Windows Live Tiles voor sites waren over te nemen door verlopen subdomein

Microsoft heeft een domein laten verlopen waardoor Live Tiles voor websites in het startmenu van Windows over te nemen waren. Een Duitse website wist het domein over te nemen en kon op die manier eigen afbeeldingen en teksten laten zien aan Windows-gebruikers.

Om nieuwe content voor Tiles aan te leveren, konden websites gebruikmaken van de Build a site tile-functie van Microsoft, schrijft Golem. Deze tool vertaalde de rss-feeds van sites naar de benodigde xml-bestanden waar de Tiles op werken. De Build a site tile-website is nog steeds online, maar volgens Golem werkt de tool niet meer.

De tool werkte via een domein van de website dat op Azure geregistreerd was en via een CNAME-entry bereikbaar was. Het oorspronkelijke domein was verlopen, maar de CNAME-entry bleef wel beschikbaar. Golem legde het oorspronkelijke domein vast, en dat bleef beschikbaar via de bestaande url die voor de tool gebruikt werd. Daardoor kan Golem beïnvloeden welke informatie de functie doorstuurt.

Websites hoeven geen gebruik te maken van de online tool om Live Tiles te tonen. Ze kunnen ook zelf hun rss-feed omzetten naar xml, maar dat moeten zij dan handmatig doen. Onder andere de Russische mailprovider mail.ru en Engadget maken er wel gebruik van. Golem testte het overnemen met twee Duitse websites. De site publiceerde ook een video waarin de ontdekkers vier sites via Edge vastpinnen aan het startscherm. Via het overgenomen subdomein verschijnen daardoor teksten als pwn en h4ck3d op de tegels. Voor zover bekend is het niet mogelijk het lek te misbruiken om code te injecteren. "Maar het probleem is wel dat het proces niet uitgebreid gedocumenteerd is", vertelt de journalist die het ontdekte aan Tweakers.

Windows Live Tiles zijn de grote iconen die onder meer in het startmenu van Windows 10 worden gebruikt. Deze iconen kunnen nieuwe informatie laten zien, bijvoorbeeld over het weer of het laatste nieuws. De Live Tiles werden voor het eerst geïntroduceerd in Windows Phone 7. Later verschenen ze ook in Windows 8 en in Windows 10. Op de desktop werden de Live Tiles nooit erg populair. Er zijn zelfs signalen dat Microsoft de functie in de toekomst helemaal uit Windows schrapt.

De website is nog steeds in bezit van de journalist. "Ik heb de service via Azure gestopt zodat er alleen nog een foutcode verschijnt", vertelt hij. Wel schrijft hij in het artikel dat 'iedereen met het lek aan de slag kan als het domein straks weer vrijkomt.' Hij geeft bovendien ook aan dat het domein niet voor altijd in bezit te blijven houden vanwege de oplopende kosten. Microsoft zou afgelopen maandag pas op de hoogte zijn gesteld van het lek, maar nog niet hebben gereageerd. Ook Tweakers heeft Microsoft om een reactie gevraagd.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 17-04-2019 14:2640

17-04-2019 • 14:26

40 Linkedin

Lees meer

Nieuwssites tonen porno bij oude artikelen door verlopen domein van Vidme Nieuws van 23 juli 2021
Microsoft toont Windows 10-startmenu met 'minder aanwezige Live Tiles' Nieuws van 4 maart 2020
Downloadlinks voor eerste versies Edge voor macOS zijn al actief Nieuws van 7 mei 2019
Onderzoeker vindt zero-daykwetsbaarheid in Internet Explorer 11 Nieuws van 15 april 2019
Microsoft brengt Edge-browserversies met Chromium-engine uit voor Windows 10 Nieuws van 8 april 2019
Nieuwe Redstone 5-build Windows 10 bevat donker thema voor verkenner Nieuws van 10 mei 2018
Meer producten en artikelen
Internettoegang Microsoft

Reacties (40)

-Moderatie-faq
40
38
29
5
3
4
Wijzig sortering
Yaz
17 april 2019 14:38
Hoe laat je een sub-domain verlopen? Een domain koop je voor een bepaalde tijd. De records daarin zijn gekoppeld aan dit domain en verlopen niet tussentijds. Beetje warrig verhaal.

edit: Thanks voor de reacties. Jammer dat Tweakers hier niet dieper op in ging want dit is zeker wel van toegevoegde waarde. Het zorgt voor een stukje kwaliteit iets beter dan het nivo van De Telegraaf.

tldr; MS heeft een Cloud Service verwijderd zodat er een FQDN vrij kwam. De journalist heeft toen een nieuwe Cloud Service aangemaakt met dezelfde naam en heeft daardoor de oude FQDN te pakken gekregen.

Fijn dat dit zo gebeurde want ik heb het altijd heel ergelijk gevonden dat er een koppeling zit tussen de naam van mijn entiteiten (Cloud Services, Web Apps, eigenlijk alles) en de DNS naam. Dit heeft er voor gezorgd dat wij nu creatieve naamgevingsregels hebben om er maar voor te zorgen dat we geen collisions krijgen met andere klanten van Azure (AWS doet overigens precies hetzelfde). Met een beetje geluk gaat MS nu dit stukje beleid aanpassen en het klant specifiek maken (wat het altijd al had moeten zijn vind ik zelf).

[Reactie gewijzigd door Yaz op 17 april 2019 15:15]

ThomasG
@Yaz17 april 2019 14:50
Het staat niet helemaal duidelijk in het artikel. Het ging om het subdomein: notifications.buildmypinnedsite.com dat verwijst naar Microsft Azure. Het subdomein was echter niet (meer) gekoppeld aan aan een Azure omgeving, waardoor je op een error pagina van Azure kwam. Wat ze vervolgens voor elkaar hebben gekregen is met hun eigen Azure account dit subdomein te "claimen", zodat het aan hun Azure omgeving gekoppeld kon worden. Hoe ze dat precies hebben gedaan heb ik nog niet kunnen achterhalen, omdat dat artikel in het Duits is.
Cebby
@ThomasG17 april 2019 15:05
Voorbeeldje met Amazon AWS (want daar heb ik iets meer ervaring mee). Stel je voor ik maak een bucket op S3 met de naam 'mybucket'. Deze is vervolgens beschikbaar op `mybucket.s3.eu-central-1.amazonaws.com`. Vervolgens vind ik dit niet heel erg leesbaar en maak een CNAME in mijn DNS van 'databucket.example.org' naar die S3 bucket. Die bucket bevat dan belangrijke informatie voor mijn applicatie.

Vervolgens denk ik dat ik die bucket niet meer nodig heb, want whatever we doen hier niets meer mee. Het programma dat dingen opvraagt aan `databucket.example.org` hoeft niet te worden aangepast en blijft gewoon werken. En ik gooi de bucket weg. Maar ik vergeet dat die CNAME bestaat. `mybucket.s3.eu-central-1.amazonaws.com` is no more.

Harry van de overkant heeft vervolgens een bucket nodig en hij maakt een nieuwe bucket aan. Omdat ik mijn bucket heb verwijderd kan hij nu `mybucket.s3.eu-central-1.amazonaws.com` aanmaken. En wat blijkt, mijn CNAME staat nog ingesteld op dat adres dus vanaf nu is de nieuwe bucket van Harry met de inhoud van Harry te bereiken via `databucket.example.org`. Hij merkt dit en vervangt mijn belangrijke informatie die in de applicatie werd ingeladen en de schade is gemaakt.

Dit principe is overal toe te passen als je een CNAME instelt naar een externe dienst en dan de CNAME daarna vergeet als je de resource erachter verwijderd hebt.

edit: overigens zou de naam van een echte bucket 'databucket.example.org' moeten zijn om dit te daadwerkelijk te laten werken maar dat werd wat verwarrend (https://docs.aws.amazon.c...t/dev/VirtualHosting.html)

[Reactie gewijzigd door Cebby op 17 april 2019 15:12]

justgopown
@ThomasG17 april 2019 15:01
Deepl.com is een leuke vertaler voor zoiets
Cebby
@Yaz17 april 2019 14:51
Het domeinnaam notifications.buildmypinnedsite.com is wat gebruikt wordt voor de live tiles. Deze staat zo ingesteld dat het een CNAME is naar waws-prod-dm1-135.cloudapp.net. Het gedeelte waws-prod-dm1-135 is zelf te kiezen als je een Azure Cloud Service aanmaakt en die CNAME is dan bedoelt om het een leesbare domeinnaam te maken (https://docs.microsoft.co...custom-domain-name-portal).

Microsoft heeft waws-prod-dm1-135 waarschijnlijk verwijderd in de configuratie in hun eigen Azure. Dus waws-prod-dm1-135.cloudapp.net kwam vrij en dan kan iedereen een service aanmaken die die domeinnaam gebruikt.

[Reactie gewijzigd door Cebby op 17 april 2019 15:06]

biglia
@Yaz17 april 2019 14:47
Volgens de bron ging het om een Azure subdomain:

Azure subdomain could be re-registered
The takeover works via a so-called CNAME nameserver entry. It redirects all requests for the host to the unregistered Azure subdomain. With an ordinary Azure account, we were able to register that subdomain and add the corresponding host name. Thus we were able to control which content is served on that host.

Ik heb geen ervaring met Azure, maar volgens mij werken ze anders dan klassieke domeinnamen zoals jij bedoelt?
AuteurTijsZonderH
@Yaz17 april 2019 16:20
Dank voor de opheldering allen, stuk is aangepast!
maussie95
@Yaz17 april 2019 14:51
Nee, het subdomein was inderdaad niet verlopen. Ze hebben blijkbaar de CNAME-entry uit de DNS verwijderd, en het subdomein kon geregistreerd worden bij Azure. Die is nu geregistreerd door een ander die er nu dus misbruik van kan maken.

Edit: blijkbaar het originele artikel verkeerd begrepen. Zie het antwoord van se_bastiaan voor de correcte werkwijze.

[Reactie gewijzigd door maussie95 op 17 april 2019 16:08]

raro007
17 april 2019 14:33
Microsoft zou afgelopen maandag pas op de hoogte zijn gesteld van het lek
En nu al publiek in gaan met zijn bevindingen...
Van mij betreft ben je gewoon een hacker.
1 niet gewacht op Microsoft reactie.
2 op zijn minst een tijdje gewacht tot ze het fixen.
Jantje2000
@raro00717 april 2019 14:37
Ja, maar zo'n domein wordt voor een jaar vastgelegd. Daarvoor kunnen anderen er niets mee doen. Stel dat ze dit domein nu al 3 maanden hebben, dan heeft microsoft nog steeds 9 maanden om het lek op te lossen.

Bovendien is dit, voor zover ik lees, niet super schadelijk voor je computer. Eigenlijk is het enige nadeel dat er bijvoorbeeld schokkende afbeeldingen kunnen worden geplaatst, waar je kind vaak deze pc gebruikt.
Olaf van der Spek
@Jantje200017 april 2019 14:41
Eigenlijk is het enige nadeel dat er bijvoorbeeld schokkende afbeeldingen kunnen worden geplaatst, waar je kind vaak deze pc gebruikt.
Worst-case ben je ineens schuldig aan het hebben van kinderporno op je computer..
Xirt
@Olaf van der Spek17 april 2019 14:47
In dat geval zou Golem schuldig zijn aan het verspreiden ervan naar vele computers. Lijkt mij niet zo verstandig dus (zeker niet na bekendmaking ;-)).
Unsocial Pixel
@Olaf van der Spek17 april 2019 14:49
Volgens mij word de feed van de tiles niet opgeslagen op deze manier, kan het natuurlijk fout hebben maar denk niet dat je verandwoordelijk gehouden kan worden voor een situatie zoals u beschrijft met deze tegels,, ik ben blij dat ik de complete appstore altijd direct via powers hell verwijder dus die livetiles die zie ik hooguit 3 minuten tijdens het instellen van Windows en daarna nooit meer
stuiterveer
@Jantje200017 april 2019 14:48
Ja, maar zo'n domein wordt voor een jaar vastgelegd. Daarvoor kunnen anderen er niets mee doen. Stel dat ze dit domein nu al 3 maanden hebben, dan heeft microsoft nog steeds 9 maanden om het lek op te lossen.
Precies dit. Dit betekent dat in die tijd niet een andere partij het domein kan registreren. Ik kan namelijk garanderen dat op z'n minst een domain squatter het domein had gesnaaid als de journalist wat langer gewacht had.
Scriptkid
@Jantje200017 april 2019 15:54
Even lezen het gaat niet over domeinen maar over service namen die kan je elk moment wijzigen opzeggen
MarnickS
@raro00717 april 2019 14:36
Alsnog is het beter dat deze journalist dit domein nu bezit dan iemand die het ècht wil misbruiken. Op dit moment heeft hij het domein nog, en Microsoft is waarschijnlijk al bezig met het oplossen.
EJlol
@MarnickS17 april 2019 14:44
Als Microsoft er mee bezig is om het op te lossen dan hadden een reactie kunnen geven dat ze er naar aan het kijken waren... Bij een groot bedrijf als Microsoft vind ik een reactie binnen 24 uur wel horen (ook al zou dit een 'we gaan er naar kijken' reactie zijn).

Neemt niet weg dat de journalist alsnog wel erg snel is. Daarnaast vind ik de teksten pwn en h4ck3d onprofessioneel overkomen.
SuperDre
@EJlol17 april 2019 16:18
Juist bij een groot bedrijf als microsoft duurt een reactie langer, die melding van hem komt in een grote hoop en dan moeten mensen er dus nog naar kijken en beoordelen en dus naar hoger escaleren.
Zezura
@EJlol17 april 2019 15:03
Ik snap ook niet wat hackers hebben met die vreemde manier van schrijven.
MrMonkE
@Zezura18 april 2019 09:17
Het maniakale gebruik er van komt van BBS'n af volgens mij.
Er waren vroeger hele bbs'n met ALLE text in 1337 5p34k.
3lK W00Rd! 0M g3K v4N 73 W0Rd3n.
Zezura
@MrMonkE18 april 2019 12:48
Dat wist ik niet.
.oisyn
@raro00717 april 2019 14:43
De schade valt ook relatief mee. Je kunt louter het uiterlijk van de tile ermee aanpassen.
hottestbrain
@.oisyn17 april 2019 15:27
Tot je bepaalde payload aan de image weet toe te voegen, dan is het een ander verhaal.
.oisyn
@hottestbrain17 april 2019 15:28
Dan is dat een compleet losstaande hack en ook een gevaar zonder dit issue.
SuperDre
@hottestbrain17 april 2019 16:20
Maar dat is dan een algemeen probleem, immers kunnen externen dat dan ook nu al.
ToolBee
@.oisyn17 april 2019 17:00
Je kùnt ook op een tile klikken/drukken en dan opent de app, meestal naar een site, en daar kan van alles op je afkomen natuurlijk.

Toevallig gister een verse W10 geïnstalleerd en de nieuws-app deed ook raar. ;)
rigrig
@raro00717 april 2019 14:40
Het idee van in het geheim wachten op een fix is voorkomen dat kwaadwillenden hetzelfde lek misbruiken voordat die fix er is.
Dat is in dit geval niet aan de orde, omdat het om een enkel domein gaat dat de journalist zelf nog in handen heeft, dus gebruikers lopen geen risico.
daan!
@raro00717 april 2019 14:41
@raro007 "Van mij betreft ben je gewoon een hacker. "
Er is niets gehacked.
Er is niet ingebroken.
Een domein was verlopen en een journalist heeft dat daarom kunnen overnemen.
Prima manier van doen m.i.
The Zep Man
@raro00717 april 2019 14:45
Van mij betreft ben je gewoon een hacker.
Natuurlijk, maar bedoel je white, gr[ae]{1}y of black hat? :+

[Reactie gewijzigd door The Zep Man op 17 april 2019 14:45]

Goof2000
@raro00717 april 2019 14:46
Waarom zou hij moeten wachten tot ze het fixen?
1) het kan niet worden misbruikt
2) degene die een foutmelding krijgen zoeken zich scheel waarom ze deze krijgen

De vraag is meer waarom Microsoft nog niet gereageerd, ze weten het immers al vanaf maandag. (of waarschijnlijk al eerder door de monitoring systemen die Microsoft draait)
i-chat
@raro00717 april 2019 14:47
ow ow arme microsoft ze ver...... hun eigen systeem door iets op dns niveau op te lossen en vervolgens hun administratie zo te verprutsen dat dit mogelijk was.

Vervolgens wordt er iets over geschreven en dan ben je ineens een vieze vuile booswichtige hacker?

het valt me nog mee dat ie geen google adds heeft geinjecteerd dan had ie de kosten voor de domain ook terug kunnen verdienen;)

zolang er geen code wordt uitgevoerd, of zeer schadelijke plaatjes worden verspreid is er wat mij betreft weinig aan de hand.
edit:
zelfs al zou hij ECHT 'relatief' onschuldige reclame hebben geinjecteerd dan nog zou ik niet willen spreken van hacken. Al zou je wellicht kunnen claimen dat de grens dan wel heel dicht werd genaderd.

[Reactie gewijzigd door i-chat op 17 april 2019 14:50]

TheVivaldi
@i-chat17 april 2019 17:28
Maar áls 'ie het zou misbruiken, dan is het toch geen hacken maar computervredebreuk?
Webgnome
@raro00717 april 2019 15:44
Microsoft had beter op moeten letten? Dit is een site die ze zelf in beheer hadden lijkt mij toch niet moeilijk om dat domein of fatsoenlijk uit te faseren (Doormiddel van een update in windows) of gewoon te houden?
Olaf van der Spek
@raro00717 april 2019 14:43
Van mij betreft ben je gewoon een hacker.
Ja Misschien, en?
Is daarmee deze kwetsbaarheid opgelost?

[Reactie gewijzigd door Olaf van der Spek op 17 april 2019 14:43]

HKLM_
17 april 2019 14:46
Lijkt wel hip te zijn tegenwoordig om je domein naam te laten verlopen :+
JustFogMaxi
17 april 2019 14:48
Precies, OpenShell dus (classicshell).
EricWN
17 april 2019 15:17
Ik zag dit gisteren ook opeens in mijn start-menu. Ik bleek de Blendle-app nog steeds op mijn pc te hebben staan, en ook daarvan was de live-tile 'gehackt'. Dit is echter een app uit de Store, en niet allen maar een website die live-tiles ondersteunt. Kennelijk kunnen apps hier dus ook last van hebben.
TJRef
17 april 2019 16:07
Het idee van een live tile heeft mij nooit gestoord, wel de uitvoering ervan. Het is nooit up to date. Als je wilt zien wat het weer is moet je toch de app openen om de actuele temperatuur te zien. Hoop niet dat ze het volledig eruit slopen, gewoon voor de meeste tegels standaard uit zetten of beter bruikbaar maken..

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee