Microsoft perde il controllo del cruciale sottodominio di Windows Tiles

Sembra che Microsoft abbia il controllo di un sottodominio cruciale di Windows Tiles che consente ai siti Web di inviare dati ai riquadri attivi. Il sottodominio in questione è stato inizialmente impostato da Microsoft per funzionare con Windows 8 ed è stato successivamente esteso anche a Windows 10.

Il sottodominio fa parte del servizio buildmypinnedsite.com che Microsoft ha distribuito con il lancio di Windows 8. Il sottodominio è stato impostato per consentire ai siti Web di aggiungere metadati in modo da poter inviare i dati all'elenco di Microsoft Edge di siti Web aggiunti al computer dell'utente. Tuttavia, il dominio non è stato in grado di gestire le richieste e quindi Microsoft ha impostato un sottodominio notifications.buildmypinnedsite.com che converte i feed RSS in uno speciale formato XML che il servizio Windows Tiles analizzerebbe e creerebbe i Live Tiles animati.

Purtroppo oggi il servizio si è interrotto. Hanno Bock (tramite ZDNet) è un ricercatore che ha notato che il sottodominio non è stato registrato con Azure. Vedendo questo, è entrato e ha registrato il sottodominio sul suo account Azure.

L'host che dovrebbe fornire i file XML – notifications.buildmypinnedsite.com – è stato solo mostrato un messaggio di errore dal servizio cloud di Microsoft Azure. L'host è stato reindirizzato a un sottodominio di Azure. Tuttavia questo sottodominio non è stato registrato con Azure.

Ha già avvisato Microsoft ma non ha ricevuto alcuna risposta dall'azienda. Ha detto che non può trattenersi troppo a lungo poiché il traffico travolgente sull'host sta aumentando i suoi costi di manutenzione.

Non manterremo l'host registrato in modo permanente. C'è una discreta quantità di traffico che raggiunge questo host e aumenta i costi. Una volta cancellato il sottodominio, un malintenzionato potrebbe registrarlo e abusarne per attacchi dannosi.

Se annulla il sottodominio, qualsiasi hacker può registrarlo e decodificare il metodo per creare file XML non validi che potrebbero abusare del servizio Windows Live Tiles per eseguire codice sui computer degli utenti che hanno ancora Live Tiles basati su siti Web nelle loro pagine iniziali /menu. hanno Böck sta attualmente consigliando ai siti Web di rimuovere il meta tag o di utilizzare un modo diretto per fornire informazioni saltando notifications.buildmypinnedsite.com.