Microsoft Live Tile Service fue hackeado

malware

El servicio dedicado de Microsoft que permitía a los webmasters crear Windows 8 live tiles para sus sitios web fue hackeado recientemente con una simple adquisición de subdominio.

En los días en que Windows 8 era lo último y lo mejor, Microsoft lanzó un servicio basado en la web que permitía a los propietarios de sitios web aprovechar la función de mosaico en vivo en el sistema operativo.

Con el servicio BuildMyPinnedSite.com, los sitios web solo pueden crear un mosaico en vivo que luego se puede anclar a la pantalla de Inicio para mostrar cosas como noticias y contenido fresco utilizando las características típicas de un mosaico en vivo. Estos incluyen un mosaico animado y un nombre personalizado.

Mientras tanto, Microsoft retiró el servicio, pero aparentemente se olvidó de hacer una cosa crítica: proteger al host abandonado contra un ataque de toma de control de un subdominio.

Como Hanno Böck de Golem.de descubrió, el host simplemente fue redirigido a un subdominio de Azure, por lo que fue posible simplemente tomar este subdominio y luego entregar un contenido de mosaico personalizado a los clientes conectados.

“La toma de control funciona a través de una llamada entrada de servidor de nombres CNAME. Redirige todas las solicitudes del host al subdominio de Azure no registrado. Con una cuenta ordinaria de Azure, pudimos registrar ese subdominio y agregar el nombre de host correspondiente. Por lo tanto, pudimos controlar qué contenido se sirve en ese host ", explica Böck.

Por lo que parece, este servicio aún recibe algo de tráfico, lo que significa que un número desconocido de sitios web lo utilizan para servir teselas en vivo a las computadoras. Aunque los detalles no están disponibles, todos estos fueron expuestos a un potencial actor malicioso con la intención de servir contenido peligroso.

En una declaración para OnMSFT, Microsoft dice que resolvió el problema eliminando el subdominio, pero no se compartió ninguna otra información específica sobre por qué la vulnerabilidad se dejó sin arreglar hasta que se publicó una vulnerabilidad.

Fecha actualización el 2021-04-18. Fecha publicación el 2019-04-18. Categoría: microsoft Autor: Oscar olg Mapa del sitio Fuente: softpedia Version movil