<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 11 (filtered medium)">
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Verdana;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:purple;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";}
p.MsoAutoSig, li.MsoAutoSig, div.MsoAutoSig
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:Arial;
        color:windowtext;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'>web-misc.rules:alert tcp $EXTERNAL_NET any -> $HOME_NET
$HTTP_PORTS (msg:"WEB-MISC Lotus Notes .exe script source download
attempt"; flow:to_server,established; uricontent:".exe";
content:".exe"; content:"."; within:1;
reference:bugtraq,6841; classtype:web-application-attack; sid:2067; rev:4;)<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'>I noticed that this rule was being hit quite a bit on my
network lately and decided to look a bit closer since I’m not running any
Domino servers and I had a hard time believing I was getting probed that often
for that particular vulnerability.  Turns out that the rule is generating a
false positive due to the way some new .Net generated ActiveX controls interact
with Internet Explorer.  When the ActiveX control is downloaded, IE requests
the file iexplore.exe.config from the web server.  This, of course, sets off
the Lotus rule, which just looks for .exe in the uricontent and in the content.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'>My solution was to write a pass rule in local.rules to allow
iexplore.exe.config, but I’d suggest as a permanent fix maybe adding
uricontent:[!]”iexplore.exe.config” to the rule.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'><o:p> </o:p></span></font></p>

<p class=MsoAutoSig><font size=2 face=Verdana><span style='font-size:10.0pt;
font-family:Verdana'>Drew Burchett<o:p></o:p></span></font></p>

<p class=MsoAutoSig><font size=2 face=Verdana><span style='font-size:10.0pt;
font-family:Verdana'>United Systems & Software<o:p></o:p></span></font></p>

<p class=MsoAutoSig><font size=2 face=Verdana><span style='font-size:10.0pt;
font-family:Verdana'>http://www.united-systems.com<o:p></o:p></span></font></p>

<p class=MsoAutoSig><font size=2 face=Verdana><span style='font-size:10.0pt;
font-family:Verdana'>Phone:  (270)527-3293<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Verdana><span style='font-size:10.0pt;
font-family:Verdana'>Fax:     (270)527-3132<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p> </o:p></span></font></p>

</div>

</body>

<br>--
<p>CONFIDENTIALITY NOTICE: This e-mail message, including any attachments, is for the sole use of the intended recipient(s) and may contain confidential and privileged information. Any unauthorized review, use, disclosure or distribution is prohibited. If you are not the intended recipient, please contact the sender by reply e-mail and destroy all copies of the original message.
</p>
<br />-- 
<br />This message has been scanned for viruses and
<br />dangerous content by
<a href="http://www.mailscanner.info/"><b>MailScanner</b></a>, and is
<br />believed to be clean.
</html>