Abo
  • IT-Karriere:

Subdomain Takeover: Microsoft verliert Kontrolle über Windows-Kacheln

Mit einem Service von Microsoft konnten Webseiten Neuigkeiten auf Windows-Kacheln als sogenannte Windows Live Tiles darstellen. Den Service gibt es nicht mehr, die zugehörige Subdomain konnten wir übernehmen und eigene Kachelinhalte anzeigen.

Eine Exklusivmeldung von Hanno Böck veröffentlicht am
Mit einem Kachellayout versuchte Microsoft, in Windows 8 ein neues Bedienkonzept einzuführen, aber bei den Nutzern kam das nie gut an.
Mit einem Kachellayout versuchte Microsoft, in Windows 8 ein neues Bedienkonzept einzuführen, aber bei den Nutzern kam das nie gut an. (Bild: Screenshot / Hanno Böck / Martin Wolf)

Ein Erfolgsprojekt waren die Kacheln oder Tiles nicht, die Microsoft mit Windows 8 eingeführt hat. Bei der Abschaltung eines dazugehörigen Webservices versäumte es das Unternehmen, die zugehörigen Nameserver-Einträge zu löschen. Das führte dazu, dass der entsprechende Host für einen Subdomain-Takeover-Angriff verwundbar war - und wir dessen Inhalte kontrollieren konnten. So konnten wir dort beliebige Bilder und Texte in den Kacheln anderer Webseiten anzeigen.

Stellenmarkt
  1. Versandhaus Walz GmbH, Bad Waldsee
  2. Alfred Kärcher SE & Co. KG, Winnenden bei Stuttgart

Die mit Windows 8 eingeführten Kacheln können eine Reihe von Funktionen erfüllen. Für Webseiten gibt es die Möglichkeit, über spezielle Meta-Tags Neuigkeiten auf einer Kachel darzustellen. Windows Live Tiles heißt die entsprechende Funktion. Bei Seiten, die dies unterstützen, können Nutzer im Edge-Browser die entsprechende Seite als Kachel anheften.

Microsoft-Service konvertiert RSS-Feed in Windows-Kacheln

Über ein spezielles XML-Format können die Webseiten dann den Inhalt der Kacheln steuern und dort etwa aktuelle News anzeigen. Um es Seiten zu erleichtern, die entsprechende Funktion anzubieten, stellte Microsoft einen Service bereit, der automatisch RSS-Feeds in das passende Format konvertierte.

Die zugehörige Webseite, auf der man sich die passenden Metatags erstellen lassen kann, ist weiterhin online, obwohl der Service nicht mehr funktioniert. Der Host notifications.buildmypinnedsite.com lieferte nur eine Fehlermeldung von Microsofts Cloud-Service Azure.

Der verwaiste Host war anfällig für einen sogenannten Subdomain-Takeover-Angriff. Der Host wurde auf eine Subdomain von Azure weitergeleitet. Bei Azure war diese Subdomain aber nicht registriert.

Azure-Subdomain konnte von uns neu registriert werden

Die Registrierung funktioniert über einen sogenannten CNAME-Nameservereintrag. Dieser leitet alle Anfragen von dem betroffenen Host auf die nicht registrierte Azure-Subdomain weiter. Wir konnten mit einem normalen Azure-Account diese Subdomain registrieren und den entsprechenden Host mit eintragen - und damit kontrollieren, welche Inhalte dort ausgeliefert werden.

Zu den Webseiten, die den inzwischen nicht mehr existenten Service von Microsoft nutzten, gehörten unter anderem der russische Mailhoster Mail.ru, das Blognetzwerk Engadget und in Deutschland Heise Online und Giga. Webseiten, welche den entsprechenden Meta-Tag einbinden, sollten diesen wohl am besten entfernen oder, falls sie die Funktion weiterhin anbieten wollen, die entsprechende XML-Datei selbst erzeugen.

Microsoft reagiert nicht

Wir haben Microsoft über das Problem informiert, bislang haben wir auf unsere Anfragen keine Antwort erhalten. Dauerhaft werden wir den Host nicht behalten: Da dort erhebliche Mengen an Traffic anfallen, kostet es Gebühren, die entsprechende Subdomain zu behalten und zu blockieren, auch wenn der entsprechende Service gestoppt ist. Wenn wir die Subdomain kündigen und Microsoft bis dahin nicht reagiert ist es möglich, dass sie in Zukunft für Angriffe missbraucht wird.

Die Kacheln, die Microsoft zunächst in Windows 8 auf dem Startbildschirm eingeführt und in Windows 10 ins Startmenü verschoben hat, waren bei Nutzern nie besonders beliebt. Die Webseite Windowscentral spekulierte im Januar, dass die Kacheln bald abgeschafft werden könnten. Das kommende Windows Lite soll bereits ohne Kacheln erscheinen.

Nachtrag vom 18. April 2019, 11:53 Uhr

In der Zwischenzeit hat Microsoft den entsprechenden Nameserver-Eintrag gelöscht. Die Subdomain ist damit nicht mehr unter unserer Kontrolle. Eine Antwort von Microsoft haben wir nach wie vor nicht erhalten.

This article is also available in English.



Anzeige
Spiele-Angebote
  1. 3,99€
  2. 2,99€
  3. 39,99€
  4. 0,00€

a user 23. Apr 2019 / Themenstart

MS hat noch nie super produkte gemacht. Nicht einmal ihre erfolgreichsten Produkte waren...

HierIch 23. Apr 2019 / Themenstart

Danke!

Michael H. 23. Apr 2019 / Themenstart

Und auch hier... wenn ich sie da reinschicke, ist es immerhin kein Hausfriedensbruch...

Tuxgamer12 22. Apr 2019 / Themenstart

Finde ich ja lustig. Also dass du nicht einmal realisiert hast, dass ich nicht einmal...

Tuxgamer12 19. Apr 2019 / Themenstart

Ist natürlich schlau, dass du expliziet keine Software als Beispiel bringst, sondern...

Kommentieren


Folgen Sie uns
       


iPad Mini (2019) - Fazit

Nach vier Jahren hat Apple ein neues iPad Mini vorgestellt. Das neue Modell hat wieder einen 7,9 Zoll großen Bildschirm und unterstützt dieses Mal auch den Apple Pencil.

iPad Mini (2019) - Fazit Video aufrufen
Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
Zulassung autonomer Autos
Der Mensch fährt besser als gedacht

Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
Von Friedhelm Greis

  1. Ingolstadt Audi vernetzt Autos mit Ampeln
  2. Waymo One Lyft vermittelt Waymos autonome Taxis
  3. OPA, Mems und MMT Wer baut den ersten Super-Lidar?

Straßenbeleuchtung: Detroit kämpft mit LED-Ausfällen und der Hersteller schweigt
Straßenbeleuchtung
Detroit kämpft mit LED-Ausfällen und der Hersteller schweigt

Gut 40 Prozent der Straßenbeleuchtung funktionierten in Detroit vor ein paar Jahren nicht. Mit einem LED-Erneuerungsprogramm sollte das behoben werden. Doch ausgerechnet ein bestimmter Straßenleuchtentyp von Leotek fällt reihenweise aus.

  1. ULED Ubiquitis Netzwerkleuchten bieten Wechselstromversorgung
  2. Energieeffizienz Produktionsverbot für bestimmte Halogenlampen tritt in Kraft

Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

    •  /