4 Agosto 2020 - Tempo di lettura: 13 minuti
A partire da fine luglio, Microsoft ha iniziato a rilevare i file HOSTS che bloccano i server di telemetria di Windows 10 come un rischio per la sicurezza classificato "grave".
Il file HOSTS è un file di testo che si trova in C: \ Windows \ system32 \ driver \ etc \ HOSTS e può essere modificato solo da un programma con privilegi di amministratore.
Questo file viene utilizzato per risolvere i nomi host in indirizzi IP senza utilizzare il Domain Name System (DNS).
Questo file viene comunemente utilizzato per impedire a un computer di accedere a un sito remoto assegnando l'host all'indirizzo IP 127.0.0.1 o 0.0.0.0.
Ad esempio, se aggiungi la seguente riga al file HOSTS di Windows, impedirà agli utenti di accedere a www.google.com poiché i tuoi browser penseranno che stai provando a connetterti a 127.0.0.1, che è il computer locale.
127.0.0.1 www.google.com
Dalla fine di luglio, gli utenti di Windows 10 hanno iniziato a segnalare che Windows Defender aveva iniziato a rilevare i file HOSTS modificati come una minaccia "SettingsModifier: Win32 / HostsFileHijack".
Se rilevati, se un utente fa clic sull'opzione "Visualizza dettagli", verrà semplicemente mostrato che sono interessati da una minaccia "Modificatore impostazioni" e hanno "comportamenti potenzialmente indesiderati", come mostrato di seguito.
Abbiamo appreso per la prima volta questo problema da BornCity, e mentre Microsoft Defender che rileva i dirottamenti HOSTS non è nuovo, è stato strano vedere così tante persone che segnalavano improvvisamente il rilevamento [ 1 , 2 , 3 , 4 , 5 ].
Mentre un'infezione diffusa che ha colpito molti consumatori contemporaneamente in passato non è inaudita, è abbastanza inusuale con la sicurezza integrata in Windows 10 oggi.
Questo mi ha portato a credere che si trattasse di un falso positivo o di qualche altro problema non dannoso.
Dopo aver provato con modifiche generiche al file HOSTS come il blocco di altri siti, ho provato ad aggiungere una block list per la telemetria di Microsoft al mio file HOSTS.
Questo elenco aggiunge molti server Microsoft utilizzati dal sistema operativo Windows e dal software Microsoft per inviare dati di telemetria e dati utente a Microsoft.
Non appena ho salvato il file HOSTS, ho ricevuto il seguente avviso indicando che non potevo salvare il file in quanto "contiene un virus o un software potenzialmente indesiderato". Ho anche ricevuto avvisi che il mio computer era infetto da "SettingsModifier: Win32 / HostsFileHijack".
Quindi sembra che Microsoft abbia recentemente aggiornato le definizioni di Microsoft Defender per rilevare quando i loro server sono stati aggiunti al file HOSTS.
Gli utenti che utilizzano i file HOSTS per bloccare la telemetria di Windows 10 improvvisamente hanno fatto vedere loro il rilevamento del dirottamento dei file HOSTS.
Nei nostri test, alcuni degli host Microsoft rilevati nel file HOSTS di Windows 10 includono:
www.microsoft.com
microsoft.com
telemetry.microsoft.com
wns.notify.windows.com.akadns.net
v10-win.vortex.data.microsoft.com.akadns.net
us.vortex-win.data.microsoft.com
us-v10.events.data.microsoft.com
urs.microsoft.com.nsatc.net
watson.telemetry.microsoft.com
watson.ppe.telemetry.microsoft.com
vsgallery.com
watson.live.com
watson.microsoft.com
telemetry.remoteapp.windowsazure.com
telemetry.urs.microsoft.com
Se si decide di eliminare questa minaccia, Microsoft ripristinerà il file HOSTS al suo contenuto predefinito.
Gli utenti che modificano intenzionalmente il proprio file HOSTS possono consentire questa "minaccia", ma possono abilitare tutte le modifiche HOSTS, anche dannose, in futuro.
Pertanto, consenti la minaccia solo se comprendi al 100% i rischi connessi.