Microsoft perd le contrôle du sous-domaine crucial de Windows Tiles

Il semble que Microsoft ait le contrôle d'un sous-domaine crucial de Windows Tiles qui permet aux sites Web d'envoyer des données aux vignettes dynamiques. Le sous-domaine en question a d'abord été configuré par Microsoft pour fonctionner avec Windows 8 et a ensuite été étendu à Windows 10 également.

Le sous-domaine fait partie du service buildmypinnedsite.com que Microsoft a déployé avec le lancement de Windows 8. Le sous-domaine a été configuré pour permettre aux sites Web d'ajouter des métadonnées afin qu'il puisse renvoyer des données à la liste des sites Web épinglés de Microsoft Edge sur l'ordinateur de l'utilisateur. Cependant, le domaine n'a pas été en mesure de gérer les demandes et, par conséquent, Microsoft a mis en place un sous-domaine notifications.buildmypinnedsite.com qui convertit leurs flux RSS dans un format XML spécial que le service Windows Tiles analyserait et créerait les Live Tiles animés.

Malheureusement, le service a été interrompu aujourd'hui. Hanno Böck (Via ZDNet) est un chercheur qui a remarqué que le sous-domaine n'était pas enregistré auprès d'Azure. Voyant cela, il est entré et a enregistré le sous-domaine sur son compte Azure.

L'hôte qui doit fournir les fichiers XML - notifications.buildmypinnedsite.com - n'a montré que un message d'erreur du service cloud Azure de Microsoft. L'hôte a été redirigé vers un sous-domaine d'Azure. Cependant, ce sous-domaine n'a pas été enregistré auprès d'Azure.

Il a déjà notifié Microsoft mais n'a reçu aucune réponse de la part de l'entreprise. Il a dit qu'il ne pouvait pas le retenir trop longtemps car le trafic écrasant sur l'hôte augmentait ses coûts de maintenance.

Nous ne garderons pas l'hôte enregistré en permanence. Il y a une quantité décente de trafic atteignant cet hôte et engendrant des coûts. Une fois que nous avons annulé le sous-domaine, un acteur malveillant pourrait l'enregistrer et en abuser pour des attaques malveillantes.

S'il annule le sous-domaine, tout pirate peut l'enregistrer et désosser la méthode pour créer des fichiers XML malformés qui pourraient abuser du service Windows Live Tiles pour exécuter du code sur les ordinateurs des utilisateurs qui ont encore des Live Tiles basés sur le site Web dans leurs pages de démarrage. /menus. Hanno Böck recommande actuellement aux sites Web de supprimer la balise méta ou d'utiliser un moyen direct de fournir des informations en sautant notifications.buildmypinnedsite.com.