Security Professionals
- ipfw add deny all from eindgebruikers to any
191.234.4.50 Windows Update
10-10-2015, 21:11 door Anoniem, 5 reacties
Wat mij ergens opviel bij het uitvoeren van Windows Update is dat deze een verbinding probeert te maken met 191.234.4.50, wat volgens het DNS hoort bij c-msedge.net. Ook vindt Virustotal besmette bestanden bij dit IP adres: https://www.virustotal.com/en/ip-address/191.234.4.50/information
Vreemd is ook dat het om poort 80 gaat, wat normaal alleen gebruikt wordt voor het downloaden van de update paketten, en dat loopt normaal uitsluitend via Akamai.
Dit kan dus een (massale) succesvolle MITM aanval op Windows Update als oorzaak hebben, maar ook slechts dns poisening, waarbij Windows Update bij sommige mensen naar andere IP adressen wijst dan het bovenstaande.
Vreemd is ook dat het om poort 80 gaat, wat normaal alleen gebruikt wordt voor het downloaden van de update paketten, en dat loopt normaal uitsluitend via Akamai.
Dit kan dus een (massale) succesvolle MITM aanval op Windows Update als oorzaak hebben, maar ook slechts dns poisening, waarbij Windows Update bij sommige mensen naar andere IP adressen wijst dan het bovenstaande.
Reacties (5)
10-10-2015, 21:54 door
Rarsus
Probeer eens een who-is. Dan wordt je vast wat meer duidelijk.
De meest voor de hand liggende optie is nl dat het een MS site betreft en ,guess what/who is, dat is ook zo.
Overigens, wanneer je https://www.virustotal.com/en/ip-address/191.234.4.50/information/ eens goed leest, zie je verschillende dingen.
- Blijkbaar is er 1 AV engine die een false positive geeft op bestanden downloaded van het ip adres.
- Via een van de andere known hostnames (windowsupdate.com)
Msedge.net is in het leven geroepen door Microsoft (MS Edge). De registratar is markmonitor, een bekende, vertrouwde registrar...
De meest voor de hand liggende optie is nl dat het een MS site betreft en ,guess what/who is, dat is ook zo.
Overigens, wanneer je https://www.virustotal.com/en/ip-address/191.234.4.50/information/ eens goed leest, zie je verschillende dingen.
- Blijkbaar is er 1 AV engine die een false positive geeft op bestanden downloaded van het ip adres.
- Via een van de andere known hostnames (windowsupdate.com)
Msedge.net is in het leven geroepen door Microsoft (MS Edge). De registratar is markmonitor, een bekende, vertrouwde registrar...
Door Rarsus: Probeer eens een who-is. Dan wordt je vast wat meer duidelijk.
De meest voor de hand liggende optie is nl dat het een MS site betreft en ,guess what/who is, dat is ook zo.
Overigens, wanneer je https://www.virustotal.com/en/ip-address/191.234.4.50/information/ eens goed leest, zie je verschillende dingen.
- Blijkbaar is er 1 AV engine die een false positive geeft op bestanden downloaded van het ip adres.
- Via een van de andere known hostnames (windowsupdate.com)
Msedge.net is in het leven geroepen door Microsoft (MS Edge). De registratar is markmonitor, een bekende, vertrouwde registrar...
De meest voor de hand liggende optie is nl dat het een MS site betreft en ,guess what/who is, dat is ook zo.
Overigens, wanneer je https://www.virustotal.com/en/ip-address/191.234.4.50/information/ eens goed leest, zie je verschillende dingen.
- Blijkbaar is er 1 AV engine die een false positive geeft op bestanden downloaded van het ip adres.
- Via een van de andere known hostnames (windowsupdate.com)
Msedge.net is in het leven geroepen door Microsoft (MS Edge). De registratar is markmonitor, een bekende, vertrouwde registrar...
Dat zou goed kunnen maar als je kijkt bij "Latest detected files that communicate with this IP address" dan is het alleen vandaag.
11-10-2015, 11:44 door
Rarsus
Dat is natuurlijk niet het punt.
Waar het om gaat is dat er een boel aannames worden gedaan die makkelijk te checken zijn.
Ook het blind staten op rode cijfertjes bij virustotal is niet bijzonder constructief. Interpretatie van data is ook een kunst. Probeer maar eens te kijken wat Google.com, virustotal.com, www.security.nl doen op VIrusTotal.
(Voor de laatste:
Latest detected URLs
Latest URLs hosted in this domain detected by at least one URL scanner or malicious URL dataset.
1/65 2015-09-30 00:43:42 http://www.security.nl/
Waar het om gaat is dat er een boel aannames worden gedaan die makkelijk te checken zijn.
Ook het blind staten op rode cijfertjes bij virustotal is niet bijzonder constructief. Interpretatie van data is ook een kunst. Probeer maar eens te kijken wat Google.com, virustotal.com, www.security.nl doen op VIrusTotal.
(Voor de laatste:
Latest detected URLs
Latest URLs hosted in this domain detected by at least one URL scanner or malicious URL dataset.
1/65 2015-09-30 00:43:42 http://www.security.nl/
Wat het verdacht maakt is meer de combinatie van:
- http verbinding naar msedge.net in plaats van https naar 134.170.0.0 en 157.54/56/60.0.0
- http downloads gaan normaal alleen via Akamai Technologies
- Edge draait alleen op Windows 10 dus die relatie met msedge.net is een beetje vaag
- Virustotal heeft maar 1 hit; wat niet wil zeggen dat het een false positive is, het kan ook om geavanceerde mallware gaan. Bij Windows update is dat gevaarlijker dan bij gewone websites.
- Hoe weet Windows update ineens dat het met dit 'nieuwe' adres moet verbinden zonder eerst een succesvolle connectie met het oude Windows update range te maken?
Volgens whois is het domein en IP inderdaad van een bedrijf uit Redmond. Maar goed hoe betrouwbaar is dat als het om een geavanceerde aanval zou gaan.
Kort samengevat het is een beetje vaag; MS zal toch niet zomaar de vertrouwde manier van Windows update kanalen omgooien en netwerkbeheerders een onaangename verrassing bezorgen?
Misschien dat mensen na de recente screw-up's met Windows update overdreven gaan reageren, maar er is zeker een aanleiding om dit kritieke systeem onder een vergrootglas te houden.
- http verbinding naar msedge.net in plaats van https naar 134.170.0.0 en 157.54/56/60.0.0
- http downloads gaan normaal alleen via Akamai Technologies
- Edge draait alleen op Windows 10 dus die relatie met msedge.net is een beetje vaag
- Virustotal heeft maar 1 hit; wat niet wil zeggen dat het een false positive is, het kan ook om geavanceerde mallware gaan. Bij Windows update is dat gevaarlijker dan bij gewone websites.
- Hoe weet Windows update ineens dat het met dit 'nieuwe' adres moet verbinden zonder eerst een succesvolle connectie met het oude Windows update range te maken?
Volgens whois is het domein en IP inderdaad van een bedrijf uit Redmond. Maar goed hoe betrouwbaar is dat als het om een geavanceerde aanval zou gaan.
Kort samengevat het is een beetje vaag; MS zal toch niet zomaar de vertrouwde manier van Windows update kanalen omgooien en netwerkbeheerders een onaangename verrassing bezorgen?
Misschien dat mensen na de recente screw-up's met Windows update overdreven gaan reageren, maar er is zeker een aanleiding om dit kritieke systeem onder een vergrootglas te houden.
Blijkbaar heeft MS het Akamai CDN ingeruild voor edgecast IP adressen in het UK. Waarom toch dat na dns requests van een grote nl provider nu ook security patches via de fiber aan de overkant van het kanaal worden binnengehaald?
Is het niet logischer deze content en dns in Nederland te cachen? Toen MS nog Akamai gebruikte betrof dit nog servers in Nederland...
Is het niet logischer deze content en dns in Nederland te cachen? Toen MS nog Akamai gebruikte betrof dit nog servers in Nederland...
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
