Microsoft is niet meer de eigenaar van een subdomeinnaam dat ervoor moet zorgen dat op RSS gebaseerde nieuwsupdate worden afgeleverd binnen het Windows Live Tiles startmenu in Windows 8 en 10. Dit kan een groot beveiligingsprobleem opleveren, meldt ZDNet.
Volgens de techsite is subdomeinnaam notifications.buildmypinnedsite.com nu in handen van de Duitse securityonderzoeker en -journalist Hanno Böck. Hij ontdekte onlangs dat het betreffende subdomein niet meer functioneerde en alleen een error message liet zien van Azure. De host werd redirected naar Azure, maar het cloudplatform liet zien dat de subdomeinnaam daar niet was geregistreerd. Hierdoor was het voor de securityspecialist betrekkelijk eenvoudig om zelf de domeinnaam daar te registeren.
Subdomein puhst XML-files naar Windows Live Tiles
De subdomeinnaam was onderdeel van de buildmypinnedsite.com-dienst die de techgigant opzette ten tijde van de lancering van Windows 8. Deze dienst zorgt ervoor dat websites live updates kunnen laten zien in de Startpagina’s en -menu’s van Windows-eindgebruikers.
Concreet kunnen webpagina’s een meta tag aan hun source code toevoegen die ervoor zorgt dat eindgebruikers van Microsoft’s Edge-browser in staat stelt om de betreffende pagina vast te pinnen aan hun Startpagina in Windows 8 en aan het Startmenu in Windows 10. Wanneer deze eindgebruikers hun Startpagina of -menu openen, leest de pc of laptop de metatag op de betreffende website en laadt de inhoud daarvan in de Windows Live Tiles.
Het subdomein moet er specifiek voor zorgen dat RSS-feeds in een speciaal XML-format worden vertaald. Dit XML-format moet ervoor zorgen dat de Windows Live Tiles-dienst ervoor zorgt dat er binnen de Startpagina of -menu geanimeerde Live Tiles komen met de gewenste content. Hiermee wilden duizenden websites profiteren van een nieuwe manier om hun content onder de aandacht te brengen.
Compleet open voor hackers
Nu de subdomeinnaam niet bij Azure bleek te zijn geregistreerd, stond de functionaliteit wagenwijd open voor hackers. Deze konden malafide XML-files ontwikkelen die de Windows Live Tiles-dienst in staat stelt om malware code te draaien op computers die nog steeds deze webgebaseerde Live Tiles in hun Startpagina of -menu hebben, aldus ZDNet.
Böck heeft inmiddels Microsoft ingelicht over het securityprobleem, maar de techgigant heeft nog niet gereageerd. Wel wil hij dat de techgigant snel met een oplossing komt, aangezien hij vanuit kostenoverwegingen niet lang van plan is om de registratie aan te houden.
Verwijderen meta tag
Daarnaast adviseert de Duitse securityspecialist websites die dit subdomein gebruiken voor het uploaden van XML-files de meta tag uit de source code van hun websites te verwijderen. Ook kunnen zij zelf speciale XML-files te leveren, zonder dat zij eindgebruikers naar het subdomein te sturen.
23 uur geleden
