Microsoft kehilangan kendali atas subdomain Windows Tiles yang penting

Sepertinya Microsoft memiliki kendali atas subdomain Windows Tiles penting yang memungkinkan situs web mengirim data ke ubin langsung. Subdomain yang dimaksud pertama kali diatur oleh Microsoft untuk bekerja dengan Windows 8 dan kemudian diperluas ke Windows 10 juga.

Subdomain adalah bagian dari layanan buildmypinnedsite.com yang digunakan Microsoft dengan peluncuran Windows 8. Subdomain diatur untuk memungkinkan situs web menambahkan metadata sehingga dapat mengirim data kembali ke daftar situs web yang disematkan Microsoft Edge di komputer pengguna. Namun, domain tersebut tidak dapat menangani permintaan tersebut dan karenanya Microsoft menyiapkan subdomain notification.buildmypinnedsite.com yang mengubah umpan RSS mereka menjadi format XML khusus yang akan diurai oleh layanan Windows Tiles dan membuat Live Tiles animasi.

Sayangnya, layanan itu rusak hari ini. Hanno Bock (Via ZDNet) adalah peneliti yang memperhatikan bahwa subdomain tidak terdaftar di Azure. Melihat ini, dia masuk dan mendaftarkan subdomain di akun Azure-nya.

Host yang seharusnya mengirimkan file XML – notifikasi.buildmypinnedsite.com – hanya ditampilkan pesan kesalahan dari layanan cloud Microsoft Azure. Tuan rumah dialihkan ke subdomain Azure. Namun subdomain ini tidak terdaftar di Azure.

Dia telah memberi tahu Microsoft tetapi belum menerima tanggapan apa pun dari perusahaan. Dia mengatakan bahwa dia tidak dapat menahannya terlalu lama karena lalu lintas yang berlebihan di host meningkatkan biaya pemeliharaannya.

Kami tidak akan menyimpan host terdaftar secara permanen. Ada jumlah lalu lintas yang layak untuk mencapai host ini dan menghabiskan biaya. Setelah kami membatalkan subdomain, aktor jahat dapat mendaftarkannya dan menyalahgunakannya untuk serangan jahat.

Jika dia membatalkan subdomain, peretas mana pun dapat mendaftarkannya dan merekayasa balik metode untuk membuat file XML cacat yang dapat menyalahgunakan layanan Windows Live Tiles untuk menjalankan kode di komputer pengguna yang masih memiliki Live Tiles berbasis situs web di halaman Awal mereka /menu. Hanno Böck saat ini merekomendasikan situs web untuk menghapus tag meta atau menggunakan cara langsung untuk menyampaikan informasi lewati notifikasi.buildmypinnedsite.com.