Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Windows Live Tiles voor sites waren over te nemen door verlopen subdomein

Microsoft heeft een domein laten verlopen waardoor Live Tiles voor websites in het startmenu van Windows over te nemen waren. Een Duitse website wist het domein over te nemen en kon op die manier eigen afbeeldingen en teksten laten zien aan Windows-gebruikers.

Om nieuwe content voor Tiles aan te leveren, konden websites gebruikmaken van de Build a site tile-functie van Microsoft, schrijft Golem. Deze tool vertaalde de rss-feeds van sites naar de benodigde xml-bestanden waar de Tiles op werken. De Build a site tile-website is nog steeds online, maar volgens Golem werkt de tool niet meer.

De tool werkte via een domein van de website dat op Azure geregistreerd was en via een CNAME-entry bereikbaar was. Het oorspronkelijke domein was verlopen, maar de CNAME-entry bleef wel beschikbaar. Golem legde het oorspronkelijke domein vast, en dat bleef beschikbaar via de bestaande url die voor de tool gebruikt werd. Daardoor kan Golem beïnvloeden welke informatie de functie doorstuurt.

Websites hoeven geen gebruik te maken van de online tool om Live Tiles te tonen. Ze kunnen ook zelf hun rss-feed omzetten naar xml, maar dat moeten zij dan handmatig doen. Onder andere de Russische mailprovider mail.ru en Engadget maken er wel gebruik van. Golem testte het overnemen met twee Duitse websites. De site publiceerde ook een video waarin de ontdekkers vier sites via Edge vastpinnen aan het startscherm. Via het overgenomen subdomein verschijnen daardoor teksten als pwn en h4ck3d op de tegels. Voor zover bekend is het niet mogelijk het lek te misbruiken om code te injecteren. "Maar het probleem is wel dat het proces niet uitgebreid gedocumenteerd is", vertelt de journalist die het ontdekte aan Tweakers.

Windows Live Tiles zijn de grote iconen die onder meer in het startmenu van Windows 10 worden gebruikt. Deze iconen kunnen nieuwe informatie laten zien, bijvoorbeeld over het weer of het laatste nieuws. De Live Tiles werden voor het eerst geïntroduceerd in Windows Phone 7. Later verschenen ze ook in Windows 8 en in Windows 10. Op de desktop werden de Live Tiles nooit erg populair. Er zijn zelfs signalen dat Microsoft de functie in de toekomst helemaal uit Windows schrapt.

De website is nog steeds in bezit van de journalist. "Ik heb de service via Azure gestopt zodat er alleen nog een foutcode verschijnt", vertelt hij. Wel schrijft hij in het artikel dat 'iedereen met het lek aan de slag kan als het domein straks weer vrijkomt.' Hij geeft bovendien ook aan dat het domein niet voor altijd in bezit te blijven houden vanwege de oplopende kosten. Microsoft zou afgelopen maandag pas op de hoogte zijn gesteld van het lek, maar nog niet hebben gereageerd. Ook Tweakers heeft Microsoft om een reactie gevraagd.

Door Tijs Hofmans

Redacteur

17-04-2019 • 14:26

40 Linkedin Google+

Reacties (40)

Wijzig sortering
Hoe laat je een sub-domain verlopen? Een domain koop je voor een bepaalde tijd. De records daarin zijn gekoppeld aan dit domain en verlopen niet tussentijds. Beetje warrig verhaal.

edit: Thanks voor de reacties. Jammer dat Tweakers hier niet dieper op in ging want dit is zeker wel van toegevoegde waarde. Het zorgt voor een stukje kwaliteit iets beter dan het nivo van De Telegraaf.

tldr; MS heeft een Cloud Service verwijderd zodat er een FQDN vrij kwam. De journalist heeft toen een nieuwe Cloud Service aangemaakt met dezelfde naam en heeft daardoor de oude FQDN te pakken gekregen.

Fijn dat dit zo gebeurde want ik heb het altijd heel ergelijk gevonden dat er een koppeling zit tussen de naam van mijn entiteiten (Cloud Services, Web Apps, eigenlijk alles) en de DNS naam. Dit heeft er voor gezorgd dat wij nu creatieve naamgevingsregels hebben om er maar voor te zorgen dat we geen collisions krijgen met andere klanten van Azure (AWS doet overigens precies hetzelfde). Met een beetje geluk gaat MS nu dit stukje beleid aanpassen en het klant specifiek maken (wat het altijd al had moeten zijn vind ik zelf).

[Reactie gewijzigd door Yaz op 17 april 2019 15:15]

Het staat niet helemaal duidelijk in het artikel. Het ging om het subdomein: notifications.buildmypinnedsite.com dat verwijst naar Microsft Azure. Het subdomein was echter niet (meer) gekoppeld aan aan een Azure omgeving, waardoor je op een error pagina van Azure kwam. Wat ze vervolgens voor elkaar hebben gekregen is met hun eigen Azure account dit subdomein te "claimen", zodat het aan hun Azure omgeving gekoppeld kon worden. Hoe ze dat precies hebben gedaan heb ik nog niet kunnen achterhalen, omdat dat artikel in het Duits is.
Voorbeeldje met Amazon AWS (want daar heb ik iets meer ervaring mee). Stel je voor ik maak een bucket op S3 met de naam 'mybucket'. Deze is vervolgens beschikbaar op `mybucket.s3.eu-central-1.amazonaws.com`. Vervolgens vind ik dit niet heel erg leesbaar en maak een CNAME in mijn DNS van 'databucket.example.org' naar die S3 bucket. Die bucket bevat dan belangrijke informatie voor mijn applicatie.

Vervolgens denk ik dat ik die bucket niet meer nodig heb, want whatever we doen hier niets meer mee. Het programma dat dingen opvraagt aan `databucket.example.org` hoeft niet te worden aangepast en blijft gewoon werken. En ik gooi de bucket weg. Maar ik vergeet dat die CNAME bestaat. `mybucket.s3.eu-central-1.amazonaws.com` is no more.

Harry van de overkant heeft vervolgens een bucket nodig en hij maakt een nieuwe bucket aan. Omdat ik mijn bucket heb verwijderd kan hij nu `mybucket.s3.eu-central-1.amazonaws.com` aanmaken. En wat blijkt, mijn CNAME staat nog ingesteld op dat adres dus vanaf nu is de nieuwe bucket van Harry met de inhoud van Harry te bereiken via `databucket.example.org`. Hij merkt dit en vervangt mijn belangrijke informatie die in de applicatie werd ingeladen en de schade is gemaakt.

Dit principe is overal toe te passen als je een CNAME instelt naar een externe dienst en dan de CNAME daarna vergeet als je de resource erachter verwijderd hebt.

edit: overigens zou de naam van een echte bucket 'databucket.example.org' moeten zijn om dit te daadwerkelijk te laten werken maar dat werd wat verwarrend (https://docs.aws.amazon.c...t/dev/VirtualHosting.html)

[Reactie gewijzigd door se_bastiaan op 17 april 2019 15:12]

Deepl.com is een leuke vertaler voor zoiets
Het domeinnaam notifications.buildmypinnedsite.com is wat gebruikt wordt voor de live tiles. Deze staat zo ingesteld dat het een CNAME is naar waws-prod-dm1-135.cloudapp.net. Het gedeelte waws-prod-dm1-135 is zelf te kiezen als je een Azure Cloud Service aanmaakt en die CNAME is dan bedoelt om het een leesbare domeinnaam te maken (https://docs.microsoft.co...stom-domain-name-portal).

Microsoft heeft waws-prod-dm1-135 waarschijnlijk verwijderd in de configuratie in hun eigen Azure. Dus waws-prod-dm1-135.cloudapp.net kwam vrij en dan kan iedereen een service aanmaken die die domeinnaam gebruikt.

[Reactie gewijzigd door se_bastiaan op 17 april 2019 15:06]

Volgens de bron ging het om een Azure subdomain:

Azure subdomain could be re-registered
The takeover works via a so-called CNAME nameserver entry. It redirects all requests for the host to the unregistered Azure subdomain. With an ordinary Azure account, we were able to register that subdomain and add the corresponding host name. Thus we were able to control which content is served on that host.


Ik heb geen ervaring met Azure, maar volgens mij werken ze anders dan klassieke domeinnamen zoals jij bedoelt?
Dank voor de opheldering allen, stuk is aangepast!
Nee, het subdomein was inderdaad niet verlopen. Ze hebben blijkbaar de CNAME-entry uit de DNS verwijderd, en het subdomein kon geregistreerd worden bij Azure. Die is nu geregistreerd door een ander die er nu dus misbruik van kan maken.

Edit: blijkbaar het originele artikel verkeerd begrepen. Zie het antwoord van se_bastiaan voor de correcte werkwijze.

[Reactie gewijzigd door maussie95 op 17 april 2019 16:08]

Microsoft zou afgelopen maandag pas op de hoogte zijn gesteld van het lek
En nu al publiek in gaan met zijn bevindingen...
Van mij betreft ben je gewoon een hacker.
1 niet gewacht op Microsoft reactie.
2 op zijn minst een tijdje gewacht tot ze het fixen.
Ja, maar zo'n domein wordt voor een jaar vastgelegd. Daarvoor kunnen anderen er niets mee doen. Stel dat ze dit domein nu al 3 maanden hebben, dan heeft microsoft nog steeds 9 maanden om het lek op te lossen.

Bovendien is dit, voor zover ik lees, niet super schadelijk voor je computer. Eigenlijk is het enige nadeel dat er bijvoorbeeld schokkende afbeeldingen kunnen worden geplaatst, waar je kind vaak deze pc gebruikt.
Eigenlijk is het enige nadeel dat er bijvoorbeeld schokkende afbeeldingen kunnen worden geplaatst, waar je kind vaak deze pc gebruikt.
Worst-case ben je ineens schuldig aan het hebben van kinderporno op je computer..
In dat geval zou Golem schuldig zijn aan het verspreiden ervan naar vele computers. Lijkt mij niet zo verstandig dus (zeker niet na bekendmaking ;-)).
Volgens mij word de feed van de tiles niet opgeslagen op deze manier, kan het natuurlijk fout hebben maar denk niet dat je verandwoordelijk gehouden kan worden voor een situatie zoals u beschrijft met deze tegels,, ik ben blij dat ik de complete appstore altijd direct via powers hell verwijder dus die livetiles die zie ik hooguit 3 minuten tijdens het instellen van Windows en daarna nooit meer
Ja, maar zo'n domein wordt voor een jaar vastgelegd. Daarvoor kunnen anderen er niets mee doen. Stel dat ze dit domein nu al 3 maanden hebben, dan heeft microsoft nog steeds 9 maanden om het lek op te lossen.
Precies dit. Dit betekent dat in die tijd niet een andere partij het domein kan registreren. Ik kan namelijk garanderen dat op z'n minst een domain squatter het domein had gesnaaid als de journalist wat langer gewacht had.
Even lezen het gaat niet over domeinen maar over service namen die kan je elk moment wijzigen opzeggen
Alsnog is het beter dat deze journalist dit domein nu bezit dan iemand die het ècht wil misbruiken. Op dit moment heeft hij het domein nog, en Microsoft is waarschijnlijk al bezig met het oplossen.
Als Microsoft er mee bezig is om het op te lossen dan hadden een reactie kunnen geven dat ze er naar aan het kijken waren... Bij een groot bedrijf als Microsoft vind ik een reactie binnen 24 uur wel horen (ook al zou dit een 'we gaan er naar kijken' reactie zijn).

Neemt niet weg dat de journalist alsnog wel erg snel is. Daarnaast vind ik de teksten pwn en h4ck3d onprofessioneel overkomen.
Juist bij een groot bedrijf als microsoft duurt een reactie langer, die melding van hem komt in een grote hoop en dan moeten mensen er dus nog naar kijken en beoordelen en dus naar hoger escaleren.
Ik snap ook niet wat hackers hebben met die vreemde manier van schrijven.
Het maniakale gebruik er van komt van BBS'n af volgens mij.
Er waren vroeger hele bbs'n met ALLE text in 1337 5p34k.
3lK W00Rd! 0M g3K v4N 73 W0Rd3n.
De schade valt ook relatief mee. Je kunt louter het uiterlijk van de tile ermee aanpassen.
Tot je bepaalde payload aan de image weet toe te voegen, dan is het een ander verhaal.
Dan is dat een compleet losstaande hack en ook een gevaar zonder dit issue.
Maar dat is dan een algemeen probleem, immers kunnen externen dat dan ook nu al.
Je kùnt ook op een tile klikken/drukken en dan opent de app, meestal naar een site, en daar kan van alles op je afkomen natuurlijk.

Toevallig gister een verse W10 geïnstalleerd en de nieuws-app deed ook raar. ;)
Het idee van in het geheim wachten op een fix is voorkomen dat kwaadwillenden hetzelfde lek misbruiken voordat die fix er is.
Dat is in dit geval niet aan de orde, omdat het om een enkel domein gaat dat de journalist zelf nog in handen heeft, dus gebruikers lopen geen risico.
@raro007 "Van mij betreft ben je gewoon een hacker. "
Er is niets gehacked.
Er is niet ingebroken.
Een domein was verlopen en een journalist heeft dat daarom kunnen overnemen.
Prima manier van doen m.i.
Van mij betreft ben je gewoon een hacker.
Natuurlijk, maar bedoel je white, gr[ae]{1}y of black hat? :+

[Reactie gewijzigd door The Zep Man op 17 april 2019 14:45]

Waarom zou hij moeten wachten tot ze het fixen?
1) het kan niet worden misbruikt
2) degene die een foutmelding krijgen zoeken zich scheel waarom ze deze krijgen

De vraag is meer waarom Microsoft nog niet gereageerd, ze weten het immers al vanaf maandag. (of waarschijnlijk al eerder door de monitoring systemen die Microsoft draait)
ow ow arme microsoft ze ver...... hun eigen systeem door iets op dns niveau op te lossen en vervolgens hun administratie zo te verprutsen dat dit mogelijk was.

Vervolgens wordt er iets over geschreven en dan ben je ineens een vieze vuile booswichtige hacker?

het valt me nog mee dat ie geen google adds heeft geinjecteerd dan had ie de kosten voor de domain ook terug kunnen verdienen;)

zolang er geen code wordt uitgevoerd, of zeer schadelijke plaatjes worden verspreid is er wat mij betreft weinig aan de hand.
edit:
zelfs al zou hij ECHT 'relatief' onschuldige reclame hebben geinjecteerd dan nog zou ik niet willen spreken van hacken. Al zou je wellicht kunnen claimen dat de grens dan wel heel dicht werd genaderd.

[Reactie gewijzigd door i-chat op 17 april 2019 14:50]

Maar áls 'ie het zou misbruiken, dan is het toch geen hacken maar computervredebreuk?
Microsoft had beter op moeten letten? Dit is een site die ze zelf in beheer hadden lijkt mij toch niet moeilijk om dat domein of fatsoenlijk uit te faseren (Doormiddel van een update in windows) of gewoon te houden?
Van mij betreft ben je gewoon een hacker.
Ja Misschien, en?
Is daarmee deze kwetsbaarheid opgelost?

[Reactie gewijzigd door Olaf van der Spek op 17 april 2019 14:43]

Lijkt wel hip te zijn tegenwoordig om je domein naam te laten verlopen :+
Precies, OpenShell dus (classicshell).
Ik zag dit gisteren ook opeens in mijn start-menu. Ik bleek de Blendle-app nog steeds op mijn pc te hebben staan, en ook daarvan was de live-tile 'gehackt'. Dit is echter een app uit de Store, en niet allen maar een website die live-tiles ondersteunt. Kennelijk kunnen apps hier dus ook last van hebben.
Het idee van een live tile heeft mij nooit gestoord, wel de uitvoering ervan. Het is nooit up to date. Als je wilt zien wat het weer is moet je toch de app openen om de actuele temperatuur te zien. Hoop niet dat ze het volledig eruit slopen, gewoon voor de meeste tegels standaard uit zetten of beter bruikbaar maken..


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True