Live Tiles: Inhalt von Windows-Kacheln lässt sich manipulieren

Michael Schäfer
33 Kommentare
Live Tiles: Inhalt von Windows-Kacheln lässt sich manipulieren
Bild: geralt | CC0 1.0

Windows 8 kann Website-Inhalte per Live-Kachel direkt auf dem Desktop anzeigen. Die Inhalte stellen Websites entweder direkt als XML-Datei bereit oder nutzen einen Microsoft-Dienst, der sie aus einem RSS-Feed generiert. Durch einen Fehler Microsofts war es nun möglich, die von dem Dienst ausgelieferten Inhalte zu manipulieren.

Der Dienst Build My Pinned Site sollte Websites das Anbieten einer Live-Kachel so einfach wie möglich machen: Anstatt die erforderlichen XML-Dateien selbst zu generieren und fortlaufend zu aktualisieren, konnten Websites diese Aufgabe optional ganz dem Microsoft-Dienst überlassen. Jener konnte ausgehend von einem – meist ohnehin vorhandenen – RSS-Feed das Live-Kachel-XML generieren und es unter einer URL auf dem Host „notifications.buildmypinnedsite.com“ bereitstellen.

Subdomain-Takeover-Angriff

Da Microsoft den Dienst in der hauseigenen Azure-Cloud hosten wollte, verwies der Host „notifications.buildmypinnedsite.com“ per CNAME-Eintrag auf eine Azure-Subdomain – soweit nichts ungewöhnliches. Allerdings hat Microsoft diese Subdomain offenbar vor einiger Zeit gelöscht (und den Dienst somit faktisch eingestellt), es dabei aber versäumt, auch den von „notifications.buildmypinnedsite.com“ auf diese Subdomain verweisenden CNAME-Eintrag zu entfernen.

So war es Hanno Böck, dem Finder der Lücke, möglich, die Subdomain über seinen eigenen Azure-Account wieder zu registrieren. Aufgrund des nach wie vor bestehenden CNAME-Eintrags erlangte er dadurch die Kontrolle über den Host „notifications.buildmypinnedsite.com“ und konnte alle von Windows-8-Computern dorthin gesendeten Anfragen einsehen und hätte theoretisch auch Antworten manipulieren können.

Zu den betroffenen Webseiten gehörten unter anderem der russische Mailhoster Mail.ru, das Blognetzwerk Engadget sowie die deutschen Seiten Heise Online und Giga. Böck rät Websites, die Unterstützung für Live-Kacheln entweder zu entfernen oder das XML selbst zu generieren. Die ComputerBase-Kachel für Windows 8.1 hat die XML-Dateien von Anfang an direkt von den ComputerBase-Servern geladen.

Microsoft schweigt

Böck hat Microsoft über die gefundene Lücke informiert, das Unternehmen hat bisher jedoch keine Reaktion gezeigt. Die Subdomain ist bisher nicht wieder freigegeben worden, da diese anschließend wieder neu registriert werden und somit für Angriffe missbraucht werden kann. Böck hofft jedoch auf eine Rückmeldung seitens Microsoft, da das Blockieren der Subdomain durch den anfallenden Traffic nicht unerhebliche Gebühren nach sich zieht. Dauerhaft will der die Subdomain daher nicht behalten.