Live-Kacheln will Microsoft wohl am liebsten vergessen, jetzt wurden sie gekapert
Es ist wohl nicht übertrieben, wenn man sagt, dass sich Microsoft mehr von den Kacheln erhofft hat, die erstmals mit Windows 8 vorgestellt worden waren. Das langsame Sterben dieser Idee konnten wir Anfang des Jahres unter der Überschrift "Windows 10 April 2019 Update ohne Kacheln: Live Tiles verschwinden" vermelden. Jetzt zeigt sich, dass man wohl auch bei Microsoft am liebsten einfach gar keinen Gedanken mehr an die Quadrate im Startmenü verschwendet hätte. Wie der IT-Sicherheitsspezialist Hanno Böck auf Golem berichtet, konnte er das System zur Auslieferung von Informationen an Live Tiles kapern und bei Windows Nutzern seine eigenen Inhalte einschleusen.Möglich wurde dies, weil Microsoft offensichtlich bei der Abschaltung der Webservices geschlampt hat. Wie Böck beschreibt, musste er bei seiner Untersuchung feststellen, dass Nameserver-Einträge wohl nicht gelöscht worden waren. "Das führte dazu, dass der entsprechende Host für einen Subdomain-Takeover-Angriff verwundbar war", so der It-Experte. Die Folge: Die Inhalte, die die Live-Kacheln zeigen, konnten kontrolliert und so eigene Bilder und Texte eingeschleust werden.
Böck demonstriert seine Entdeckung mit einigen Webseiten, die über den Edge-Browser als Live Tiles eingerichtet werden können. Microsoft hatte es Webseitenbetreibern über spezielle Meta-Tags möglich gemacht, Inhalte direkt in den Kacheln darzustellen. Eine Seite, die diesen Service für die Betreiber erleichtert, war weiterhin erreichbar, der dazugehörige Host gab aber nur eine Fehlermeldung von Microsofts Cloud-Service Azure aus, da er auf eine nicht registrierte Subdomain verweist. Böck konnte diese Subdomain mit einem normalen Azure-Account neu registrieren und den Host neu eintragen, "und damit kontrollieren, welche Inhalte dort ausgeliefert werden".