Dem deutschen Sicherheitsforscher und Journalist Hanno Böck ist es gelungen, die Kontrolle über eine Subdomain zu übernehmen, die die Live-Kacheln im Startmenü von Windows 8 und Windows 10 mit RSS-basierten Nachrichten und Updates versorgt. Der Eigentümer der fraglichen Domain „notifications.buildmypinnedsite.com“ ist in der Lage, Inhalte zu steuern und zu verändern, die in Live-Kacheln angezeigt werden – was eigentlich Microsoft vorbehalten sein sollte.
Entwickler, die die Funktion nutzen wollen, müssen einen Meta Tag in den Quellcode ihrer Seiten einbauen. Der erlaubt es dem Browser Edge, eine Website in Form einer Live-Kacheln an das Startmenü anzuheften. Beim Öffnen des Startmenüs wird der Meta Tag auf der Seite gelesen und der zugehörige Inhalt innerhalb der Live-Kachel dargestellt.
Der Umweg über den Dienst buildmypinnedsite.com ist notwendig, da Windows-Live-Kacheln keine RSS-Feed-Formate darstellen können. Der Dienst wird also benutzt, um RSS-Feeds in ein bestimmtes XML-Format umzuwandeln, das die Live-Kacheln verarbeiten können, um daraus eine animierte Live-Kachel zu erzeugen.
Böck stellte Anfang der Woche fest, dass der Dienst nicht mehr funktioniert und nur noch eine Fehlermeldung von Microsofts Clouddienst Azure liefert. „Der Host wird auf eine Subdomain auf Azure umgeleitet. Allerdings ist diese Subdomain nicht mehr mit Azure registriert“, sagte Böck. Daraufhin registrierte Böck die Subdomain und informierte Microsoft über das Problem – ohne jedoch eine Reaktion zu erhalten.
„Dauerhaft werden wir den Host nicht behalten: Da dort erhebliche Mengen an Traffic anfallen, kostet es Gebühren, die entsprechende Subdomain zu behalten und zu blockieren, auch wenn der entsprechende Service gestoppt ist“, kündigte Bück in seinem Artikel auf Golem.de an. „Wenn wir die Subdomain kündigen und Microsoft bis dahin nicht reagiert ist es möglich, dass sie in Zukunft für Angriffe missbraucht wird.“
Websitebetreibern, die den Meta-Tag einbinden, empfiehlt Böck, diesen zu entfernen und die benötigte XML-Datei selbst zu erzeugen. Betroffen sind aktuell unter anderem der russische Mailhoster Mail.ru, das Blognetzwerk Engadget, Heise Online und Giga.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…