A Microsoft perde o controle do subdomínio crucial do Windows Tiles

Parece que a Microsoft tem o controle de um subdomínio crucial do Windows Tiles que permite que os sites enviem dados para os blocos dinâmicos. O subdomínio em questão foi configurado pela Microsoft para funcionar com o Windows 8 e posteriormente estendido para o Windows 10 também.

O subdomínio faz parte do serviço buildmypinnedsite.com que a Microsoft implantou com o lançamento do Windows 8. O subdomínio foi configurado para permitir que sites adicionem metadados para que possam enviar dados de volta à lista de sites fixados do Microsoft Edge no computador do usuário. No entanto, o domínio não foi capaz de lidar com as solicitações e, portanto, a Microsoft configurou um subdomínio notifications.buildmypinnedsite.com que converte seus feeds RSS em um formato XML especial que o serviço Windows Tiles analisaria e criaria os Live Tiles animados.

Infelizmente, o serviço quebrou hoje. Hanno Böck (através ZDNet) é um pesquisador que percebeu que o subdomínio não estava registrado no Azure. Vendo isso, ele entrou e registrou o subdomínio em sua conta do Azure.

O host que deveria entregar os arquivos XML – notifications.buildmypinnedsite.com – mostrava apenas uma mensagem de erro do serviço de nuvem da Microsoft Azure. O host foi redirecionado para um subdomínio do Azure. No entanto, este subdomínio não foi registrado no Azure.

Ele já notificou a Microsoft, mas não recebeu nenhuma resposta da empresa. Ele disse que não pode adiar por muito tempo, pois o tráfego esmagador no host está aumentando seu custo de manutenção.

Não manteremos o host registrado permanentemente. Há uma quantidade razoável de tráfego chegando a esse host e aumentando os custos. Uma vez que cancelamos o subdomínio, um agente mal-intencionado pode registrá-lo e abusar dele para ataques maliciosos.

Se ele cancelar o subdomínio, qualquer hacker poderá registrá-lo e fazer engenharia reversa do método para criar arquivos XML malformados que poderiam abusar do serviço Windows Live Tiles para executar código nos computadores de usuários que ainda têm Live Tiles baseados em sites em suas páginas iniciais /menus. HAnno Böck está atualmente recomendando que sites removam a metatag ou usem uma maneira direta de fornecer informações ignorando notifications.buildmypinnedsite.com.