{"id":217144,"date":"2019-04-17T15:10:00","date_gmt":"2019-04-17T13:10:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=217144"},"modified":"2019-04-17T18:28:40","modified_gmt":"2019-04-17T16:28:40","slug":"sicherheit-windows-und-die-gekaperten-live-kacheln","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/04\/17\/sicherheit-windows-und-die-gekaperten-live-kacheln\/","title":{"rendered":"Sicherheit: Windows und die gekaperten Live-Kacheln"},"content":{"rendered":"

[English<\/a>]Windows 10 (aber auch Windows 8.x) verwenden in Apps Live-Kacheln zur Anzeige von Inhalten im Startmen\u00fc. Hanno B\u00f6ck konnte die Subdomain f\u00fcr den zugeh\u00f6rigen Dienst kapern und war damit in der Lage, beliebige Inhalte auf den Live-Tiles im Startmen\u00fc anzuzeigen.<\/p>\n

<\/p>\n

\"\"Es gibt den Spruch: Wer hat's erfunden? \u2013 und die Antwort 'ein Schweizer'. Der zweite Spruch, der mir h\u00e4ufiger \u00fcber die Lippen kommt: Wer hat's kaputt gemacht? – und die Antwort 'Microsoft'. Gerade noch \u00fcber diesen Artikel<\/a> gestolpert, in dem ein Ex-Microsoft-Mitarbeiter \u00fcber die verlorenen Schlachten der letzten 20 Jahre ranted. Aber jetzt mal Szenenwechsel.<\/p>\n

Das Desaster mit den Live-Kacheln<\/h2>\n

Seit Windows 8 konnte man ja Apps als Kacheln im Startmen\u00fc anheften. Und wenn die App einen bestimmten Dienst nutzte, lie\u00dfen sich dynamisch Informationen auf der App-Kachel einblenden. Die Funktion nannte Microsoft Live-Tiles oder Live-Kacheln. So lie\u00df sich das Wetter auf einer Kachel der Wetter-App dynamisch darstellen. Es gab Apps f\u00fcr B\u00f6rsennachrichten, News-Apps mit den neuesten Schlagzeilen und so weiter.<\/p>\n

Mir sind diese Live-Kacheln ganz negativ in Erinnerung, denn bei Aufnahmen von Videotrainings musste man das Zeugs immer deaktivieren. Andernfalls w\u00e4ren die Zuschauer meschugge von den blinkenden und scrollenden Anzeigen geworden. Nat\u00fcrlich habe ich das immer wieder vergessen, wenn ich eine virtuelle Maschine frisch aufgesetzt habe, um irgend etwas in einer Trainingssession zu demonstrieren. Die Fl\u00fcche sind legend\u00e4r.<\/p>\n

Und ich erinnere mich an extreme Fl\u00fcche, als ich die ersten B\u00fccher zu Windows 8 schrieb und st\u00e4ndig im Startmen\u00fc auf der Suche war, wo dann nun die Kachel f\u00fcr die App xyz abgeblieben war. Denn durch die Live-Tiles war je kein bekanntes Icon zu erkennen, sondern man musste sehr genau hinschauen, welche Kachel nun zur App geh\u00f6rte. Ging anderen Leuten aber nicht besser, wie ich in Telefonaten mit meinem Fachlektor feststellte. Auch der fluchte 'wo ist denn nun wieder die App-Kachel', wenn ich telefonisch fragt, ob er schnell mal was checken k\u00f6nne.<\/p>\n

Martin Geu\u00df hat sich in diesem Artikel<\/a> \u00fcber das Thema Live Tiles ausgelassen, die f\u00fcr Windows Phone wohl Sinn machten. Als die Mobilsparte geschlachtet wurde, hat Microsoft die Live-Tiles fallen gelassen \u2013 und gleich den Dienst zur Anzeige der Inhalte aufgegeben.<\/p>\n

Die gekaperten Live-Kacheln<\/h2>\n

Sicherheitsforscher Hanno B\u00f6ck ist aufgefallen, dass Microsoft den Dienst (Service) aufgegeben hat, mit dem sich Inhalte von Webseiten auf Live-Kacheln schreiben lie\u00dfen. Bei der Abschaltung eines dazugeh\u00f6rigen Webservices vers\u00e4umte es das Unternehmen, die zugeh\u00f6rigen Nameserver-Eintr\u00e4ge zu l\u00f6schen, schreibt Hanno B\u00f6ck.<\/p>\n

Der Dienst war unter der Azure-Domain notifications.buildmypinnedsite.com <\/em>eingerichtet. Die erm\u00f6glichte Hanno B\u00f6ck einen sogenannte Subdomain-Takeover-Angriff f\u00fcr den Live-Tile-Dienst. Dies ist eine beliebte Methode, um verwaiste Subdomains bei Angriffen zu \u00fcbernehmen. Dieser Ansatz hat Golem in diesem \u00e4lteren Beitrag<\/a> beschrieben.<\/p>\n

Hanno B\u00f6ck konnte dann \u00fcber einen Azure-Account die verwaiste Sub-Domain \u00fcber den CNAME-Nameservereintrag \u00fcbernehmen. Nach dem erfolgreichen Subdomain-Takeover-Angriff f\u00fcr den auf einer Azure-Domain gehosteten Live-Tile-Dienst stand dieser unter der Kontrolle von Hanno B\u00f6ck. Dieser konnte anschlie\u00dfend beliebige Bilder und Texte in den Kacheln anderer Webseiten (die im Windows Startmen\u00fc als Live Tiles konfiguriert waren) anzeigen.<\/p>\n

\"Live-Tile
\n(Quelle: Screenshot aus Video)<\/p>\n

Das obige Bild ist ein Screenshot aus einem Demonstrationsvideo, das B\u00f6ck ver\u00f6ffentlicht hat. In der rechten unteren Ecke des Windows 10-Startmen\u00fcs sind Live-Tiles mit Totenkopf und dem Titel 'pwn' zu sehen. Diese hat B\u00f6ck \u00fcber den gekaperten Dienst mit Inhalten beschickt.<\/p>\n

Hanno B\u00f6ck meldete dies an Microsoft \u2013 normalerweise kann man damit Pr\u00e4mien (Bug Bounties) kassieren. Allerdings kam von Microsoft keine Reaktion, so dass er sich f\u00fcr eine Offenlegung entschloss. Dies erfolgte heute (17.4.2019) um 7:15 Uhr in diesem Artikel<\/a> bei Golem. In diesem Artikel finden sich viele Details. Heise, die von B\u00f6ck kontaktiert wurden, schreibt hier<\/a>, dass der betreffende Azure-Dienst inzwischen nicht mehr erreichbar sei. Microsoft hat also reagiert und zumindest den CNAME-Nameservereintrag auf die gekaperte Sub-Domain gel\u00f6scht.<\/p>\n

Die Episode zeigt mal wieder, wie wackelig und riskant das ganze Kachel-Geraffel von Microsoft ist. Allerdings gibt es Ger\u00fcchte, dass die Kacheln mit 'Windows Lite' wohl abgeschafft werden. W\u00e4re dann nur ein Schlenker von mehreren Jahren, ausgehend von Windows 8 \u00fcber Windows 10, gewesen, in denen das Zeugs irgendwie als Sauerbier an die Leute gebracht werden sollte.<\/p>\n

Egal, wie man es dreht: Peinlich ist es f\u00fcr Redmond schon, aber ich w\u00fcrde konstatieren 'und auch typisch'. Damit w\u00e4re wir wieder beim Eingangssatz: ' Wer hat's kaputt gemacht?'. Die Antwort k\u00f6nnt ihr euch selbst geben.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Windows 10 (aber auch Windows 8.x) verwenden in Apps Live-Kacheln zur Anzeige von Inhalten im Startmen\u00fc. Hanno B\u00f6ck konnte die Subdomain f\u00fcr den zugeh\u00f6rigen Dienst kapern und war damit in der Lage, beliebige Inhalte auf den Live-Tiles im Startmen\u00fc anzuzeigen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[408,4328,4378],"class_list":["post-217144","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-apps","tag-sicherheit","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/217144","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=217144"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/217144\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=217144"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=217144"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=217144"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}