[Dshield] FW: BASE Incident Report

Joel Esler eslerj at gmail.com
Wed Jun 8 12:47:58 GMT 2005


You would know if the X-LINK2STATE Buffer Overflow was being targeted
against your machine.  It would LOOK like a buffer overflow... 
(references WebDav Search BO..  it LOOKS like a Bo.)

J

On 6/7/05, John LaCour <johnlacour at gmail.com> wrote:
> The signature is triggering at approximately 0x596 - on the
> X-LINK2STATE SMTP verb.
> MS05-21 is an MS Exchange heap overflow using this verb.
> 
> It looks like it might be false positive, but it's not clear to me from this
> trace if anything is being passed as an argument along with X-LINK2STATE
> or not.
> 
> See http://seclists.org/lists/vuln-dev/2005/Apr/0011.html for more info.
> 
> -John
> 
> On 6/6/05, tfischer at oldenburggroup.com <tfischer at oldenburggroup.com> wrote:
> >
> >    Could someone please help me understand what I am looking at here? I
> > caught this on my external snort sensor. What bothers me the most are lines
> > 320-360. Thanks for any help.
> >
> > Generated by BASE v1.0 (denise) on Mon,  6 Jun 2005 11:06:26 -0500
> >
> > ----------------------------------------------------------------------------
> > --
> > #(2 - 181520) [2005-06-05 01:31:15] [snort/2001848]  BLEEDING-EDGE EXPLOIT
> > MS05-021 Exchange Link State - Possible Attack
> > IPv4: 206.246.140.28 -> 66.195.132.211
> >       hlen=5 TOS=0 dlen=1500 ID=44834 flags=0 offset=0 TTL=116 chksum=12112
> > TCP:  port=48784 -> dport: 25  flags=***A**** seq=884118049
> >       ack=4132745246 off=5 res=0 win=17138 urp=0 chksum=44183
> > Payload:  length = 1460
> >
> > 000 : 72 65 73 73 3A 20 67 6F 6E 7A 61 6C 65 73 40 63   ress: gonzales at c
> > 010 : 61 72 72 6F 74 70 61 74 63 68 2E 6E 65 74 0D 0A   arrotpatch.net..
> > 020 : 0D 0A 2D 2D 2D 20 53 65 73 73 69 6F 6E 20 54 72   ..--- Session Tr
> > 030 : 61 6E 73 63 72 69 70 74 20 2D 2D 2D 0D 0A 20 50   anscript ---.. P
> > 040 : 61 72 73 69 6E 67 20 4D 65 73 73 61 67 65 20 3C   arsing Message <
> > 050 : 65 3A 5C 6D 64 61 65 6D 6F 6E 5C 67 61 74 65 77   e:\mdaemon\gatew
> > 060 : 61 79 73 5C 63 61 72 72 6F 74 70 61 74 63 68 2E   ays\carrotpatch.
> > 070 : 6E 65 74 5C 70 64 35 30 30 30 30 33 36 31 34 34   net\pd5000036144
> > 080 : 39 2E 6D 73 67 3E 0D 0A 20 46 72 6F 6D 3A 20 66   9.msg>.. From: f
> > 090 : 6F 78 40 6E 6F 72 74 68 65 72 6E 6E 61 76 69 67   ox at northernnavig
> > 0a0 : 61 74 69 6F 6E 2E 63 6F 6D 0D 0A 20 54 6F 3A 20   ation.com.. To:
> > 0b0 : 67 6F 6E 7A 61 6C 65 73 40 63 61 72 72 6F 74 70   gonzales at carrotp
> > 0c0 : 61 74 63 68 2E 6E 65 74 0D 0A 20 53 75 62 6A 65   atch.net.. Subje
> > 0d0 : 63 74 3A 20 43 61 6C 6C 20 66 72 6F 6D 20 43 61   ct: Call from Ca
> > 0e0 : 6E 61 64 61 20 66 6F 72 20 52 58 0D 0A 20 4D 65   nada for RX.. Me
> > 0f0 : 73 73 61 67 65 2D 49 44 3A 0D 0A 20 4D 58 2D 72   ssage-ID:.. MX-r
> > 100 : 65 63 6F 72 64 20 72 65 73 6F 6C 75 74 69 6F 6E   ecord resolution
> > 110 : 20 6F 66 20 5B 63 61 72 72 6F 74 70 61 74 63 68    of [carrotpatch
> > 120 : 2E 6E 65 74 5D 20 69 6E 20 70 72 6F 67 72 65 73   .net] in progres
> > 130 : 73 20 28 44 4E 53 20 53 65 72 76 65 72 3A 20 31   s (DNS Server: 1
> > 140 : 39 38 2E 37 30 2E 33 36 2E 37 30 29 2E 2E 2E 0D   98.70.36.70)....
> > 150 : 0A 20 50 3D 30 32 30 20 44 3D 63 61 72 72 6F 74   . P=020 D=carrot
> > 160 : 70 61 74 63 68 2E 6E 65 74 20 54 54 4C 3D 28 34   patch.net TTL=(4
> > 170 : 32 29 20 4D 58 3D 5B 6C 69 73 74 73 65 72 76 65   2) MX=[listserve
> > 180 : 72 2E 63 61 72 72 6F 74 70 61 74 63 68 2E 6E 65   r.carrotpatch.ne
> > 190 : 74 5D 20 7B 32 30 39 2E 34 33 2E 34 37 2E 31 32   t] {209.43.47.12
> > 1a0 : 36 7D 0D 0A 20 49 67 6E 6F 72 69 6E 67 20 69 72   6}.. Ignoring ir
> > 1b0 : 72 65 6C 65 76 61 6E 74 20 52 52 2C 20 6C 69 73   relevant RR, lis
> > 1c0 : 74 73 65 72 76 65 72 2E 63 61 72 72 6F 74 70 61   tserver.carrotpa
> > 1d0 : 74 63 68 2E 6E 65 74 20 50 3D 30 32 30 0D 0A 20   tch.net P=020..
> > 1e0 : 50 3D 30 31 30 20 44 3D 63 61 72 72 6F 74 70 61   P=010 D=carrotpa
> > 1f0 : 74 63 68 2E 6E 65 74 20 54 54 4C 3D 28 34 32 29   tch.net TTL=(42)
> > 200 : 20 4D 58 3D 5B 66 72 62 2E 63 61 72 72 6F 74 70    MX=[frb.carrotp
> > 210 : 61 74 63 68 2E 6E 65 74 5D 20 7B 31 32 2E 32 30   atch.net] {12.20
> > 220 : 32 2E 31 39 33 2E 39 30 7D 0D 0A 20 50 3D 30 31   2.193.90}.. P=01
> > 230 : 30 20 44 3D 63 61 72 72 6F 74 70 61 74 63 68 2E   0 D=carrotpatch.
> > 240 : 6E 65 74 20 54 54 4C 3D 28 34 32 29 20 4D 58 3D   net TTL=(42) MX=
> > 250 : 5B 63 61 72 72 6F 74 70 61 74 63 68 2E 6E 65 74   [carrotpatch.net
> > 260 : 5D 20 7B 31 32 2E 32 30 32 2E 31 39 33 2E 39 30   ] {12.202.193.90
> > 270 : 7D 0D 0A 20 41 74 74 65 6D 70 74 69 6E 67 20 4D   }.. Attempting M
> > 280 : 58 3A 20 50 3D 30 31 30 20 44 3D 63 61 72 72 6F   X: P=010 D=carro
> > 290 : 74 70 61 74 63 68 2E 6E 65 74 20 54 54 4C 3D 28   tpatch.net TTL=(
> > 2a0 : 34 32 29 20 4D 58 3D 5B 63 61 72 72 6F 74 70 61   42) MX=[carrotpa
> > 2b0 : 74 63 68 2E 6E 65 74 5D 20 7B 31 32 2E 32 30 32   tch.net] {12.202
> > 2c0 : 2E 31 39 33 2E 39 30 7D 0D 0A 20 41 74 74 65 6D   .193.90}.. Attem
> > 2d0 : 70 74 69 6E 67 20 53 4D 54 50 20 63 6F 6E 6E 65   pting SMTP conne
> > 2e0 : 63 74 69 6F 6E 20 74 6F 20 5B 31 32 2E 32 30 32   ction to [12.202
> > 2f0 : 2E 31 39 33 2E 39 30 20 3A 20 32 35 5D 0D 0A 20   .193.90 : 25]..
> > 300 : 57 61 69 74 69 6E 67 20 66 6F 72 20 73 6F 63 6B   Waiting for sock
> > 310 : 65 74 20 63 6F 6E 6E 65 63 74 69 6F 6E 2E 2E 2E   et connection...
> > 320 : 0D 0A 20 53 6F 63 6B 65 74 20 63 6F 6E 6E 65 63   .. Socket connec
> > 330 : 74 69 6F 6E 20 65 73 74 61 62 6C 69 73 68 65 64   tion established
> > 340 : 20 28 32 30 39 2E 34 33 2E 34 37 2E 31 32 36 20    (209.43.47.126
> > 350 : 3A 20 34 33 35 39 20 2D 3E 20 31 32 2E 32 30 32   : 4359 -> 12.202
> > 360 : 2E 31 39 33 2E 39 30 20 3A 20 32 35 29 0D 0A 20   .193.90 : 25)..
> > 370 : 57 61 69 74 69 6E 67 20 66 6F 72 20 70 72 6F 74   Waiting for prot
> > 380 : 6F 63 6F 6C 20 69 6E 69 74 69 61 74 69 6F 6E 2E   ocol initiation.
> > 390 : 2E 2E 0D 0A 20 3C 2D 2D 20 32 32 30 20 66 72 62   .... <-- 220 frb
> > 3a0 : 2E 63 61 72 72 6F 74 70 61 74 63 68 2E 6E 65 74   .carrotpatch.net
> > 3b0 : 20 4D 69 63 72 6F 73 6F 66 74 20 45 53 4D 54 50    Microsoft ESMTP
> > 3c0 : 20 4D 41 49 4C 20 53 65 72 76 69 63 65 2C 20 56    MAIL Service, V
> > 3d0 : 65 72 73 69 6F 6E 3A 20 36 2E 30 2E 33 37 39 30   ersion: 6.0.3790
> > 3e0 : 2E 32 31 31 20 72 65 61 64 79 20 61 74 20 20 53   .211 ready at  S
> > 3f0 : 75 6E 2C 20 35 20 4A 75 6E 20 32 30 30 35 20 30   un, 5 Jun 2005 0
> > 400 : 31 3A 32 39 3A 30 35 20 2D 30 35 30 30 0D 0A 20   1:29:05 -0500..
> > 410 : 2D 2D 3E 20 45 48 4C 4F 20 6C 69 73 74 73 2E 63   --> EHLO lists.c
> > 420 : 61 72 72 6F 74 70 61 74 63 68 2E 6E 65 74 0D 0A   arrotpatch.net..
> > 430 : 20 3C 2D 2D 20 32 35 30 2D 66 72 62 2E 63 61 72    <-- 250-frb.car
> > 440 : 72 6F 74 70 61 74 63 68 2E 6E 65 74 20 48 65 6C   rotpatch.net Hel
> > 450 : 6C 6F 20 5B 32 30 36 2E 32 34 36 2E 31 34 30 2E   lo [206.246.140.
> > 460 : 32 38 5D 0D 0A 20 3C 2D 2D 20 32 35 30 2D 54 55   28].. <-- 250-TU
> > 470 : 52 4E 0D 0A 20 3C 2D 2D 20 32 35 30 2D 53 49 5A   RN.. <-- 250-SIZ
> > 480 : 45 0D 0A 20 3C 2D 2D 20 32 35 30 2D 45 54 52 4E   E.. <-- 250-ETRN
> > 490 : 0D 0A 20 3C 2D 2D 20 32 35 30 2D 50 49 50 45 4C   .. <-- 250-PIPEL
> > 4a0 : 49 4E 49 4E 47 0D 0A 20 3C 2D 2D 20 32 35 30 2D   INING.. <-- 250-
> > 4b0 : 44 53 4E 0D 0A 20 3C 2D 2D 20 32 35 30 2D 45 4E   DSN.. <-- 250-EN
> > 4c0 : 48 41 4E 43 45 44 53 54 41 54 55 53 43 4F 44 45   HANCEDSTATUSCODE
> > 4d0 : 53 0D 0A 20 3C 2D 2D 20 32 35 30 2D 38 62 69 74   S.. <-- 250-8bit
> > 4e0 : 6D 69 6D 65 0D 0A 20 3C 2D 2D 20 32 35 30 2D 42   mime.. <-- 250-B
> > 4f0 : 49 4E 41 52 59 4D 49 4D 45 0D 0A 20 3C 2D 2D 20   INARYMIME.. <--
> > 500 : 32 35 30 2D 43 48 55 4E 4B 49 4E 47 0D 0A 20 3C   250-CHUNKING.. <
> > 510 : 2D 2D 20 32 35 30 2D 56 52 46 59 0D 0A 20 3C 2D   -- 250-VRFY.. <-
> > 520 : 2D 20 32 35 30 2D 58 2D 45 58 50 53 20 47 53 53   - 250-X-EXPS GSS
> > 530 : 41 50 49 20 4E 54 4C 4D 20 4C 4F 47 49 4E 0D 0A   API NTLM LOGIN..
> > 540 : 20 3C 2D 2D 20 32 35 30 2D 58 2D 45 58 50 53 3D    <-- 250-X-EXPS=
> > 550 : 4C 4F 47 49 4E 0D 0A 20 3C 2D 2D 20 32 35 30 2D   LOGIN.. <-- 250-
> > 560 : 41 55 54 48 20 47 53 53 41 50 49 20 4E 54 4C 4D   AUTH GSSAPI NTLM
> > 570 : 20 4C 4F 47 49 4E 0D 0A 20 3C 2D 2D 20 32 35 30    LOGIN.. <-- 250
> > 580 : 2D 41 55 54 48 3D 4C 4F 47 49 4E 0D 0A 20 3C 2D   -AUTH=LOGIN.. <-
> > 590 : 2D 20 32 35 30 2D 58 2D 4C 49 4E 4B 32 53 54 41   - 250-X-LINK2STA
> > 5a0 : 54 45 0D 0A 20 3C 2D 2D 20 32 35 30 2D 58 45 58   TE.. <-- 250-XEX
> > 5b0 : 43 48 35 30                                       CH50
> > -------------- Sponsor Message ------------------------------------
> > Join us at SANSFIRE 2005 in Atlanta!
> > The Internet Storm Center Conference.
> > Details: http://www.sans.org/sansfire2005
> >
> > _______________________________________________
> > send all posts to list at lists.dshield.org
> > To change your subscription options (or unsubscribe), see: http://www.dshield.org/mailman/listinfo/list
> >
> 
> -------------- Sponsor Message ------------------------------------
> Join us at SANSFIRE 2005 in Atlanta!
> The Internet Storm Center Conference.
> Details: http://www.sans.org/sansfire2005
> 
> _______________________________________________
> send all posts to list at lists.dshield.org
> To change your subscription options (or unsubscribe), see: http://www.dshield.org/mailman/listinfo/list
> 


-- 
Joel Esler
BASE Project Lead
http://sourceforge.net/projects/secureideas




More information about the list mailing list