|
Título: explorer.exe conexiones TCP salientes Publicado por: kub0x en 12 Noviembre 2014, 18:02 pm Buenas tardes,
hace tiempo que leí que explorer.exe se conecta a servidores de Microsoft para mejorar la experiencia de conectividad de red, y seguramente, para más cosas como envío de información personalizada, cosa que te dejan deshabilitar al instalar Windows 8.1 (mi OS), por lo que me deshice de aquellas configuraciones que permiten el envío de informes, smartscreen y la cloud de Microsoft (SkyDrive). Como soy paranoico tengo creada una extensa regla de firewall para filtrar conexiones indeseadas bajo mi criterio. Por lo tanto, ¿es normal que cada 10 minutos explorer.exe abra conexiones a estos hosts? En algunos utiliza SSL como podeis ver en la imagen de abajo. (http://s11.postimg.org/w41v97e1v/firewall_report.png) Os dejo info de algunas de las IPs: Esta siempre va por SSL y pertence a Microsoft -> http://www.elhacker.net/geolocalizacion.html?host=157.56.122.47 Esta otra ni siquiera es de Microsoft y siempre va por puerto 80 asi que pondré WIRESHARK a la escucha a ver que saco -> http://www.elhacker.net/geolocalizacion.html?host=204.245.63.67 También otra por puerto 80 y no es de M$ -> http://www.elhacker.net/geolocalizacion.html?host=64.208.186.27 Si alguno de vosotros sabe si Windows hace uso de otros ejecutables para enviar info a sus servidores ponedlo por aquí. EDITO: He analizado con Wireshark las conexiones con 64.208.186.27:80 (HTTP) y afirmo que explorer.exe se encarga de mantener los gadegts del escritorio metro, ya que descarga varios .xml relacionados con el tiempo o con las finanzas, en mi caso, seguramente se ocupe de actualizar otros gadgets. Aquí os dejo las URLs que he obtenido con Wireshark, así como unas capturas de los .xml solicitados y los gadgets de metro, veréis que guardan relación. URL: http://finance.services.appex.bing.com/Market.svc/AppTileV2?symbols=&contentType=-1&tileType=0&locale=es-ES XML: (http://s29.postimg.org/ko1lxd5dz/metrofinances.png) Gadget metro: (http://s7.postimg.org/4xhq9oe9z/financesbing.png) URL: http://weather.tile.appex.bing.com/WeatherService.svc/PreInstallLiveTile?lang=es-ES®ion=ES&appid=C98EA5B0842DBB9405BBF071E1DA76512D21FE36&FORM=APXWEA XML: (http://s29.postimg.org/ohznk9c3r/weather.png) Gadget metro: (http://s17.postimg.org/pqbq4t7cb/metroweather.png) Que conste que no soy de Madrid, ya que deshabilite que las apps de Windows pudieran saber de mi localización. Saludos! Título: Re: explorer.exe conexiones TCP salientes Publicado por: patilanz en 13 Noviembre 2014, 00:01 am Muy interesante. Yo también tengo windows 8.1 y voy a probar a ver que hace. No me esperaba que explorer se encargue del metro.
Significa esto que si se consigue shell code en explorer.exe tendras control sobre la interfaz metro ? Se podría manipular los datos que recibes y mostrar información incorrecta. Título: Re: explorer.exe conexiones TCP salientes Publicado por: Vjuan_ en 14 Noviembre 2014, 22:11 pm muchas conexiones simultaneas, por lo demas, nada raro, ademas utiliza puertos seguros el 80 y el 443
|