Test

Dit is een popup

Windows Live Tiles waren te kapen via vervallen domeinnaam

In Windows 8 en Windows 10 introduceerde Microsoft een manier voor websites om live updates te tonen in het startscherm van Windows. Door een nalatigheid van Microsoft kan die echter misbruikt worden. 

Om nieuwsupdates te tonen in live tiles, dienden websites een meta tag toe te voegen aan de broncode. Edge-gebruikers konden vervolgens deze website toevoegen aan het startmenu van Windows 8 of Windows 10. Nieuwe content van websites werd zo live bijgewerkt in de tegels van Windows. Om enige uniformiteit in de RSS-feeds te krijgen, introduceerde Microsoft de web app notifications.buildmypinnedsite.com om RSS-feeds om te zetten naar een gestandaardiseerde feed. Websites die live nieuws wilden weergeven in Windows Tiles, voegden vervolgens links naar notifications.buildmypinnedsite.com toe in hun broncode.

Hanno Böck ontdekte dat het subdomein kwetsbaar was voor een zogenaamde ‘subdomain takeover attack’. Het domein werd namelijk doorgestuurd naar een subdomein van Azure, maar Azure had dit subdomein niet geregistreerd. Böck kon de domeinnaam registreren zodat hij nu controle heeft over wat er in de Windows Tiles verschijnt. Hoe hij dat precies deed, omschrijft hij gedetailleerd op Golem.de. Tot de websites die gebruikmaken van notifications.buildmypinnedsite.com, behoren onder andere Engadget, Mail.ru, Heise Online en Giga. In een filmpje toont Böck hoe hij de live tiles van deze websites kan invullen met eigen content.

Böck laat weten dat ze Microsoft hebben ingelicht over het probleem, maar dat ze er nog geen reactie op hebben ontvangen. Er wordt wel gezegd dat hij de host niet zal blijven houden wegen de hoge kosten. Als Microsoft dus niet reageert op het voorval, dan wordt het domein terug beschikbaar voor anderen die misbruik kunnen maken van het probleem.

Om nieuwsupdates te tonen in live tiles, dienden websites een meta tag toe te voegen aan de broncode. Edge-gebruikers konden vervolgens deze website toevoegen aan het startmenu van Windows 8 of Windows 10. Nieuwe content van websites werd zo live bijgewerkt in de tegels van Windows. Om enige uniformiteit in de RSS-feeds te krijgen, introduceerde Microsoft de web app notifications.buildmypinnedsite.com om RSS-feeds om te zetten naar een gestandaardiseerde feed. Websites die live nieuws wilden weergeven in Windows Tiles, voegden vervolgens links naar notifications.buildmypinnedsite.com toe in hun broncode.

Hanno Böck ontdekte dat het subdomein kwetsbaar was voor een zogenaamde ‘subdomain takeover attack’. Het domein werd namelijk doorgestuurd naar een subdomein van Azure, maar Azure had dit subdomein niet geregistreerd. Böck kon de domeinnaam registreren zodat hij nu controle heeft over wat er in de Windows Tiles verschijnt. Hoe hij dat precies deed, omschrijft hij gedetailleerd op Golem.de. Tot de websites die gebruikmaken van notifications.buildmypinnedsite.com, behoren onder andere Engadget, Mail.ru, Heise Online en Giga. In een filmpje toont Böck hoe hij de live tiles van deze websites kan invullen met eigen content.

Böck laat weten dat ze Microsoft hebben ingelicht over het probleem, maar dat ze er nog geen reactie op hebben ontvangen. Er wordt wel gezegd dat hij de host niet zal blijven houden wegen de hoge kosten. Als Microsoft dus niet reageert op het voorval, dan wordt het domein terug beschikbaar voor anderen die misbruik kunnen maken van het probleem.

Beveiliginglive tilesmicrosoftWindows

Gerelateerde artikelen

Volg ons

ICT Jaarboek 2021-2022 – TechPulse Business

ICT Jaarboek 2021-2022 – TechPulse Business

Bestel nu!