Microsoft Live Tile服务因公司忘记存在而被黑客攻击

微软的专用服务允许网站管理员为他们的网站创建Windows 8实时磁贴最近被一个非常简单的子域名接管攻击。

在Windows 8是最新和最好的时代，微软推出了一项基于Web的服务，允许网站所有者利用操作系统中的实时磁贴功能。

使用BuildMyPinnedSite.com服务，网站可以创建一个实时图块，然后可以将其固定到“开始”屏幕，以便使用实时图块的典型功能显示新闻和新内容等内容。这些包括动画磁贴和自定义名称。

与此同时，微软退休了这项服务，但显然忘记做一件至关重要的事情：保护被抛弃的主机免受子域名接管攻击。

微软表示，问题已经解决
正如Golem.de的 HannoBöck所发现的那样，主机刚刚被重定向到Azure的子域，因此可以简单地接管这个子域，然后向连接的客户端提供自定义的实时磁贴内容。

“收购工作通过所谓的CNAME名称服务器条目。它将主机的所有请求重定向到未注册的Azure子域。使用普通的Azure帐户，我们可以注册该子域并添加相应的主机名。因此，我们能够控制在该主机上提供的内容，“Böck解释道。

从外观上看，这项服务仍然会收到一些流量，这意味着未知数量的网站会使用它来向计算机提供实时磁贴。虽然没有详细说明，但所有这些都暴露给潜在的恶意行为者，并打算提供危险内容。

在OnMSFT的一份声明中，微软表示它通过删除子域解决了这个问题，但没有分享其他细节，以便在漏洞公开之前为什么漏洞不被修复。