting M
> 280 : 58 3A 20 50 3D 30 31 30 20 44 3D 63 61 72 72 6F   X: P=010 D=carro
> 290 : 74 70 61 74 63 68 2E 6E 65 74 20 54 54 4C 3D 28   tpatch.net TTL=(
> 2a0 : 34 32 29 20 4D 58 3D 5B 63 61 72 72 6F 74 70 61   42) MX=[carrotpa
> 2b0 : 74 63 68 2E 6E 65 74 5D 20 7B 31 32 2E 32 30 32   tch.net] {12.202
> 2c0 : 2E 31 39 33 2E 39 30 7D 0D 0A 20 41 74 74 65 6D   .193.90}.. Attem
> 2d0 : 70 74 69 6E 67 20 53 4D 54 50 20 63 6F 6E 6E 65   pting SMTP conne
> 2e0 : 63 74 69 6F 6E 20 74 6F 20 5B 31 32 2E 32 30 32   ction to [12.202
> 2f0 : 2E 31 39 33 2E 39 30 20 3A 20 32 35 5D 0D 0A 20   .193.90 : 25]..
> 300 : 57 61 69 74 69 6E 67 20 66 6F 72 20 73 6F 63 6B   Waiting for sock
> 310 : 65 74 20 63 6F 6E 6E 65 63 74 69 6F 6E 2E 2E 2E   et connection...
> 320 : 0D 0A 20 53 6F 63 6B 65 74 20 63 6F 6E 6E 65 63   .. Socket connec
> 330 : 74 69 6F 6E 20 65 73 74 61 62 6C 69 73 68 65 64   tion established
> 340 : 20 28 32 30 39 2E 34 33 2E 34 37 2E 31 32 36 20    (209.43.47.126
> 350 : 3A 20 34 33 35 39 20 2D 3E 20 31 32 2E 32 30 32   : 4359 -> 12.202
> 360 : 2E 31 39 33 2E 39 30 20 3A 20 32 35 29 0D 0A 20   .193.90 : 25)..
> 370 : 57 61 69 74 69 6E 67 20 66 6F 72 20 70 72 6F 74   Waiting for prot
> 380 : 6F 63 6F 6C 20 69 6E 69 74 69 61 74 69 6F 6E 2E   ocol initiation.
> 390 : 2E 2E 0D 0A 20 3C 2D 2D 20 32 32 30 20 66 72 62   .... <-- 220 frb
> 3a0 : 2E 63 61 72 72 6F 74 70 61 74 63 68 2E 6E 65 74   .carrotpatch.net
> 3b0 : 20 4D 69 63 72 6F 73 6F 66 74 20 45 53 4D 54 50    Microsoft ESMTP
> 3c0 : 20 4D 41 49 4C 20 53 65 72 76 69 63 65 2C 20 56    MAIL Service, V
> 3d0 : 65 72 73 69 6F 6E 3A 20 36 2E 30 2E 33 37 39 30   ersion: 6.0.3790
> 3e0 : 2E 32 31 31 20 72 65 61 64 79 20 61 74 20 20 53   .211 ready at  S
> 3f0 : 75 6E 2C 20 35 20 4A 75 6E 20 32 30 30 35 20 30   un, 5 Jun 2005 0
> 400 : 31 3A 32 39 3A 30 35 20 2D 30 35 30 30 0D 0A 20   1:29:05 -0500..
> 410 : 2D 2D 3E 20 45 48 4C 4F 20 6C 69 73 74 73 2E 63   --> EHLO lists.c
> 420 : 61 72 72 6F 74 70 61 74 63 68 2E 6E 65 74 0D 0A   arrotpatch.net..
> 430 : 20 3C 2D 2D 20 32 35 30 2D 66 72 62 2E 63 61 72    <-- 250-frb.car
> 440 : 72 6F 74 70 61 74 63 68 2E 6E 65 74 20 48 65 6C   rotpatch.net Hel
> 450 : 6C 6F 20 5B 32 30 36 2E 32 34 36 2E 31 34 30 2E   lo [206.246.140.
> 460 : 32 38 5D 0D 0A 20 3C 2D 2D 20 32 35 30 2D 54 55   28].. <-- 250-TU
> 470 : 52 4E 0D 0A 20 3C 2D 2D 20 32 35 30 2D 53 49 5A   RN.. <-- 250-SIZ
> 480 : 45 0D 0A 20 3C 2D 2D 20 32 35 30 2D 45 54 52 4E   E.. <-- 250-ETRN
> 490 : 0D 0A 20 3C 2D 2D 20 32 35 30 2D 50 49 50 45 4C   .. <-- 250-PIPEL
> 4a0 : 49 4E 49 4E 47 0D 0A 20 3C 2D 2D 20 32 35 30 2D   INING.. <-- 250-
> 4b0 : 44 53 4E 0D 0A 20 3C 2D 2D 20 32 35 30 2D 45 4E   DSN.. <-- 250-EN
> 4c0 : 48 41 4E 43 45 44 53 54 41 54 55 53 43 4F 44 45   HANCEDSTATUSCODE
> 4d0 : 53 0D 0A 20 3C 2D 2D 20 32 35 30 2D 38 62 69 74   S.. <-- 250-8bit
> 4e0 : 6D 69 6D 65 0D 0A 20 3C 2D 2D 20 32 35 30 2D 42   mime.. <-- 250-B
> 4f0 : 49 4E 41 52 59 4D 49 4D 45 0D 0A 20 3C 2D 2D 20   INARYMIME.. <--
> 500 : 32 35 30 2D 43 48 55 4E 4B 49 4E 47 0D 0A 20 3C   250-CHUNKING.. <
> 510 : 2D 2D 20 32 35 30 2D 56 52 46 59 0D 0A 20 3C 2D   -- 250-VRFY.. <-
> 520 : 2D 20 32 35 30 2D 58 2D 45 58 50 53 20 47 53 53   - 250-X-EXPS GSS
> 530 : 41 50 49 20 4E 54 4C 4D 20 4C 4F 47 49 4E 0D 0A   API NTLM LOGIN..
> 540 : 20 3C 2D 2D 20 32 35 30 2D 58 2D 45 58 50 53 3D    <-- 250-X-EXPS=
> 550 : 4C 4F 47 49 4E 0D 0A 20 3C 2D 2D 20 32 35 30 2D   LOGIN.. <-- 250-
> 560 : 41 55 54 48 20 47 53 53 41 50 49 20 4E 54 4C 4D   AUTH GSSAPI NTLM
> 570 : 20 4C 4F 47 49 4E 0D 0A 20 3C 2D 2D 20 32 35 30    LOGIN.. <-- 250
> 580 : 2D 41 55 54 48 3D 4C 4F 47 49 4E 0D 0A 20 3C 2D   -AUTH=LOGIN.. <-
> 590 : 2D 20 32 35 30 2D 58 2D 4C 49 4E 4B 32 53 54 41   - 250-X-LINK2STA
> 5a0 : 54 45 0D 0A 20 3C 2D 2D 20 32 35 30 2D 58 45 58   TE.. <-- 250-XEX
> 5b0 : 43 48 35 30                                       CH50
> -------------- Sponsor Message ------------------------------------
> Join us at SANSFIRE 2005 in Atlanta!
> The Internet Storm Center Conference.
> Details: http://www.sans.org/sansfire2005
> 
> _______________________________________________
> send all posts to list at lists.dshield.org
> To change your subscription options (or unsubscribe), see: http://www.dshield.org/mailman/listinfo/list
>




More information about the list mailing list