Microsoft entledigt sich gerade eines ungeliebten Windows-Features: Die Rede ist von den Live-Kacheln, die mit Windows 8 als Neuerung im Startmenü Einzug hielten, bei der Windows-Community aber nie wirklich auf Begeisterung stießen.
Jetzt schaltet Microsoft die Live-Kacheln also ab - allerdings ist dem Konzern bei der Abschaltung des zugehörigen Webservices ein schwerwiegender Fehler unterlaufen, der die Kacheln für Subdomain-Takeover-Angriffe verwundbar macht.
Denn die Redaktion von Golem hat herausgefunden, dass Microsoft es offenbar versäumt hat, die Nameserver-Einträge des Kachel-Webservices zu löschen.
Ursprünglich konnten Webseiten mithilfe der Windows Live Tiles genannten Funktion dynamisch aus dem Netz geladene Inhalte in den Kacheln abbilden - etwa aktuelle Nachrichtenmeldungen. Welche Inhalte angezeigt werden sollten, legten die Webseiten-Betreiber mithilfe von XML und RSS-Feeds fest.
Windows 10 Updates im Griff - Deaktivieren, verzögern, Bandbreite begrenzen
Bei der Abschaltung dieses Dienstes hat Microsoft aber anscheinend vergessen, die Webseite abzuschalten, über die sich Inhalte für die dynamischen Kacheln bestimmen ließen. Normalerweise leitete diese Seite auf eine Subdomain von Azure weiter, die mittlerweile aber nicht mehr existiert.
Weil die Weiterleitung aber noch in Kraft ist, konnte die Golem-Redaktion über einen eigenen Azure-Account eine entsprechende Subdomain registrieren und mit einem derartigen Takeover-Angriff letztlich die Kontrolle über die in den Kacheln angezeigten Inhalte übernehmen.
Aus Kostengründen kann Golem die Subdomain nicht dauerhaft betreiben beziehungsweise blockieren. Zwar hat die Redaktion Microsoft bereits über das Problem informiert, allerdings bislang noch keine Rückmeldung erhalten.
Wenn Golem die Domain wieder freigibt, ohne das Microsoft reagiert, könne es zu Angriffen über die Windows Live-Kacheln kommen, so die Golem-Redaktion.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.