Спецпроекты

Безопасность Пользователю Стратегия безопасности Техника

Microsoft утратила контроль над «плитками» в Windows 10

Microsoft утратила контроль над механизмом отображения новостей и обновлений в «плитках», которые пользователь видит при открытии меню «Пуск» в Windows 10. Оставшийся без контроля поддомен могут захватить злоумышленники. Тогда они начнут наполнять «плитки» контентом на свое усмотрение.

Microsoft упустила «плитки»

Microsoft больше не контролирует поддомен, который используется для показа обновлений и новостей в так называемых «живых плитках» (Live Tiles) Windows 8 и Windows 10. В настоящий момент его с легкостью могут захватить злоумышленники, чтобы использовать «плитки» Windows в своих целях. К такому выводу пришел немецкий исследователь безопасности и сотрудник издания Golem.de Ханно Бек (Hanno Böck).

Благодаря «живым плиткам» различные ресурсы могут показывать пользователю свои новости и обновления прямо в меню «Пуск», если это Windows 10, и на рабочем столе, если это Windows 8. Бек пишет, что «плитки» никогда не были особо популярны у пользователей, и что следующая версия системы под названием Windows Lite должна появиться уже без них.

Как это работает

Сервис, который обеспечивает показ обновлений и новостей в «плитках», называется buildmypinnedsite.com. Если сайт хочет доносить до пользователя свои обновления через «плитки», ему достаточно добавить в код соответствующий метатег. Функция называется Windows Live Tiles.

Для передачи веб-контента, который регулярно обновляется, сайты используют формат RSS. У сервиса Microsoft не было возможности работать со всеми существующими разновидностями RSS-фидов. Но выход был найден — сайтам предложили использовать поддомен notifications.buildmypinnedsite.com. Он конвертирует RSS в специальный формат для «живых плиток» под названием XML, и проблема разнообразия фидов снимается.

Microsoft потеряла контроль над «плитками» Windows

В настоящий момент notifications.buildmypinnedsite.com используется тысячами сайтов для доставки новостей и обновлений в «плитки». В том числе это делают такие авторитетные издания как Engadget и BGR, а также российская компания Mail.ru. И notifications.buildmypinnedsite.com — это и есть тот самый поддомен, который перестала контролировать Microsoft. Когда сама веб-служба была закрыта, компания не удалила связанные записи сервера имен. Как выяснил Бек, сейчас поддомен работает некорректно — вместо того, чтобы генерировать файлы XML, он выдает ошибку облачного сервиса Azure.

Что сделал исследователь

Когда Бек понял, что поддомен в любой момент может стать легкой добычей для злоумышленников, он сам перехватил над ним контроль. Исследуя проблему, он выяснил, что с уязвимого хоста все запросы перенаправляются на незарегистрированный поддомен Azure. В таком состоянии хост был уязвим для так называемой атаки захвата поддоменов.

Тогда Бек сам зарегистрировал в Azure поддомен notifications.buildmypinnedsite.com в целях обеспечения безопасности пользователей, а также зарегистрировал соответствующий хост, чтобы контролировать, какой контент туда доставляется. Исследователь сообщил Microsoft, что происходит, но там пока никак не отреагировали на ситуацию. Контролировать поддомен постоянно Бек не может, поскольку объем трафика достаточно велик, а это требует средств.

Когда Бек выпустит поддомен из рук, злоумышленники смогут использовать его для создания вредоносных XML, которые будут отображаться на устройстве пользователя в «плитках». Они смогут разместить в чужих «плитках» любые тексты изображения на свое усмотрение. Поэтому исследователь рекомендует пользователям отключить «живые плитки» вообще, а сайтам — либо отказаться от этого способа распространения новостей, либо самостоятельно создавать файлы XML.

Валерия Шмырова

Короткая ссылка