X

Windows-Kacheln gekapert: Experte entdeckt grobe Schlamperei

Die Idee der Live-Kacheln, von Microsoft Windows Live Tiles genannt, war nie so richtig bei den Nutzern angekommen. Wie sich jetzt zeigt, scheint auch Microsoft den Service einfach vergessen zu wollen. Ein IT-Experte konnte die verwaisten Subdomains, die zum Ausspielen von Informa­tionen genutzt wurden, übernehmen und eigene Inhalte bei Windows Nutzern einschleusen.
17.04.2019  13:31 Uhr

Live-Kacheln will Microsoft wohl am liebsten vergessen, jetzt wurden sie gekapert

Es ist wohl nicht übertrieben, wenn man sagt, dass sich Microsoft mehr von den Kacheln erhofft hat, die erstmals mit Windows 8 vorgestellt worden waren. Das langsame Sterben dieser Idee konnten wir Anfang des Jahres unter der Überschrift "Windows 10 April 2019 Update ohne Kacheln: Live Tiles verschwinden" vermelden. Jetzt zeigt sich, dass man wohl auch bei Microsoft am liebsten einfach gar keinen Gedanken mehr an die Quadrate im Startmenü verschwendet hätte. Wie der IT-Sicherheitsspezialist Hanno Böck auf Golem berichtet, konnte er das System zur Auslieferung von Informationen an Live Tiles kapern und bei Windows Nutzern seine eigenen Inhalte einschleusen.

Möglich wurde dies, weil Microsoft offensichtlich bei der Abschaltung der Webservices geschlampt hat. Wie Böck beschreibt, musste er bei seiner Untersuchung feststellen, dass Nameserver-Einträge wohl nicht gelöscht worden waren. "Das führte dazu, dass der entsprechende Host für einen Subdomain-Takeover-Angriff verwundbar war", so der It-Experte. Die Folge: Die Inhalte, die die Live-Kacheln zeigen, konnten kontrolliert und so eigene Bilder und Texte eingeschleust werden.

Böck demonstriert seine Entdeckung mit einigen Webseiten, die über den Edge-Browser als Live Tiles eingerichtet werden können. Microsoft hatte es Webseitenbetreibern über spezielle Meta-Tags möglich gemacht, Inhalte direkt in den Kacheln darzustellen. Eine Seite, die diesen Service für die Betreiber erleichtert, war weiterhin erreichbar, der dazugehörige Host gab aber nur eine Fehlermeldung von Microsofts Cloud-Service Azure aus, da er auf eine nicht registrierte Subdomain verweist. Böck konnte diese Subdomain mit einem normalen Azure-Account neu registrieren und den Host neu eintragen, "und damit kontrollieren, welche Inhalte dort ausgeliefert werden".

Microsoft bleibt auf Anfrage still

Wie der It-Experte schreibt, ist Microsoft über das Problem informiert worden, hat bisher aber nicht auf die Anfragen reagiert. Da auf der neu registrierten Subdomain trotz des gestoppten Dienstes laut Golem "erhebliche Mengen an Traffic" und damit hohe Kosten anfallen, sei es nicht möglich, diese dauerhaft zu blockieren. Nach Kündigung sei ein Missbrauch denkbar, weshalb man auf eine baldige Antwort von Microsoft hofft.
Verwandte Themen
Windows 8
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2023 WinFuture