Dem deutschen Sicherheitsforscher und Journalist Hanno Böck ist es gelungen, die Kontrolle über eine Subdomain zu übernehmen, die die Live-Kacheln im Startmenü von Windows 8 und Windows 10 mit RSS-basierten Nachrichten und Updates versorgt. Der Eigentümer der fraglichen Domain „notifications.buildmypinnedsite.com“ ist in der Lage, Inhalte zu steuern und zu verändern, die in Live-Kacheln angezeigt werden – was eigentlich Microsoft vorbehalten sein sollte.
Entwickler, die die Funktion nutzen wollen, müssen einen Meta Tag in den Quellcode ihrer Seiten einbauen. Der erlaubt es dem Browser Edge, eine Website in Form einer Live-Kacheln an das Startmenü anzuheften. Beim Öffnen des Startmenüs wird der Meta Tag auf der Seite gelesen und der zugehörige Inhalt innerhalb der Live-Kachel dargestellt.
Der Umweg über den Dienst buildmypinnedsite.com ist notwendig, da Windows-Live-Kacheln keine RSS-Feed-Formate darstellen können. Der Dienst wird also benutzt, um RSS-Feeds in ein bestimmtes XML-Format umzuwandeln, das die Live-Kacheln verarbeiten können, um daraus eine animierte Live-Kachel zu erzeugen.
Böck stellte Anfang der Woche fest, dass der Dienst nicht mehr funktioniert und nur noch eine Fehlermeldung von Microsofts Clouddienst Azure liefert. „Der Host wird auf eine Subdomain auf Azure umgeleitet. Allerdings ist diese Subdomain nicht mehr mit Azure registriert“, sagte Böck. Daraufhin registrierte Böck die Subdomain und informierte Microsoft über das Problem – ohne jedoch eine Reaktion zu erhalten.
„Dauerhaft werden wir den Host nicht behalten: Da dort erhebliche Mengen an Traffic anfallen, kostet es Gebühren, die entsprechende Subdomain zu behalten und zu blockieren, auch wenn der entsprechende Service gestoppt ist“, kündigte Bück in seinem Artikel auf Golem.de an. „Wenn wir die Subdomain kündigen und Microsoft bis dahin nicht reagiert ist es möglich, dass sie in Zukunft für Angriffe missbraucht wird.“
Websitebetreibern, die den Meta-Tag einbinden, empfiehlt Böck, diesen zu entfernen und die benötigte XML-Datei selbst zu erzeugen. Betroffen sind aktuell unter anderem der russische Mailhoster Mail.ru, das Blognetzwerk Engadget, Heise Online und Giga.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
