Windows help files are blocked by Outlook, and considered dangerous:<div><a href="http://office.microsoft.com/en-us/outlook-help/blocked-attachments-in-outlook-HA001229952.aspx">http://office.microsoft.com/en-us/outlook-help/blocked-attachments-in-outlook-HA001229952.aspx</a></div>
<div><br></div><div><a href="http://office.microsoft.com/en-us/outlook-help/blocked-attachments-in-outlook-HA001229952.aspx"></a>This may or may not be a false positive, let us know if it is, this rule is being reviewed.</div>
<div><br></div><div>I'll have to review the DOS research, but unless you have a XP2 machines with interent sharing, you can probably safely disable this rule:</div><div><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5614">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5614</a></div>
<div><br></div><div><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5614"></a>Matt<br><br><div class="gmail_quote">On Mon, Apr 11, 2011 at 11:31 PM, Mohd Mukrim Che Mohamad Zulkifly <span dir="ltr"><<a href="mailto:mukrim.zulkifly@...3584...">mukrim.zulkifly@...3584...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">This is the rule for SID 17294<br>
<br>
Rule    alert udp $EXTERNAL_NET any -> $HOME_NET 53 (msg:"DOS Microsoft Windows NAT Helper DNS query denial of service attempt"; flow:to_server; byte_test:1,!&,0xF8,2; content:"|00 00|"; depth:2; offset:4; reference:bugtraq,20804; reference:cve,2006-5614; classtype:attempted-dos; sid:17294; rev:2; )<br>

<br>
and this is the rule for SID<br>
<br>
Rule    alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"WEB-CLIENT Windows help file download request"; flow:to_server,established; content:".hlp"; nocase; http_uri; metadata:policy balanced-ips drop, policy security-ips drop, service http; reference:cve,2006-3357; reference:cve,2006-4138; classtype:attempted-user; sid:17407; rev:4; )<br>

<br>
<br>
Recently, I received alerts for those two rules<br>
<br>
SID 17294 ( DOS Microsoft Windows NAT Helper DNS query denial of service attempt)                        5 times, all Impact Flag 1<br>
SID 17407 ( WEB-CLIENT Windows help file download request )                                                            3 times, 1 with Impact Flag 1, others with Impact Flag 3 and 4, all blocked by RNA Recommended Rule<br>

<br>
<br>
Because they rarely occurs, I decided to block all those as they don't seem to be significant to the network operation. Was it really necessary to block them?<br>
------------------------------------------------------------------------------<br>
Forrester Wave Report - Recovery time is now measured in hours and minutes<br>
not days. Key insights are discussed in the 2010 Forrester Wave Report as<br>
part of an in-depth evaluation of disaster recovery service providers.<br>
Forrester found the best-in-class provider in terms of services and vision.<br>
Read this report now!  <a href="http://p.sf.net/sfu/ibm-webcastpromo" target="_blank">http://p.sf.net/sfu/ibm-webcastpromo</a><br>
_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br>
</blockquote></div><br></div>