Jump to content
schultzITsolutions

KES10 / Finetune "network attack protection" [Solved]

Recommended Posts

Hello Support,

 

I lately ran into the following problem (only brief description):

We are running a email server (for many years without problems), with KES10 as firewall/virusprotection included.

 

Starting this weekend, suddenly various users (including me as the administrator) were blocked from accessing their email accouts through IMAP, POP3, SMTP

In my case, I was also blocked from connecting to the server by RDP to troubleshoot the issue!

 

After a lot of research, I found that KES10 "network attack protection" blocked us due to a "Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit"

 

Shortterm solution was to "deactivate" the "network attack protection", but I like to reactivate this protection of course, but the "finetuning" of that functionality seems to be targeted only at "allowing certain IP addresses".

I would rather prefer to exclude the "Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit" on the relevant port, as we cannot predict wherefrom (in terms of IP adresses) legimit users like to connect to the mailserver.

 

Is there a possibility to configure this?

 

kind regards

Ruediger Schultz

Schultz IT Solutions

Share this post


Link to post
Hello Support,

 

I lately ran into the following problem (only brief description):

We are running a email server (for many years without problems), with KES10 as firewall/virusprotection included.

 

Starting this weekend, suddenly various users (including me as the administrator) were blocked from accessing their email accouts through IMAP, POP3, SMTP

In my case, I was also blocked from connecting to the server by RDP to troubleshoot the issue!

 

After a lot of research, I found that KES10 "network attack protection" blocked us due to a "Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit"

 

Shortterm solution was to "deactivate" the "network attack protection", but I like to reactivate this protection of course, but the "finetuning" of that functionality seems to be targeted only at "allowing certain IP addresses".

I would rather prefer to exclude the "Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit" on the relevant port, as we cannot predict wherefrom (in terms of IP adresses) legimit users like to connect to the mailserver.

 

Is there a possibility to configure this?

 

kind regards

Ruediger Schultz

Schultz IT Solutions

 

Hello.

 

Unfortunately, there is no such functionality in the current versions of KSC.

However, if you enable Network Attack Blocker but disable its option to temporarily block the host the attack originates from, the component will only prevent network activity it detects as malicious, while the rest of the traffic from the host will not get affected.

 

Thank you.

Share this post


Link to post

Thank you for your response - I thought that would be the case. For the moment, this is OK.

What puzzles me, is that this issue surfaced only now (over the last few days).

You may therefore wish to transfer this issue to the software development, just in case there is a larger issue here (or maybe implement some kind of "finetuning" for this functionality) ... so I give you a little more background info.

 

Mail server: KES10 version 10.2.4.674 (mr2)

Involved mail clients: Outlook 2013, Outlook 2010, Outlook 2007, Thunderbird

Network attack : https://www.exploit-db.com/exploits/19849/ , dated from april 2000 (!)

 

KES Report (excerpt):

17.05.2016 10:09:42 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143

17.05.2016 09:07:52 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143

17.05.2016 08:00:54 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143

17.05.2016 06:43:13 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143

17.05.2016 05:43:09 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143

17.05.2016 04:39:51 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143

17.05.2016 03:38:03 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143

17.05.2016 02:38:02 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143

17.05.2016 01:29:57 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143

17.05.2016 00:28:07 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143

16.05.2016 23:24:56 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143

16.05.2016 22:23:04 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143

16.05.2016 21:23:03 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143

16.05.2016 20:23:02 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143

16.05.2016 19:13:08 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143

16.05.2016 18:06:52 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143

16.05.2016 17:04:03 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143

16.05.2016 15:44:56 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143

16.05.2016 14:43:08 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143

16.05.2016 13:42:49 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143

16.05.2016 13:41:38 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143

16.05.2016 13:41:37 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143

16.05.2016 13:41:37 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143

16.05.2016 12:57:16 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143

16.05.2016 12:20:38 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143

16.05.2016 11:18:49 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143

16.05.2016 10:18:03 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143

16.05.2016 09:07:00 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143

16.05.2016 07:11:05 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143

16.05.2016 06:03:15 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143

16.05.2016 04:59:11 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143

16.05.2016 03:47:13 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143

16.05.2016 02:45:20 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143

16.05.2016 01:43:28 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143

16.05.2016 00:41:37 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143

15.05.2016 23:39:49 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143

15.05.2016 22:38:01 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143

15.05.2016 21:34:22 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143

15.05.2016 20:33:00 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143

03.05.2016 11:48:19 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143

03.05.2016 08:46:36 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.47.157.20 auf lokalen Port 143

 

Share this post


Link to post
Thank you for your response - I thought that would be the case. For the moment, this is OK.

What puzzles me, is that this issue surfaced only now (over the last few days).

You may therefore wish to transfer this issue to the software development, just in case there is a larger issue here (or maybe implement some kind of "finetuning" for this functionality) ... so I give you a little more background info.

 

Mail server: KES10 version 10.2.4.674 (mr2)

Involved mail clients: Outlook 2013, Outlook 2010, Outlook 2007, Thunderbird

Network attack : https://www.exploit-db.com/exploits/19849/ , dated from april 2000 (!)

 

KES Report (excerpt):

<...>

 

There is a dedicated topic for KSC suggestions: https://forum.kaspersky.com/index.php?showtopic=263673

 

If you believe the detections are false positive, please clarify if any particular activity is taking place at around the same time. According to the excerpt, those happen roughly once an hour. Does this beharior appear to be related to mail client activity?

So far, there has been no other reports of such behavior from customers who use the mentioned clients.

 

Thank you.

Share this post


Link to post

Thanks for your suggestion, I will submit that "feature request" in the named forum topic.

 

As per your questions:

yes I am 100% certain that these are legitim actions, I know every single IP address and the user behind it. So the blockings are defenitly "false positives".

the "roughly one hour" could be due to KES10 default 60 minutes ban of IP addresses, where it dedects such a "network attack".

 

So my guess is: KES10 is blocking the IP for 60 minutes, and once this timespan is through, the client can again connect to the IMAP server, where he will be blocked for another period of 60 minutes.

 

Share this post


Link to post
Thanks for your suggestion, I will submit that "feature request" in the named forum topic.

 

As per your questions:

yes I am 100% certain that these are legitim actions, I know every single IP address and the user behind it. So the blockings are defenitly "false positives".

the "roughly one hour" could be due to KES10 default 60 minutes ban of IP addresses, where it dedects such a "network attack".

 

So my guess is: KES10 is blocking the IP for 60 minutes, and once this timespan is through, the client can again connect to the IMAP server, where he will be blocked for another period of 60 minutes.

Hi,

 

Could you please collect KES traces GSI logs from the problem computer.

 

Thank you!

Share this post


Link to post

Will do, but it will take some time (because this is a productive system, and I cannot reactivate the funcionaltity in question and block our users from email during the day).

Share this post


Link to post

I got some logfiles, but am not sure which one you might wanna investigate...

as a ZIP file, they are 3000 KB, so to big to upload them here...

kind regards

Ruediger Schultz

 

Share this post


Link to post

Sorry, it took a while to return focus on that issue (it is still an issue).

 

I did put together (hopefully) all the requested reporting files in

<link>

 

(can you remove this link from the post please, once you have downloaded the file!)

 

as mentioned before, the IP address that the "false positive network attack" originates from, is known to me as "legal"

 

Hope you can find anything in the logs...

 

kind regards

Ruediger Schultz

Edited by Kirill Tsapovsky
Link removed by user request

Share this post


Link to post
Sorry, it took a while to return focus on that issue (it is still an issue).

 

I did put together (hopefully) all the requested reporting files in

<link>

 

(can you remove this link from the post please, once you have downloaded the file!)

 

as mentioned before, the IP address that the "false positive network attack" originates from, is known to me as "legal"

 

Hope you can find anything in the logs...

 

kind regards

Ruediger Schultz

 

Please also specify what mail server you are using and which version.

 

Thank you.

Share this post


Link to post

This issue can be closed!

 

Since September 13, the named PORT 143 (IMAP) connections are no longer treated as "attacs". I am not sure, why this is - maybe due to a KES software update.

 

thank you for your assistence.

Kind regards

Ruediger Schultz

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.