Abo
  • IT-Karriere:

Subdomain Takeover: Microsoft loses control over Windows Tiles

A service from Microsoft used to allow web page owners to deliver news on Windows Tiles as so-called Windows Live Tiles. After the service has been disabled, we were able to take over the corresponding subdomain and display our own Tile contents.

Artikel veröffentlicht am , Hanno Böck
Microsoft tried to introduce a new user interface with a tiled layout in Windows 7 but failed to impress the customers.
Microsoft tried to introduce a new user interface with a tiled layout in Windows 7 but failed to impress the customers. (Bild: Screenshot / Hanno Böck / Martin Wolf)

The Tiles service Microsoft introduced with Windows 8 has never been particularly successful. Microsoft has disabled a web service for the system but forgot to delete nameserver entries. This made the host vulnerable for a subdomain takeover attack - allowing us to control the contents. By doing so we were able to show arbitrary pictures and text within the tiles of other web pages.

Stellenmarkt
  1. MEPA- Pauli und Menden GmbH, Bonn
  2. Etkon GmbH, Gräfelfing

The tiles can fullfil a number of functions. They allow web pages to display news on the tiles with a special meta tag. This function is called Windows Live Tiles. Web pages which support this service can be pinned as a tile.

Microsoft service converts RSS feed to Tiles

With a special XML-based file format, web pages can control the content of the tiles; for example, they can show the latest news. To make it easier for web pages to provide this function, Microsoft ran a service that automatically converted RSS feeds into that special XML format.

The web page that allows creating the corresponding meta tags is still online, although the service no longer works. The host that should deliver the XML files - notifications.buildmypinnedsite.com - only showed an error message from Microsoft's cloud service Azure.

The abandoned host was vulnerable for a so-called subdomain takeover attack. The host was redirected to a subdomain of Azure. However this subdomain wasn't registered with Azure.

Azure subdomain could be re-registered

The takeover works via a so-called CNAME nameserver entry. It redirects all requests for the host to the unregistered Azure subdomain. With an ordinary Azure account, we were able to register that subdomain and add the corresponding host name. Thus we were able to control which content is served on that host.

Web pages using the defunct service from Microsoft included the Russian mail provider Mail.ru, Engadget, and German news sites Heise Online and Giga. Web pages that include these meta tags should remove them or, if they want to keep the functionality, create the corresponding XML files themselves.

Microsoft does not answer

We have informed Microsoft about this problem but haven't received a reply yet. We won't keep the host registered permanently. There's a decent amount of traffic reaching this host and running up costs to hold the domain and block the corresponding subdomain even if we stop the web service and don't provide any content. Once we cancel the subdomain a bad actor could register it and abuse it for malicious attacks.

Windows Tiles were introduced on the start screen of Windows 8 and moved to the start menu in Windows 10. They have never been particularly popular. The web page Windowscentral speculated in January that the Tiles may be deprecated soon. The upcoming Windows Lite is rumored to come without Tiles already.

Update from April 18th, 11:56

Microsoft has now deleted the nameserver record and we no longer control the subdomain. We still haven't received a reply from Microsoft.



Anzeige
Hardware-Angebote
  1. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)
  2. mit Gutschein: NBBX570

bst (golem.de) 17. Apr 2019

Hallo, wenn wir eine internationale Relevanz sehen, stellen wir ausgewählte Exklusiv...

FaDam 17. Apr 2019

Means, whats a nice Service to embedd in this tiles. Post your Ideas. A weather tile for...


Folgen Sie uns
       


Die Zukunft von 8K bei Sharp angesehen (Ifa 2019)

Wenn es um 8K geht, zeigt sich Sharp optimistisch: Nicht nur ein riesiger 120-Zoll-Fernseher ist dort zu sehen, sondern es gibt auch einen kleinen Blick in die nahe Zukunft.

Die Zukunft von 8K bei Sharp angesehen (Ifa 2019) Video aufrufen
Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

Pixel 4 im Hands on: Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro
Pixel 4 im Hands on
Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro

Nach zahlreichen Leaks hat Google das Pixel 4 und das Pixel 4 XL offiziell vorgestellt: Die Smartphones haben erstmals eine Dualkamera - ein Radar-Chip soll zudem die Bedienung verändern. Im Kurztest hinterlassen beide einen guten ersten Eindruck.
Ein Hands on von Tobias Költzsch

  1. Google Pixel 4 entsperrt auch bei geschlossenen Augen
  2. Live Captions Pixel 4 blendet auf dem Gerät erzeugte Untertitel ein
  3. Google Fotos Pixel 4 kommt ohne unbegrenzten unkomprimierten Fotospeicher

    •  /