Поделиться через

Обращение на map2.hwcdn.net

Анонимные
2018-10-15T14:03:08+00:00

Ситуация такая - с некоторых рабочих мест идет обращения со стороны ОС (преимущественно Windows 8.1) на внешние адреса 205.185.216.10 и 205.185.216.42.

Обращение может возникнуть в любое время, чаще всего по наблюдениям происходит при запуке RDP клиента. Идет попытка подгрузить библиотеку disallowedcertstl.cab судя по снифингу как со стороны wireshark на рабочих местах, так и со стороны ASA Firepower. 

Операционные системы лицензионные.

Судя по официальной информации на сайте MS, домен HWCDN относится к ресурсам обновления MS:

https://docs.microsoft.com/en-us/windows/privacy/windows-endpoints-1709-non-enterprise-editions

домен резолвится по следующим ip адресам:

ip: 205.185.216.10

ip: 205.185.216.42

domain name: map2.hwcdn.net  

На данных хостах открыты 443 и 80 порты, скорее всего веб сервис, т.к. возвращает JSONответы.

Репутация данных ip адресов плохая судя по информации в интернете:

https://www.malwares.com/report/ip?ip=205.185.216.42

Windows для дома | Предыдущие версии Windows | Безопасность и конфиденциальность

Заблокированный вопрос. Этот вопрос был перенесен из сообщества службы поддержки Майкрософт. Вы можете проголосовать о его полезности, но не можете добавлять комментарии или ответы, а также подписаться на этот вопрос.

Комментариев: 0

1 ответ

Сортировать по: Наиболее полезные
Наиболее полезные Новейшие Самые старые
  1. 0x00000000 40,810 Баллы репутации Модератор-волонтер
    2018-10-16T04:42:09+00:00

    Здравствуйте!

     hwcdn.net не ресурс Майкрософт, а сеть доставки контента Highwinds Content Delivery Network. Транспорт, попросту. Может доставлять как обновления, так и малварь. Если у конкретного адреса репутация плохая, надо его заблокировать.

    Корпоративным пользователям лучше задавать вопросы на Технете.

    https://social.technet.microsoft.com/forums/ru-ru/home/

    Этот ответ помог вам?

    Пользователи, которые сочли этот ответ полезным: 5.
    Комментариев: 0