Xakep #305. Многошаговые SQL-инъекции
Ханно Бёк (Hanno Böck), немецкий ИБ-специалист и журналист издание Golem.de, сообщил, что в целях безопасности ему пришлось перехватить управление поддоменом notifications.buildmypinnedsite.com, который является критическим элементом для отображения RSS-новостей и апдейтов в живых плитках (Live Tiles) Windows 8 и Windows 10.
Данный поддомен — часть сервиса buildmypinnedsite.com, запущенного Microsoft во времена релиза Windows 8. Сервис позволяет сайтам показывать «живые» обновления прямо в меню «Пуск» и на стартовой странице. Для этого нужно добавить в код ресурса соответствующий мета-тег, который позволяет пользователям продуктов Microsoft закреплять такие страницы под рукой.
Так как сервис не мог поддерживать все разнообразие RSS-фидов, разработчики рекомендовали операторам сайтов использовать notifications.buildmypinnedsite.com – поддомен, который конвертирует RSS в специфичный для живых плиток формат XML, и тем самым упрощает процесс. Тысячи сайтов воспользовались этой идеей, добавив теги в свой код. В их числе Mail.ru, Engadget, BGR, TenForums, Heise.de и многие другие.
Бёк обнаружил, что данный сервис более не функционирует, а вместо нужных XML-файлов возвращает ошибку облачного сервиса Azure. Попытавшись разобраться, в чем дело, исследователь пришел к выводу, что хост имеет редирект на поддомен Azure, однако такой поддомен там попросту не зарегистрирован.
Чтобы обезопасить пользователей, исследователь поспешил зарегистрировать в Azure notifications.buildmypinnedsite.com и в настоящее время синкхолит (sinkholing) все поступающие запросы. Также Бёк уведомил о проблеме Microsoft, но компания пока не ответила, а специалист признается, что не сможет контролировать поддомен вечно из-за немалых объемов трафика и связанных с этим расходов.
Эксперт предупреждает, что если поддомен окажется в руках злоумышленников, те смогут создавать вредоносные XML, которые смогут злоупотребить возможностями Windows Live Tiles. Для наглядности он записал на видео PoC такой атаки.
Бёк призывает операторов сайтов избавиться от тегов живых плиток или самим генерировать файлы XML, не прибегая к помощи notifications.buildmypinnedsite.com. Пользователям эксперт советует попросту не пользоваться живыми плитками вовсе.