Deze website maakt gebruik van cookies. Voor meer informatie over de cookies waarvan deze website gebruik maakt klik hier.
Door verder op deze website te surfen geeft u de toestemming aan Minoc Data Services om cookies te gebruiken. verder gaan Created with Sketch.

Windows Live Tiles waren te kapen via vervallen domeinnaam

In Windows 8 en Windows 10 introduceerde Microsoft een manier voor websites om live updates te tonen in het startscherm van Windows. Door een nalatigheid van Microsoft kan die echter misbruikt worden. 

 
windows 10 startscreen

Start je dag geïnformeerd. Ontvang het opvallendste technieuws elke ochtend rechtstreeks in je mailbox!


Om nieuwsupdates te tonen in live tiles, dienden websites een meta tag toe te voegen aan de broncode. Edge-gebruikers konden vervolgens deze website toevoegen aan het startmenu van Windows 8 of Windows 10. Nieuwe content van websites werd zo live bijgewerkt in de tegels van Windows. Om enige uniformiteit in de RSS-feeds te krijgen, introduceerde Microsoft de web app notifications.buildmypinnedsite.com om RSS-feeds om te zetten naar een gestandaardiseerde feed. Websites die live nieuws wilden weergeven in Windows Tiles, voegden vervolgens links naar notifications.buildmypinnedsite.com toe in hun broncode.

Hanno Böck ontdekte dat het subdomein kwetsbaar was voor een zogenaamde ‘subdomain takeover attack’. Het domein werd namelijk doorgestuurd naar een subdomein van Azure, maar Azure had dit subdomein niet geregistreerd. Böck kon de domeinnaam registreren zodat hij nu controle heeft over wat er in de Windows Tiles verschijnt. Hoe hij dat precies deed, omschrijft hij gedetailleerd op Golem.de. Tot de websites die gebruikmaken van notifications.buildmypinnedsite.com, behoren onder andere Engadget, Mail.ru, Heise Online en Giga. In een filmpje toont Böck hoe hij de live tiles van deze websites kan invullen met eigen content.

Böck laat weten dat ze Microsoft hebben ingelicht over het probleem, maar dat ze er nog geen reactie op hebben ontvangen. Er wordt wel gezegd dat hij de host niet zal blijven houden wegen de hoge kosten. Als Microsoft dus niet reageert op het voorval, dan wordt het domein terug beschikbaar voor anderen die misbruik kunnen maken van het probleem.

Lees meer over : Beveiliging | live tiles | microsoft | Windows