<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
This vulnerability doesn’t look like something we’d be able to detect.  This is essentially trying to detect a MITM (Man in the middle) on a password change.
<div class=""><br class="">
</div>
<div class=""><br class="">
<div class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
<div class=""><b style="font-family: Calibri, sans-serif; font-size: 10px;" class=""><font color="#5e5e5e" class="">--</font></b></div>
<div style="font-size: 14px;" class=""><b style="font-family: Calibri, sans-serif; font-size: 12px;" class=""><font color="#5e5e5e" class="">Joel Esler </font></b><span style="font-family: Calibri, sans-serif; font-size: 12px;" class="">| </span><b style="font-family: Calibri, sans-serif; font-size: 12px;" class=""><font color="#0096ff" class="">Talos:</font></b><span style="font-family: Calibri, sans-serif; font-size: 12px;" class=""> M</span><font color="#424242" style="font-family: Calibri, sans-serif; font-size: 12px;" class="">anager
 | <a href="mailto:jesler@...589..." class="">jesler@...589...</a></font></div>
<div class=""><font color="#424242" style="font-family: Calibri, sans-serif; font-size: 10px;" class=""><br class="">
</font></div>
</div>
<br class="Apple-interchange-newline">
</div>
<br class="Apple-interchange-newline">
</div>
<br class="Apple-interchange-newline">
<br class="Apple-interchange-newline">
</div>
<br class="">
<div>
<blockquote type="cite" class="">
<div class="">On Dec 21, 2016, at 6:50 AM, GPN SACC <<a href="mailto:gpnsacc@...11827..." class="">gpnsacc@...11827...</a>> wrote:</div>
<br class="Apple-interchange-newline">
<div class="">
<div dir="ltr" class=""><span style="font-size:12.8px" class="">Is there a rule to alert for MS16-101? </span>
<div style="font-size:12.8px" class=""><br class="">
</div>
<div style="font-size:12.8px" class="">From the blog entry (<a href="http://blog.talosintel.com/2016/08/ms-tuesday.html" target="_blank" class="">http://blog.talosintel.com/20<wbr class="">16/08/ms-tuesday.html</a>) </div>
<div style="font-size:12.8px" class=""><br class="">
</div>
<div style="font-size:12.8px" class="">MS16-101 addresses two elevation of privilege vulnerabilities. CVE-2016-3300 relates to how Windows Netlogon establishes a secure connection to systems whose domain controller is running either Windows Server 2012 or Windows
 Server 2012 R2. An attacker would require access to a domain-joined machine that points to one of these systems in order to leverage the vulnerability and elevate privileges on the domain-joined machine. CVE-2016-3237 is related to Kerberos reverting to NTLM
 as the default authentication protocol after improperly handling a password change request. In order to exploit this and bypass the Kerberos authentication mechanism, an attacker would need to launch a man-in-the-middle attack against the traffic between a
 target machine and its domain controller.  All supported versions of Windows are affected for the Kerberos elevation of privilege, while the netlogon vulnerability only affects all versions of Windows 8.1 and Server 2012. </div>
<div style="font-size:12.8px" class=""><br class="">
</div>
<div style="font-size:12.8px" class="">I searched through the snort rules 39808-39829, 39831-39844 and did not find a rule for CVE,2016-3237. 
<div class=""><br class="">
</div>
<div class=""><br class="">
<div class="">Thanks</div>
</div>
</div>
</div>
------------------------------------------------------------------------------<br class="">
Developer Access Program for Intel Xeon Phi Processors<br class="">
Access to Intel Xeon Phi processor-based developer platforms.<br class="">
With one year of Intel Parallel Studio XE.<br class="">
Training and support from Colfax.<br class="">
Order your platform today.<a href="http://sdm.link/intel_______________________________________________" class="">http://sdm.link/intel_______________________________________________</a><br class="">
Snort-users mailing list<br class="">
<a href="mailto:Snort-users@lists.sourceforge.net" class="">Snort-users@lists.sourceforge.net</a><br class="">
Go to this URL to change user options or unsubscribe:<br class="">
https://lists.sourceforge.net/lists/listinfo/snort-users<br class="">
Snort-users list archive:<br class="">
http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users<br class="">
<br class="">
Please visit http://blog.snort.org to stay current on all the latest Snort news!</div>
</blockquote>
</div>
<br class="">
</div>
</body>
</html>