News Live Tiles: Inhalt von Windows-Kacheln lässt sich manipulieren

[fdsonne]

Das ändert aber doch nichts an der Tatsache, dass MS nicht mehr hätte tun müssen als via Windowsupdate die entsprechende Domain clientseitig raus zu nehmen. Die Lücke basiert ja genau darauf, dass der Dienst in Windows noch da ist und glaubt das die Gegenstelle noch existiert.

Was willst du da "clientseitig rausnehmen"?? Da gibts nichts clientseitig rauszunehmen. Die Kachel soll Daten von "notifications.buildmypinnedsite.com" abrufen - die Kachel holt Daten von dieser URL. Thats it... Es ist nicht die Aufgabe des Herstellers vom Betriebssystem dafür zu sorgen dass der User nicht URLs aufruft, die es nicht mehr gibt. Sondern das ist das Bier des Users.

... und der User ist Schuld? Der User, der diesen eingestellten externen Dienst garnicht mehr nutzen kann?

Ja, im Grunde genau das. Löse dich doch einfach mal von der Annahme, dass der Anbieter eines Dienstes auf unabsehbare Zeit eine Verpflichtung ggü. allen Nutzern die irgendwann mal existiert haben, hat. Sowas gibts nicht. Kein Gesetz der Welt verpflichtet einen Provider in welcher Form auch immer zu einer Pflicht auf ewig und drei Tage.

Passt dir als User nicht? -> dann wäre jetzt der Punkt sich einmal Gedanken zu machen ob es so sinnvoll ist, mit Kusshand diese Clouddienste in Anspruch zu nehmen oder es nicht vielleicht lieber doch anders zu machen??

Sorry, aber die einzige Logik, die hier greift ist: Sicherheitslücke im Betriebssystem ist vorhanden und bekannt, der aktiv für die Aktualität dieses Systems Verantwortliche ist also in der Bringschuld. Er sollte diese Lücke zeitnah schließen.
Das Betriebssystem ist hier Windows, daher ist Microsoft in der Bringschuld und sollte zeitnah patchen. Dass der Verursacher dieser Lücke nun auch Microsoft heißt, das spielt eigentlich garkeine Rolle. Das ist blos ein gefundenes Fressen für Kritiker.

Die Kachel macht genau das, was der User höchstselbst eingerichtet hat. Wenn du mit deinem Auto gegen die Wand fährst, fährt es gegen die Wand. Warum sollte der Hersteller nun schuld sein, dass du gegen die Wand gefahren bist? Du als User hast doch selbst dafür gesorgt, dass die Kachel sich Daten aus der Cloud besorgt - du bist auch selbst dafür verantwortlich.

Nur das wir uns nicht falsch verstehen - das ist keine Verteidigung Microsofts, sondern betrifft im Endeffekt Jeden anderen auch. Mich persönlich stört dieses völlig grundlose rumgehype von Themen, wo selbst die Autoren dieser Meldungen technisch nichtmal die Basis verstanden haben. Google mal bitte danach was ein CNAME-Nameserver sein soll. Technisch ist das ziemlicher Stuss. Bei derartigen Meldungen gehts primär um Aufmerksamkeit - Microsoft als global Player kommt da wie gerufen, weil es Aufmerksamkeit erzeugt. Und ihr, springt auf solche Hate-Trains auch mit auf...

Übrigens: dieser eingestellte Dienst hat den Code generiert, den es braucht um diese RSS-Kacheln zu nutzen. Ohne den Dienst, aber mit der Lücke, kann nun der Besitzer der Domain über diese offene Schnittstelle seinen Code ins Startmenü pflanzen. Oder auch: Du hast evtl. ohne Vorwarnung zig neue Kacheln im Startmenü, die alle fiese Malware Links enthalten.

Das was hier geschieht kann man nicht Sicherheitslücke nennen. Die Kachel macht das was sie soll. So wie jede App und jede Anwendung auch. Der Unterschied ist nur, dass hier Microsoft als IT Riese für etwas verantwortlich gemacht wird, was zu hunderten und tausenden Fällen auf der ganzen Welt schon passiert - und wo kein einziger groß ein Wort drüber verliert.
Wenn man es genau nimmt ist die Möglichkeit des "Loswerdens" einer Domain, gerade auch bei Insolvenz von Firmen und Einstellung dessen Services schlicht ein Problem, was in der IT Keiner betrachtet.
Schau dir allein einfach mal an was dein Client mit all der Software die du da drauf selbst installierst, für Ziele im Netz versucht aufzurufen -> dir wird schlecht, wenn du wüsstest was da alles passiert und versucht wird.


Im übrigen kannst du da nicht zig neue Kacheln ins Startmenü pflanzen - woher nimmst du das? Hier gehts um das Update der von dir als Nutzer hinterlegten Kachel - nicht um das Einfügen weiterer. Bitte keine Unwahrheiten verbreiten - so entsteht nämlich irgendwelche Panik, weil irgendwo irgendwer irgendwas behauptet hat.

 

[mischaef]

Ähm....Microsoft stellt einen Dienst ein und gibt die Subdomain dafür frei, so dass diese von jedem x-beliebigen Interessenten neu registriert werden kann, ändern den Verweiß auf die Subdomain nicht mal und da soll der Fehler nicht bei MS liegen?

Finde ich sehr gewagt die These.

 

[cruse]

Laut Golem Kommentaren sinds übrigens 600.000 Zugriffe - pro Stunde!

 

[Jesterfox]

ändern den Verweiß auf die Subdomain nicht mal

Jepp, eigentlich bräuchten sie ja nur den CNAME zu ändern damit das ganze ins Leere läuft und es könnte nichts mehr passieren.

 

[Iarn]

@CastorTransport
Man könnte den Beitrag auch einfach nur bis zum zu Ende lesen...

Man hätte im Beitrag auch das Wort Golem verwenden können.

 

[mischaef]

Dafür gibt es die Quellenangaben unten. Wer nicht bis dahin liest, ist selber Schuld. Das ist die übliche Gangart.

Und nein, man hätte nicht Golem, sondern den Autor benennen müssen, er ist freier Journalist, Finder der Lücke und dürfte Golem den Beitrag somit nur angeboten haben. Und er wurde genannt - mehrfach. Somit stehen beide auf der Seite.

 

[Steffen]

Kann man die Option nun eigentlich noch für CB nutzen? Und wenn ja, wie?

ComputerBase unter Windows 8 mit dem Internet Explorer aufrufen und die Kachel hinzufügen. Siehe die verlinkte News: https://www.computerbase.de/2012-11/computerbase-kachel-fuer-windows-8/

In Windows 8.1 kann die Live-Tile nicht nur einen Zähler, sondern auch Inhalt anzeigen: https://www.computerbase.de/2013-07/computerbase-kachel-fuer-windows-8.1-aufpoliert/

Das sollte auch jetzt auch noch so funktionieren. Im Gegensatz zu einigen anderen Websites generieren wir das LiveTile-XML selbst. Was jetzt kaputt ist, ist nur ein von Microsoft bereitgestellter Dienst (http://www.buildmypinnedsite.com/), mit dem Websites das Generieren des LiveTile-XML an Microsoft auslagern konnten. Diesen Dienst haben offenbar auch ein paar größere Websites genutzt, deren Live-Tiles jetzt nicht mehr funktionieren. Pauschal kaputt sind LiveTiles dadurch jetzt nicht.

Unter Windows 10 können Live-Tiles soweit ich weiß keine Inhalte mehr anzeigen, sondern nur noch einen Zähler (also wie unter Windows 8).

 

[lemba]

Mit Linux wär' das nicht passiert duckundweg

 

[Steffen]

Wir haben die News überarbeitet, sodass jetzt klarer wird, was das Problem war.

 

[fdsonne]

Finde ich sehr gewagt die These.

Was ist da bitte gewagt dran?
Jedes Unternehme was irgendwann mal eine Domain besaß und aus welchen Gründen auch immer Pleite, keine Lust mehr darauf oder sonstwas hat, was es dazu verleitet hat, die Domain/die Einträge nicht mehr zu nutzen erzeugt exakt das selbe Problem.

Das Problem besteht schlicht und ergreifend daran, dass jeder Hinz und Kunz im Netz Domains registrieren kann wie er Lustig ist, solange diese Frei sind. Gefolgt von der Thematik, dass Domains nach Freigabe des "Besitzers" für Dritte (weiter) nutzbar sind. Es gibt keine Regeln die sowas verhindern und lädt damit natürlich zum Missbrauch ein.


Hier gehts aber rein um Microsoft als IT Riese - und der Schlagzeile die ihr daraus erzeugt.
Der Nutzer ist hier das Problem - er nutzt nen Dienst den es nicht mehr gibt. Jede Wette, es gibt irgendwo in den Weiten des Netzes/der Microsoft Seiten ein Anouncement zur Einstellung des Services. Interessiert nur keinen, weil keiner solche Meldungen ließt. Das läuft wie immer - der User googlelt nach einer Anleitung, landet irgendwo bei YT Videos, in Forenposts oder auf Blogs, wo das irgendwo beschrieben wurde - er versteht nicht was er da tut, hämmert den Spaß 1:1 in sein System und freut sich, dass es geht. Kommt dann der Punkt andem irgendwas nicht mehr geht, sucht er nen Schuldigen nur um sich bloß selbst nicht einzugestehen, das er hier einfach nicht nachsichtig genug war.



Übrigens, Microsoft hat den CNAME Eintrag mittlerweile gelöscht - nur so als Randinfo. Beim nächsten mal betrifft es aber vllt einfach eine Domain, welche gänzlich freigegeben wird. Diese schnappt sich ein Dritter und impft damit irgendwelchen Schmuh in die Systeme unwissender User.

Ergänzung (18. April 2019)

Mit Linux wär' das nicht passiert duckundweg

Unsinn - mit JEDEM System wäre das passiert. Leider ging das aus dem Newstext nicht hervor. Zumindest ist der Text nach der Änderung seitens Steffen jetzt technisch nicht mehr ziemlicher Unsinn.

Ergänzung (18. April 2019)

Jepp, eigentlich bräuchten sie ja nur den CNAME zu ändern damit das ganze ins Leere läuft und es könnte nichts mehr passieren.

Und morgen schmeißen sie die Domain weg - ein Dritter registiert sich diese neu, erzeugt den Eintrag wieder und das Problem ist wieder da.
Was bringt das wirklich? Das Thema ist hier weiterhin, dass der Nutzer überhaupt nicht weis was er da fabriziert hat. Hier wäre Aufklärung sinnvoller als Schuldzuweisung durch die Medien...

 

[Jesterfox]

Hier wäre Aufklärung sinnvoller als Schuldzuweisung durch die Medien...

Jepp, das ist nicht von der Hand zu weisen. Denn auch wenn MS geschlampt hat so ist trotzdem jeder der diesen Dienst verwendet irgendwo auch mit verantwortlich dafür was dieser so treibt und den Benutzern auf den PC liefert. Mit der Einstellung des Dienstes seitens MS hätten also die Webseitenbetreiber die Meta-Codes von ihrer Seite entfernen müssen, dann wäre auch nichts passiert.

 

[chithanh]

Jedes Unternehme was irgendwann mal eine Domain besaß und aus welchen Gründen auch immer Pleite, keine Lust mehr darauf oder sonstwas hat, was es dazu verleitet hat, die Domain/die Einträge nicht mehr zu nutzen erzeugt exakt das selbe Problem.

Es handelt sich hierbei um ein Subdomain Takeover. Die Domain und die DNS-Einträge sind waren jederzeit unter der Kontrolle von Microsoft. Die Firma ist auch nicht pleite.
Das mindeste, was man hätte machen können ist Subdomains abgeschalteter Dienste in eine Blacklist aufzunehmen. Noch besser wäre ein Certificate Pinning in der Kachelanzeige gewesen, so dass die Dienste nicht mit anderen Leuten reden, die zufällig mal die Kontrolle über die Domain erhalten.

Der Nutzer ist hier das Problem - er nutzt nen Dienst den es nicht mehr gibt

Wenn der Dienst abgeschaltet wird und nicht mehr funktioniert, ist das eine Sache. Wenn er anschließend jedoch offen wie ein Scheunentor für bösartige Akteure aller Art steht, dann ist das eine ernste Angelegenheit.

Subdomain Takeover ist auch nichts neues, der Autor hat in der Vergangenheit schon ähnliche Probleme dieser Art aufgedeckt.

Unsinn - mit JEDEM System wäre das passiert.

Welches (Linux-)System hat denn noch derartige Funktion? Nenn doch mal eins.

Übrigens, Microsoft hat den CNAME Eintrag mittlerweile gelöscht - nur so als Randinfo.

Dass sie ihn klammheimlich gelöscht haben ohne an den Entdecker des Problems auch nur eine Zeile zu schreiben oder eine öffentliche Erklärung abzugeben, das ist gut und schlecht. Gut ist, dass der Missbrauch jetzt unterbunden ist. Schlecht ist die Art und Weise, wie Microsoft hier kommuniziert und ihre Anwender und den Sicherheitsforscher behandelt hat.

 

[Bigfoot29]

@mischaef: Es gab bei Golem ein Update. MS hat stillschweigend die DNS-Einträge gelöscht. Entsprechend ist der Angriffsvektor wohl nicht mehr gegeben.

Regards, Bigfoot29

 

[rob-]

Jedes Feature bei Windows hat eine kritische Lücke.