edición general
190 meneos
1322 clics
Microsoft detecta archivos HOSTS modificados como una amenaza

Microsoft detecta archivos HOSTS modificados como una amenaza

Desde finales de julio el sistema operativo de Microsoft detecta como una amenaza los archivos HOSTS que bloquean los servidores de telemetría. Los considera un riesgo de seguridad importante. Al darle a ver detalles no muestra más que información relacionada con una amenaza de “modificación de la configuración” y que tiene un comportamiento potencialmente no deseado. Según indican desde Bleeping Computer, este problema aparece cuando un usuario intenta bloquear los servidores de telemetría de Windows.

| etiquetas: windows 10 , seguridad , privacidad , antivirus , windows defender
Comentarios destacados:                  
#3 Por si a alguien le interesa, los servicios de telemetría de Windows son (basta con añadirlos al archivo hosts):

127.0.0.1 vortex.data.microsoft.com
127.0.0.1 vortex-win.data.microsoft.com
127.0.0.1 telecommand.telemetry.microsoft.com
127.0.0.1 telecommand.telemetry.microsoft.com.nsatc.net
127.0.0.1 oca.telemetry.microsoft.com
127.0.0.1 oca.telemetry.microsoft.com.nsatc.net
127.0.0.1 sqm.telemetry.microsoft.com
127.0.0.1 sqm.telemetry.microsoft.com.nsatc.net
127.0.0.1 watson.telemetry.microsoft.com
127.0.0.1 watson.telemetry.microsoft.com.nsatc.net
127.0.0.1 redir.metaservices.microsoft.com
127.0.0.1 choice.microsoft.com
127.0.0.1 choice.microsoft.com.nsatc.net
127.0.0.1 df.telemetry.microsoft.com
127.0.0.1 reports.wes.df.telemetry.microsoft.com
127.0.0.1 wes.df.telemetry.microsoft.com
127.0.0.1 services.wes.df.telemetry.microsoft.com
127.0.0.1 sqm.df.telemetry.microsoft.com
127.0.0.1 telemetry.microsoft.com
127.0.0.1…...
Telemetría aka espionaje legal.

Por mucho menos bloquearon a Huawei.
#2 Lo de Huawei no tiene nada que ver con la telemetría sino con las relaciones entre Estados Unidos y China. Y la telemetría tampoco tiene por qué ser espionaje ni ser ilegal. Telemetría puede ser simplemente informar de forma anónima al desarrollador qué sistema operativo estás usando para que este sepa a qué plataformas dar preferencia durante el desarrollo.

Lo que de verdad me parece importante de todo esto es que Microsoft esté utilizando una herramienta que se supone que su objetivo es…   » ver todo el comentario
#5 ...con archivos adjuntos de LibreOffice.

Sí, eso, tú sigue dando ideas.

Hasefrosh siempre ha sido agresiva, muy agresiva como compañía y mucha gente se ha pasado a defender el lado oscuro pretendiendo tener sentido común o incluso buscar el bien común. Por suerte el tiempo pone la información al alcance de todos y se pudo comprobar cada vez que algún acólito malote se reía del software libre y decía que ahora sí que sus ventanas eran seguras, aparecía poco después otro de esos…   » ver todo el comentario
#20 ¿Hasefrosh?

Han pasado ya 25 años desde la broma.

Actualícese ya, abuelo! :troll:

Por cierto, no voy a defender a Windows, pero no conozco ningún sistema libre de Zero Days. Lo de corruptos, te lo acepto.
#36 joventuz inconsiente.
#5 la noticia es sensacionalista y microsoft no bloquea lo que le molesta sino lo que puede ser dañino, como es normal.

No impide el archivo hosts que bloquea la telemetria sino que impide modificaciones en el archivo hosts en general y con mas razon si son dominios de microsoft para impedir que el malware redirija el trafico. No tiene nada que ver con la telemetria.

Esta noticia ya salio en meneame asi que a parte de sensacionalista es duplicada.
#27 No. Lo que impide son determinadas modificaciones. Depende lo que contenga el archivo hosts lo detecta como una amenaza o no. Y, casualmente, bloquear la telemetría lo detecta como amenaza.
#43 de casual no tiene nada, la telemetría depende de los servidores de Microsoft y eso es lo que detecta, modificaciones que corresponden a su dominio como la telemetría o... Windows update u otras partes que podrían comprometer la seguridad del sistema.

Pero puedes excluir el archivo hosts del análisis y así de fácil arreglas el problema o ellos pueden usar mil maneras para saltarse el archivo hosts y arreglar tu truco, así que no tiene ningún sentido hacerlo por la telemetría.

Insisto, noticia sensasionalista.
#27 "...sino que impide modificaciones en el archivo hosts en general..."
Yo lo suelo modificar y lo tengo modificado, y ni me lo impide ni me da ningún mensaje.
#50 prueba ahora con dominios de microsoft.
#52 Que sí, pero en #27 hablabas de modificaciones en general.
#58 en eso tienes razón, me equivoqué.
#5 No es "natural" modificar el archivo hots en el 99,99% de los casos, y precisamente mucho malware lo gace, así que es normal que lo detecte como una acción "potencialmente peligrosos"
#48 Lo que ocurre es que Windows Defender no está detectando modificaciones en general del archivo hosts sino las modificaciones concretas que bloquean la telemetría.
#55 Mira que lo dice tu noticia pero tú erre que erre. No está bloqueando en concreto la telemetría, no tendría sentido, lo que está bloqueando es modificaciones con respecto al dominio Microsoft. Incluso aunque el archivo hosts esté en el escritorio, que ahí sería un simple archivo de texto sin efecto alguno, si pones 127.0.0.1 update.microsoft.com te lo bloquea. Dime ¿qué telemetría va por ese dominio?

Sin embargo, si pones:

127.0.0.1 oca.telemetry.microsoft.com
127.0.0.1 oca.telemetry.microsoft.com.nsatc.net
127.0.0.1 statsfe2.update.microsoft.com.akadns.net

De la lista de #3 no te lo bloquea, a pesar de que por ahí sí va telemetría. ¿qué sentido tiene eso en tu teoría de que lo hacen por la telemetría?

CC/ #48
#56 Vamos, no me fastidies ¿pretendes cambiar la dirección de donde se baja Windows las actividades...?
#71 ¿Que actividades?
#72 perdón, "actualizaciónes"
#73 Fue la primera dirección que se me ocurrió que no fuese una de telemetría. Precisamente esas direcciones son las que hay que prevenir que no se modifiquen, por lo tanto que el antivirus lo impida es bueno.
#5 Claro era legal DiagTrack que capturaba todas las pulsaciones del teclado y las enviaba a los servidores de Microsoft, con diferentes excusas como mejorar las traducciones. Además de no solo hacer eso sino crear un perfil único por cada ordenador. Y es tan legal Microsoft con el tratamiento de los datos que por eso se ilegalizó el "Escudo de Privacidad" porque Microsoft, principalmente, con Office 365 mandaba todo lo que le pidiese el gobierno estadounidense pasándose dicho "Escudo de Privacidad", por el forro.

Saludos.
#2 comentario de cuñado con palillo en la boca y todo.

La telemetría son básicamente contadores de incidencias, de tiempos, de utilización de recursos, etc. Y es prácticamente imposible usarla para espiar nada, porque esos datos sólo tienen utilidad y sentido cuando los analizas a escalas masivas.

Casi cualquier software medianamente serio que utilizas genera este tipo de datos. O te crees que Netflix o Spotify sólo se ponen a investigar un problema cuando se quejan los usuarios?
#25 Tú si quieres confían Microsoft. Pero llamar "cuñado" a quien no lo hace...
#28 No, cada uno es libre de confiar o desconfiar de quien quiera. Llamo cuñado a quien dice que tomar telemetría de los sistemas es ilegal.

Es hablar sin saber: Sin saber de leyes, sin saber de tecnología, sin saber cómo se operan sistemas distribuídos/a gran escala, y más importante: sin saber qué tipo de datos se transmiten en esa telemetría.
#25 La telemetría, por si sola, no vale para espiar, pero cuando cruzamos la información con otros datos de usuario, las cosas se ponen interesantes.

Ahora dime que las "Hermanitas de la Caridad" de Microsoft no cruzan los datos para obtener el máximo de información.
#31 Tambien aunque no sirva para nada para que la gente se vaya acostumbrando. Primero egistran de forma inocua y luego amplian y dice que no tiene nada de malo porque ya se hacia antes.
#31 la telemetría por una cuestión legal y mayormente práctica se envía y se procesa de manera anonimizada. Es innegable que con esos datos, aún anonimizados, se pueden descubrir tendencias a nivel de grupos, pero de ahí a afirmar que se pueden utilizar para cruzarlos con otros datos y generar perfiles específicos de cada usuario hay un trecho técnico, legal y operativo enorme.

Dicho de otro modo: hay una utilidad cuanto menos dudosa de los datos de cuánto usa la memoria virtual *tu* sistema operativo, pero es útil poder cuantificar si ha habido variaciones en esos datos a una escala mayor, porque es indicativo de un cambio -previsto o no-.
#25 Claro el "Escudo de Privacidad" se anuló, por lo bueno que era Microsoft... Y eso de la telemetría no sirve para espiar, bueno pero sí para crear un perfil único de un ordenador que es lo que hacía DiagTrack.

Saludos.
#59 Vamos a ver... estamos hablando de un sistema operativo... se ejecuta en el anillo 0 (privilegiado) del CPU. De verdad crées que, de querer generar un perfil único de un ordenador, se necesita la telemetría?
Por si a alguien le interesa, los servicios de telemetría de Windows son (basta con añadirlos al archivo hosts):

127.0.0.1 vortex.data.microsoft.com
127.0.0.1 vortex-win.data.microsoft.com
127.0.0.1 telecommand.telemetry.microsoft.com
127.0.0.1 telecommand.telemetry.microsoft.com.nsatc.net
127.0.0.1 oca.telemetry.microsoft.com
127.0.0.1 oca.telemetry.microsoft.com.nsatc.net
127.0.0.1 sqm.telemetry.microsoft.com
127.0.0.1 sqm.telemetry.microsoft.com.nsatc.net
127.0.0.1…   » ver todo el comentario
#3 Con esa lista Microsoft no dice nada pero si metes la otra sí que salta Windows Defender.
#3 También puedes pasarle el Windows10Debloater que te permite desactivar la telemetría, etc.

github.com/Sycnex/Windows10Debloater
#3 para que sirve todo eso? Para tema licencias o que no nos espíen ? A veces me dan ganas de volver a Windows y estas cosas son las que joden
#42 Pues muchas de ellas precisamente lo que detectan son malware y fallos de funcionamiento que sirven para que Microsoft saque los parches que los corrigen.

¿Te imaginas que todo el mundo bloqueaste la telemetría? ¿Cómo iba a sacar Microsoft parches?
#49 Me imagino que lo dirás en broma. Visto lo bien que lo hacen con las actualizaciones...

Saludos.
#60 No entro a valorar las actuaciones, solo pongo en contexto de dónde obtienen los datos
A ver. En principio, lo de que es potencialmente no deseado no está tan fuera de lugar, y la palabra clave aquí es potencialmente. Si un programa cambia el hosts para que cuando entres en google te redirija a un sitio ruso, pues te pueden hacer phishing y a lo mejor ni te enterarías porque la barra de direcciones seguiría diciendo "google". En este sentido, se puede hacer daño metiendo en el hosts cosas que no están en el interés del usuario.

Pero, claro. Eso en

…   » ver todo el comentario
#8 Para proteger de ese tipo de ataques está https. Por mucho que en la barra de direcciones ponga google alguien que esté haciendo phising no va a poder enviar al navegador un certificado válido para google así que lo que verá el usuario es un aviso enorme de que el navegador no ha podido comprobar la validez del certificado y que no entres en esa web.

No es un sistema nada práctico para hacer phising en 2020 donde la gran mayoría de webs usan https por defecto.

Por otra parte si una…   » ver todo el comentario
#11 Se podría usar para hacer un MITM
#11 puestos a atacar de esa forma sería más práctico cambiar los servidores dns.

El cambio de servidor DNS obliga al atacante a tener funcionando y mantener funcionando un servidor DNS, en el momento que ese servicio deje de funcionar el ataque pasa a ser visible. Eso a su vez deja un rastro que puede llegar a permitir identificar al atacante.

Por otro lado a veces el atacante solo necesita impedir que se acceda a actualizaciones de antivirus, actualizaciones del sistema operativo,…   » ver todo el comentario
#15 Tener un DNS funcionando es mucho más fácil que tener un servidor que sirva páginas que hacen phising, evitar que dé un no encontrado es tan trivial como configurarlo como primario dejando los que ya hubiera, si falla el primario la resolución del nombre funcionará perfectamente.

En cambio si suplantas un host como actualizaciones de antivirus, sistema, ..., primero volvemos al tema del https, dudo que haya ningún antivirus que envíe actualizaciones que no sean por https así que saldría un…   » ver todo el comentario
#30 evitar que dé un no encontrado es tan trivial como configurarlo como primario dejando los que ya hubiera, si falla el primario la resolución del nombre funcionará perfectamente.

Esa es una muy mala estrategia ya que el DNS no vuelve al primario aunque éste ya vuelva a funcionar. Lo que significa que si antes del ataque el servidor DNS del atacante sufre una interrupción el equipo usará el DNS secundario y mientras éste siga funcionando ya no volverá a preguntar nada al DNS primario…   » ver todo el comentario
#30 Sorry A Vá,quez, dedazo... te compenso
#11 si un programa puede modificar el fichero hosts, no tendrá ningún impedimento para agregar un certificado raíz malicioso, porque ambos cambios requieren privilegios de admin.
#11 cierto, pero TLS no es infalible. Mismamente en enero de este año tuvimos parche de Microsoft por un fallo en la validación de parámetros de curvas elípticas que permitía generar certificados “válidos” para cualquier dominio. O que si un malware puede modificarte el fichero host posiblemente pueda instalarte una root CA propia.
#8 Yo no veo problema en que me redirija a un sitio ruso. :troll:

www.cuteonly.com/Russia/
Un ejemplo de este archivo HOSTS lo podemos encontrar aquí: github.com/Forsaked/hosts

Y este es el mensaje que muestra Windows cuando intentas abrir el archivo:
 media
#1 bueno, para cualquier malware sería fácil modificar el archivo host así que no veo problema en que los detecte como mal comportamiento y nos avise. Otra cosa diferente sería que aparte del aviso impidiera modificarlo. Yo escribo software y a veces lo detecta como mal comportamiento y lo bloquea pero basta con dar a ejecutar de todas formas para que lo acepte. Hay que tener en cuenta que el usuario normal de windows ni siquiera sabe que significa ese archivo.
#19 escribo software! y quien lo lee?
#22 jeje, alguna cosa que he escrito se utiliza pero leerla leerla creo que nadie. Sin embargo a mi me gusta pensar de mi profesión como escritura, o literatura, como un arte al fin y al cabo, Si no, creo que no podría ni soportarlo ni motivarme en el día a día.
#24 Lo que escribes lo lee el ordenador, tu lector más importante...

No sé si conoces el caso de Daniel Bernstein, que tuvo un juicio con el gobierno de los EE.UU. por un programa de criptografía que escribió. Como resultado del juicio se reconoció que un programa de ordenador estaba protegido por la Primera Enmienda (libertad de expresión),
aunque no fuera una persona el destinatario de dicha expresión.

globalfreedomofexpression.columbia.edu/cases/bernstein-v-department-of
#29 entiendo que tal y como dice el "Case Summary and Outcome" del enlace que has mandado todo eso había entrado en terreno político y se había ensuciado. A mi siempre me ha fascinado la programación gráfica, IA, la interconexión con sensores y actuadores y demás. Los temas de criptografía y hacking y demás siempre me han parecido aburridos. Este enlace que pones me recuerda algo a la movida que hubo hace unos cuantos años con lo del PGP y demás. De todas formas tampoco es que este muy sobrio como para hacer analisis profundos :-) pero esta frase me ha impactado "The court reasoned that programming language is speech and is thus protected under the First Amendment"
#32 Si bebes, no menees.
#39 jeje, bueno, mientras pueda argumentar no veo el problema. No me voy a meter en noticias de política eso si :->
#29 Tb soy "escritor" de software pero bueno si bien un programa puede ser un bestseller, puede ser un crimen, una aventura, una comedia, o un terror. EStablecer que un programa queda protegido por la libertad de expresión me parece rozar el rizo, imaginaros que un hacker usa el mismo argumento... la verdad que es un debate interesante yo creo que es mejor no mezclarlo pero... le veo su sentido a que un tengo la libertad de programar lo que le de la gana, complicado.
#32
#24 Lo lee la cpu una vez traducido al asm no? y si la traduccion es mala pues ya tenemos lío!!
#19 pues yo llevo todo el día escribiendo "software" en un bloc de notas y se lo come!
#23 ¿En un bloc de notas? No será HTML eso que escribes, ¿no? :-D :-D :hug:
#51 no, solo es la palabra software en un bloc de notas. Si fuera html sería <software></software>

xD
#1 de hecho en muchas instituciones ya ni te permiten utilizar las dns que tu quieras, porque lo consideran un gran riesgo. Y por ejemplo no puedes usar los dnss de google 8.8.8.8, ni las de cloudflare y demás, las tienen bloqueadas.
#1 Acabo de probarlo, sale el aviso pero puedo darle a permitir en este dispositivo.
TL,DR: Pi-Hole
Sería una tontería por parte de Microsoft, pudiendo acceder directamente con los números IP a los servidores de telemetría. Esto parece una no-noticia. ¿Qué será lo próximo? El antivirus bloquea que se cambie el registro que activa los servicios de telemetría.

Si Microsoft quisiese espiar, no habría forma de evitarlo, no se podría apagar esos servicios que ni siquiera aparecerían en la lista de servicios, estaría oculto en svchost y usaría el puerto 80 o alguno común que no despertara sospechas.
Me voy a poner :tinfoil: y voy a pensar que no es solo por la telemetría (que ya sería suficientemente grave). El caso es que algunos métodos para activar software pirateado, como el típico Office, pasan por modificar el archivo HOSTS para que apunte a un servidor de activación pirata que activa todo lo que le llega. La pela es la pela, ahora supongo que para tener un Office activado no quedará otra que pasar por caja. Al menos mientras los piratas no usen otro método :troll:

CC #17
lo detecta, lo bloquea, le dices que lo deje pasar y te lo acepta. al dia siguiente el mismo lio... al final acabare metiendo los 500kb de hosts en el pi-hole y que haga lo que le de la gana...
#67 sin problema... aunque no sé para que iba a cambiar ni el grub ni shadow (que no sé ni para que sirve). Además, el grub tiene su propia herramienta.
Sin embargo, el hosts se puede editar con gedit sin problema. Cosa que hago muy frecuentemente.
#69 Pon el archivo hosts en windows en la lista de no escanear y lo podrás editar igual que siempre, igual de fácil que en linux: support.microsoft.com/en-us/help/2764944/hosts-file-is-detected-as-mal
#67 sin problema...
que editar un simple archivo de texto dé problemas es lo que me hace odiar cuando tengo que usar un windows.
#44 ya... prueba editar /etc/hosts, /etc/shadow o /boot/grub2/grub.cfg en un Linux, y luego me cuentas qué tal te fue.
El problema viene con 0.0.0.0 en vez de 127.0.0.1, con 0.0.0.0 me saltaba el antivirus y me bloqueaba el archivo host, ahora Microsoft reconoce como virus el 0.0.0.0
que dificil es editar el host de windows para indicarle que 192.168.2.5 se llama elefante
Y todavía hay que dar gracias que el antivirus de Microsoft permite añadir excepciones. En otros antivirus, como bitdefender, si quieres poder trabajar a gusto tienes que deshabilitar el módulo entero.
A mí lo que realmente me fastidia es que luego cuelan virus de verdad como los ransomware con los trucos más viejos del planeta (correos de la empresa xxx con enlaces que te llevan al dominio yyy, archivos adjuntos con doble extensión .pdf.exe) como si no hubiera software de seguridad...
Yo a día de hoy uso un dnsmasq bajo Docker for Windows y pongo como DNS principal del adaptador de red la dirección IP de mi ordenador en la red local (o en su defecto 127.0.0.1). Me parece una solución mucho más limpia y no hay que andar peleándose con los permisos de archivo de Windows.

Otra solución es Pi-Hole, que a parte de se un magnífico bloqueador de publicidad por DNS, por lo que me consta ahora también permite añadir hosts personalizados.
Micro$oft cavando su propia tumba en 3, 2, 1...
Riendo muy alto en Pi-Hole....
comentarios cerrados

menéame