[English]Windows 10 (aber auch Windows 8.x) verwenden in Apps Live-Kacheln zur Anzeige von Inhalten im Startmenü. Hanno Böck konnte die Subdomain für den zugehörigen Dienst kapern und war damit in der Lage, beliebige Inhalte auf den Live-Tiles im Startmenü anzuzeigen.
Anzeige
Es gibt den Spruch: Wer hat's erfunden? – und die Antwort 'ein Schweizer'. Der zweite Spruch, der mir häufiger über die Lippen kommt: Wer hat's kaputt gemacht? – und die Antwort 'Microsoft'. Gerade noch über diesen Artikel gestolpert, in dem ein Ex-Microsoft-Mitarbeiter über die verlorenen Schlachten der letzten 20 Jahre ranted. Aber jetzt mal Szenenwechsel.
Das Desaster mit den Live-Kacheln
Seit Windows 8 konnte man ja Apps als Kacheln im Startmenü anheften. Und wenn die App einen bestimmten Dienst nutzte, ließen sich dynamisch Informationen auf der App-Kachel einblenden. Die Funktion nannte Microsoft Live-Tiles oder Live-Kacheln. So ließ sich das Wetter auf einer Kachel der Wetter-App dynamisch darstellen. Es gab Apps für Börsennachrichten, News-Apps mit den neuesten Schlagzeilen und so weiter.
Mir sind diese Live-Kacheln ganz negativ in Erinnerung, denn bei Aufnahmen von Videotrainings musste man das Zeugs immer deaktivieren. Andernfalls wären die Zuschauer meschugge von den blinkenden und scrollenden Anzeigen geworden. Natürlich habe ich das immer wieder vergessen, wenn ich eine virtuelle Maschine frisch aufgesetzt habe, um irgend etwas in einer Trainingssession zu demonstrieren. Die Flüche sind legendär.
Und ich erinnere mich an extreme Flüche, als ich die ersten Bücher zu Windows 8 schrieb und ständig im Startmenü auf der Suche war, wo dann nun die Kachel für die App xyz abgeblieben war. Denn durch die Live-Tiles war je kein bekanntes Icon zu erkennen, sondern man musste sehr genau hinschauen, welche Kachel nun zur App gehörte. Ging anderen Leuten aber nicht besser, wie ich in Telefonaten mit meinem Fachlektor feststellte. Auch der fluchte 'wo ist denn nun wieder die App-Kachel', wenn ich telefonisch fragt, ob er schnell mal was checken könne.
Martin Geuß hat sich in diesem Artikel über das Thema Live Tiles ausgelassen, die für Windows Phone wohl Sinn machten. Als die Mobilsparte geschlachtet wurde, hat Microsoft die Live-Tiles fallen gelassen – und gleich den Dienst zur Anzeige der Inhalte aufgegeben.
Die gekaperten Live-Kacheln
Sicherheitsforscher Hanno Böck ist aufgefallen, dass Microsoft den Dienst (Service) aufgegeben hat, mit dem sich Inhalte von Webseiten auf Live-Kacheln schreiben ließen. Bei der Abschaltung eines dazugehörigen Webservices versäumte es das Unternehmen, die zugehörigen Nameserver-Einträge zu löschen, schreibt Hanno Böck.
Der Dienst war unter der Azure-Domain notifications.buildmypinnedsite.com eingerichtet. Die ermöglichte Hanno Böck einen sogenannte Subdomain-Takeover-Angriff für den Live-Tile-Dienst. Dies ist eine beliebte Methode, um verwaiste Subdomains bei Angriffen zu übernehmen. Dieser Ansatz hat Golem in diesem älteren Beitrag beschrieben.
Hanno Böck konnte dann über einen Azure-Account die verwaiste Sub-Domain über den CNAME-Nameservereintrag übernehmen. Nach dem erfolgreichen Subdomain-Takeover-Angriff für den auf einer Azure-Domain gehosteten Live-Tile-Dienst stand dieser unter der Kontrolle von Hanno Böck. Dieser konnte anschließend beliebige Bilder und Texte in den Kacheln anderer Webseiten (die im Windows Startmenü als Live Tiles konfiguriert waren) anzeigen.
Anzeige
(Quelle: Screenshot aus Video)
Das obige Bild ist ein Screenshot aus einem Demonstrationsvideo, das Böck veröffentlicht hat. In der rechten unteren Ecke des Windows 10-Startmenüs sind Live-Tiles mit Totenkopf und dem Titel 'pwn' zu sehen. Diese hat Böck über den gekaperten Dienst mit Inhalten beschickt.
Hanno Böck meldete dies an Microsoft – normalerweise kann man damit Prämien (Bug Bounties) kassieren. Allerdings kam von Microsoft keine Reaktion, so dass er sich für eine Offenlegung entschloss. Dies erfolgte heute (17.4.2019) um 7:15 Uhr in diesem Artikel bei Golem. In diesem Artikel finden sich viele Details. Heise, die von Böck kontaktiert wurden, schreibt hier, dass der betreffende Azure-Dienst inzwischen nicht mehr erreichbar sei. Microsoft hat also reagiert und zumindest den CNAME-Nameservereintrag auf die gekaperte Sub-Domain gelöscht.
Die Episode zeigt mal wieder, wie wackelig und riskant das ganze Kachel-Geraffel von Microsoft ist. Allerdings gibt es Gerüchte, dass die Kacheln mit 'Windows Lite' wohl abgeschafft werden. Wäre dann nur ein Schlenker von mehreren Jahren, ausgehend von Windows 8 über Windows 10, gewesen, in denen das Zeugs irgendwie als Sauerbier an die Leute gebracht werden sollte.
Egal, wie man es dreht: Peinlich ist es für Redmond schon, aber ich würde konstatieren 'und auch typisch'. Damit wäre wir wieder beim Eingangssatz: ' Wer hat's kaputt gemacht?'. Die Antwort könnt ihr euch selbst geben.
2015
Eine echte Gefahr besteht aber doch nur, wenn man Webseiten in Live-Tiles setzt und an den Start anheftet. Die Webseiten müssen diesen Dienst dann natürlich auch unterstützen.
Das verschweigen die Redakteure von Golem in dem Artikel allerdings. Auch Hanno Böck lässt diese Umstände offen, falls ich da nichts übersehen haben sollte.
Es ist trotzdem eine beunruhigende Geschichte und da hat MS wohl irgendwie gepennt.
Zumindest zeitnah fixen sollten sie die Angelegenheit.
Wenn ich es richtig mitbekommen habe, ließ sich das auch per App realisieren. Auf meinen englischsprachigen Artikel habe ich schon eine Rückmeldung per Twitter von einer MVP-Kollegin aus den USA bekommen.
Bei der schlug heute wohl eine Leser-Mail ein – auf dessen App wurde plötzlich ein Totenschädel und 'pwn' angezeigt. Mit meinem Artikel kam die Erklärung – und sie schrieb mir: Ich hatte vergessen, dass meine App diesen Dienst noch konfiguriert hat …
So der richtige Sicherheitsgau ist es nicht – aber es zeigt, wie viel Kontrolle der Laden da noch über die Geister hat, die er mal schuf. Ich möchte nicht behaupten, dass das alles trivial ist – aber Microsoft sollte schon noch den Überblick behalten – oder zumindest reagieren, wenn white hat Sicherheitsexperten was mitteilen – imho.
Wäre hier nicht auch möglich gewesen, eine Remote Code Execution Lücke in den Kacheln auszunutzen, oder Benutzer auf gefährliche Webseiten zu lotsen? Wäre schlimm genug!
Theoretisch ja, wenn ich nicht ganz falsch liege. Aber das Kachel-Zeugs läuft ja gekapselt, so dass RCEs eher nicht wirken oder schwierig zu implementieren sind. Und beim Anklicken öffnet sich je eine App. Nur wenn deren Inhalte umgeleitet werden können, ließe sich eine gefährliche Webseite unterschieben. Damit wäre das Verhalten aber App-spezifisch – und da gäbe es einfachere Möglichkeiten, wie z.B. eine bösartige App in den Store einzustellen, die irgendwann die Umleitung vornimmt.
Eine (bösartige) Store-App muss man aber erstmal installieren, wenigstens eine derartige Live-Kachel ist nach Neuinstallation aber schon im Startmenü und welcher Nutzer räumt in dem Chaos schon freiwillig auf? Und in Zeiten von Spectre/Meltdown würde ich nicht auf eine zuverlässig funktionierende Kapselung hoffen. Der Host notifications.buildmypinnedsite.com hatte übrigens nichtmal HTTPS-Verschlüsselung, eine Man-in-the-middle-Attacke oder DNS-Umelitung wäre auch gegangen.
Danke für den Link zu dem Artikel:
„Microsoft hat die letzten 20 Jahre jede große Schlacht aufgegeben!"
Letztlich ist es aber egal, denn das Geld fliesst bei denen in Strömen!
Siehe die Umstellung von Linux auf Windows in München, die Umstellung in ganz Niedersachsen auf Windows, etc.
Warum sollten die etwas ändern???
Die machen selbst mit Misserfolgen VIEL Geld.
Ach ja: Office ist die Software schlechthin. Ich kenne genug Nutzer, die bei Linux und LibreOffice waren und jetzt wegen MS Office DOCH zu Windows zurückkehren.