Microsoft verliert Kontrolle über Domain für Live-Kachel-Dienst von Windows

Dem deutschen Sicherheitsforscher und Journalist Hanno Böck ist es gelungen, die Kontrolle über eine Subdomain zu übernehmen, die die Live-Kacheln im Startmenü von Windows 8 und Windows 10 mit RSS-basierten Nachrichten und Updates versorgt. Der Eigentümer der fraglichen Domain „notifications.buildmypinnedsite.com“ ist in der Lage, Inhalte zu steuern und zu verändern, die in Live-Kacheln angezeigt werden – was eigentlich Microsoft vorbehalten sein sollte.

Die Subdomain ist Teil eines Diensts, den Microsoft unter buildmypinnedsite.com anbietet. Er erlaubt es Betreibern von Websites, mithilfe von Live-Kacheln aktuelle Inhalte im Startmenü von Windows-Geräten einzublenden.

Entwickler, die die Funktion nutzen wollen, müssen einen Meta Tag in den Quellcode ihrer Seiten einbauen. Der erlaubt es dem Browser Edge, eine Website in Form einer Live-Kacheln an das Startmenü anzuheften. Beim Öffnen des Startmenüs wird der Meta Tag auf der Seite gelesen und der zugehörige Inhalt innerhalb der Live-Kachel dargestellt.

Der Umweg über den Dienst buildmypinnedsite.com ist notwendig, da Windows-Live-Kacheln keine RSS-Feed-Formate darstellen können. Der Dienst wird also benutzt, um RSS-Feeds in ein bestimmtes XML-Format umzuwandeln, das die Live-Kacheln verarbeiten können, um daraus eine animierte Live-Kachel zu erzeugen.

Böck stellte Anfang der Woche fest, dass der Dienst nicht mehr funktioniert und nur noch eine Fehlermeldung von Microsofts Clouddienst Azure liefert. „Der Host wird auf eine Subdomain auf Azure umgeleitet. Allerdings ist diese Subdomain nicht mehr mit Azure registriert“, sagte Böck. Daraufhin registrierte Böck die Subdomain und informierte Microsoft über das Problem – ohne jedoch eine Reaktion zu erhalten.

„Dauerhaft werden wir den Host nicht behalten: Da dort erhebliche Mengen an Traffic anfallen, kostet es Gebühren, die entsprechende Subdomain zu behalten und zu blockieren, auch wenn der entsprechende Service gestoppt ist“, kündigte Bück in seinem Artikel auf Golem.de an. „Wenn wir die Subdomain kündigen und Microsoft bis dahin nicht reagiert ist es möglich, dass sie in Zukunft für Angriffe missbraucht wird.“

Websitebetreibern, die den Meta-Tag einbinden, empfiehlt Böck, diesen zu entfernen und die benötigte XML-Datei selbst zu erzeugen. Betroffen sind aktuell unter anderem der russische Mailhoster Mail.ru, das Blognetzwerk Engadget, Heise Online und Giga.