Microsoft verliert die Kontrolle über die wichtige Subdomäne Windows Tiles

Es scheint, als hätte Microsoft die Kontrolle über eine wichtige Subdomain von Windows Tiles, die es Websites ermöglicht, Daten an die Live-Kacheln zu senden. Die betreffende Subdomain wurde zunächst von Microsoft für die Arbeit mit Windows 8 eingerichtet und später auch auf Windows 10 erweitert.

Die Subdomäne ist Teil des buildmypinnedsite.com-Dienstes, den Microsoft mit dem Start von Windows 8 bereitgestellt hat. Die Subdomäne wurde eingerichtet, um Websites das Hinzufügen von Metadaten zu ermöglichen, damit sie Daten an die Microsoft Edge-Liste der angehefteten Websites auf dem Computer des Benutzers zurücksenden kann. Die Domäne war jedoch nicht in der Lage, die Anfragen zu bearbeiten, und daher richtete Microsoft eine Subdomäne Benachrichtigungen.buildmypinnedsite.com ein, die ihre RSS-Feeds in ein spezielles XML-Format konvertiert, das der Windows-Kacheldienst analysiert und die animierten Live-Kacheln erstellt.

Leider ist heute der Service ausgefallen. Hanno Bock (via ZDNet) ist ein Forscher, der bemerkt hat, dass die Unterdomäne nicht bei Azure registriert war. Als er dies sah, ging er hinein und registrierte die Subdomäne in seinem Azure-Konto.

Der Host, der die XML-Dateien liefern sollte – notifications.buildmypinnedsite.com – wurde nur angezeigt eine Fehlermeldung aus Microsofts Cloud-Dienst Azure. Der Host wurde zu einer Unterdomäne von Azure umgeleitet. Diese Unterdomäne wurde jedoch nicht bei Azure registriert.

Er hat Microsoft bereits benachrichtigt, aber keine Antwort von der Firma erhalten. Er sagte, dass er es nicht zu lange hinauszögern kann, da der überwältigende Datenverkehr auf dem Host seine Wartungskosten erhöht.

Wir werden den Host nicht dauerhaft registriert lassen. Es gibt eine anständige Menge an Datenverkehr, der diesen Host erreicht und Kosten verursacht. Sobald wir die Subdomain gekündigt haben, könnte ein Angreifer sie registrieren und für böswillige Angriffe missbrauchen.

Wenn er die Subdomain löscht, kann jeder Hacker sie registrieren und die Methode zurückentwickeln, um fehlerhafte XML-Dateien zu erstellen, die den Windows Live Tiles-Dienst missbrauchen könnten, um Code auf den Computern von Benutzern auszuführen, die noch webbasierte Live Tiles auf ihren Startseiten haben /menüs. hanno Böck empfiehlt Websites derzeit, das Meta-Tag zu entfernen oder einen direkten Weg zu verwenden, um Informationen zu übermitteln, indem Notifications übersprungen werden.buildmypinnedsite.com.