Microsoft verliest de controle over het cruciale subdomein van Windows Tiles

Het lijkt erop dat Microsoft de controle heeft over een cruciaal Windows Tiles-subdomein waarmee websites gegevens naar de live-tegels kunnen verzenden. Het betreffende subdomein is eerst door Microsoft ingesteld om met Windows 8 te werken en is later ook uitgebreid naar Windows 10.

Het subdomein is een onderdeel van de buildmypinnedsite.com-service die Microsoft heeft geïmplementeerd met de lancering van Windows 8. Het subdomein is zo ingesteld dat websites metadata kunnen toevoegen, zodat het gegevens kan terugsturen naar de lijst met vastgezette websites van Microsoft Edge op de computer van de gebruiker. Het domein kon de verzoeken echter niet afhandelen en daarom heeft Microsoft een subdomein notifications.buildmypinnedsite.com opgezet dat hun RSS-feeds converteert naar een speciaal XML-formaat dat de Windows Tiles-service zou ontleden en de geanimeerde Live Tiles zou maken.

Helaas is de service vandaag kapot gegaan. Hanno Bock (via ZDNet) is een onderzoeker die opmerkte dat het subdomein niet geregistreerd was bij Azure. Toen hij dit zag, ging hij naar binnen en registreerde het subdomein op zijn Azure-account.

De host die de XML-bestanden zou moeten aanleveren – notifications.buildmypinnedsite.com – liet alleen zien: een foutmelding van Microsoft's cloudservice Azure. De host is omgeleid naar een subdomein van Azure. Dit subdomein is echter niet geregistreerd bij Azure.

Hij heeft Microsoft al op de hoogte gebracht, maar heeft nog geen reactie van het bedrijf ontvangen. Hij zei dat hij het niet te lang kan uitstellen omdat het overweldigende verkeer op de host zijn onderhoudskosten verhoogt.

We houden de host niet permanent geregistreerd. Er is een behoorlijke hoeveelheid verkeer die deze host bereikt en de kosten oplopen. Zodra we het subdomein hebben geannuleerd, kan een slechte actor het registreren en misbruiken voor kwaadaardige aanvallen.

Als hij het subdomein annuleert, kan elke hacker het registreren en de methode reverse-engineeren om misvormde XML-bestanden te maken die de Windows Live Tiles-service zouden kunnen misbruiken om code uit te voeren op de computers van gebruikers die nog steeds op website gebaseerde Live Tiles op hun startpagina's hebben. /menu's. Hanno Böck beveelt momenteel websites aan om de metatag te verwijderen of een directe manier te gebruiken om informatie overslaan notifications.buildmypinnedsite.com te leveren.