Microsoft утратила контроль над механизмом отображения новостей и обновлений в «плитках», которые пользователь видит при открытии меню «Пуск» в Windows 10. Оставшийся без контроля поддомен могут захватить злоумышленники. Тогда они начнут наполнять «плитки» контентом на свое усмотрение.
Как сообщается, субдомен, который работал с сервисом, оказался из-за этого уязвимым. Брешь позволяла выводить в «плитках» любые изображения, текст и так далее. Это реализуется с помощью специального формата XML-файлов, который по умолчанию позволяет выводить данные в плитки, в том числе из RSS-каналов. В своё время корпорация Майкрософт запустила службу, которая автоматически преобразовывала RSS-каналы в специальный формат XML.
Всё это позволяло транслировать на веб-страницы любые данные. Важно отметить, что в числе веб-страниц, использующих несуществующую службу от Microsoft, были российский почтовый провайдер Mail.ru, издание Engadget, а также немецкие новостные сайты Heise Online и Giga.
Пока что Microsoft не ответила на запросы СМИ по этому поводу и не прокомментировала данные, потому не ясно, может ли компания сама справиться с проблемой. Однако корпорации из Редмонда стоило бы сделать это поскорее, поскольку использование субдомена может не ограничиться относительно безобидными шутками с заменой текста.
К такому же выводу пришел немецкий исследователь безопасности и сотрудник издания Golem.de Ханно Бек (Hanno Böck) – Microsoft больше не контролирует поддомен, который используется для показа обновлений и новостей в так называемых «живых плитках» (Live Tiles) Windows 8 и Windows 10.
Благодаря «живым плиткам» различные ресурсы могут показывать пользователю свои новости и обновления прямо в меню «Пуск», если это Windows 10, и на рабочем столе, если это Windows 8. Бек пишет, что «плитки» никогда не были особо популярны у пользователей, и что следующая версия системы под названием Windows Lite должна появиться уже без них.
Как это работает
Сервис, который обеспечивает показ обновлений и новостей в «плитках», называется buildmypinnedsite.com. Если сайт хочет доносить до пользователя свои обновления через «плитки», ему достаточно добавить в код соответствующий метатег. Функция называется Windows Live Tiles.
Для передачи веб-контента, который регулярно обновляется, сайты используют формат RSS. У сервиса Microsoft не было возможности работать со всеми существующими разновидностями RSS-фидов. Но выход был найден — сайтам предложили использовать поддомен notifications.buildmypinnedsite.com. Он конвертирует RSS в специальный формат для «живых плиток» под названием XML, и проблема разнообразия фидов снимается.
В настоящий момент notifications.buildmypinnedsite.com используется тысячами сайтов для доставки новостей и обновлений в «плитки». И notifications.buildmypinnedsite.com — это и есть тот самый поддомен, который перестала контролировать Microsoft. Когда сама веб-служба была закрыта, компания не удалила связанные записи сервера имен. Как выяснил Бек, сейчас поддомен работает некорректно — вместо того, чтобы генерировать файлы XML, он выдает ошибку облачного сервиса Azure.
Уязвимый хост
Когда Бек понял, что поддомен в любой момент может стать легкой добычей для злоумышленников, он сам перехватил над ним контроль. Исследуя проблему, он выяснил, что с уязвимого хоста все запросы перенаправляются на незарегистрированный поддомен Azure. В таком состоянии хост был уязвим для так называемой атаки захвата поддоменов.
Тогда Бек сам зарегистрировал в Azure поддомен notifications.buildmypinnedsite.com в целях обеспечения безопасности пользователей, а также зарегистрировал соответствующий хост, чтобы контролировать, какой контент туда доставляется. Исследователь сообщил Microsoft, что происходит, но там пока никак не отреагировали на ситуацию. Контролировать поддомен постоянно Бек не может, поскольку объем трафика достаточно велик, а это требует средств.
Когда Бек выпустит поддомен из рук, злоумышленники смогут использовать его для создания вредоносных XML, которые будут отображаться на устройстве пользователя в «плитках». Они смогут разместить в чужих «плитках» любые тексты изображения на свое усмотрение. Поэтому исследователь рекомендует пользователям отключить «живые плитки» вообще, а сайтам — либо отказаться от этого способа распространения новостей, либо самостоятельно создавать файлы XML.
- Биткоин: где купить? Обзор некоторых платформ для покупки криптовалюты
- Cryptonica – лучший информационный портал о криптовалюте
- Прогноз курса Ethereum: опасения регулирующих органов по поводу будущего ETH стремительно растет
- Обмен юсдт на российские рубли
- Выбор интернет-казино с минимальным депозитом и невысокими ставками
iMag.one - Самые важные новости достойные вашего внимания из более чем 300 изданий!