Un ricercatore spiega che Microsoft ha perso il controllo sulle piastrelle del menu Start

Microsoft è stata protagonista, suo malgrado, di un attacco dimostrativo che ha permesso a un ricercatore tedesco di assumere il controllo del contenuto di alcune delle tile ovvero delle “piastrelle” mostrate da Windows 8.1 e Windows 10 – almeno per impostazione predefinita – nel menu Start.

Il menu Start è in Windows 10 liberamente personalizzabile: ciò significa che è possibile rimuovere tutte le piastrelle e ridimensionare il menu stesso ricalcando ciò che avveniva ad esempio con Windows 7.

Per aggiornare il contenuto del menu Start, fino a qualche tempo fa Microsoft utilizzava anche il dominio notifications.buildmypinnedsite.com. L’URL era parte integrante di questo servizio che la società di Redmond lanciò all’epoca di Windows 8 e che permetteva ai webmaster di generare speciali file per l’aggiornamento automatico del contenuto delle tile dei loro siti web.

Aggiungendo un meta tag al codice sorgente dei siti, i webmaster consentivano agli utenti di Edge di aggiungere nuove piastrelle nel menu Start di Windows agendo sull’apposita opzione del menu principale del browser.

Hanno Böck, ricercatore e giornalista, si è accorto che notifications.buildmypinnedsite.com – l’indirizzo chiamato ad elaborare i contenuti inviati dai webmaster, da visualizzare nel menu Start di Windows – non funziona più e le richieste venivano reindirizzate verso un sottodominio inesistente.
Così, Böck ha registrato tale dominio sul suo account Azure ed è riuscito a modificare tutte le richieste relative ai siti web che usano le tile di Windows: a questo indirizzo è possibile trovare un video dimostrativo.
Il tutto è stato possibile perché i tecnici Microsoft si sono evidentemente dimenticati di rimuovere o comunque gestire adeguatamente un record CNAME a livello di DNS.

Un utente malintenzionato avrebbe potuto usare la stessa tecnica adottata da Böck per provocare il caricamento di codice arbitrario e mostrare nelle piastrelle del menu Start di Windows 8.1 e Windows 10 ogni genere di contenuto. Basti pensare che sarebbero ancora oggi decine e decine i siti web di primo livello che usano il sistema delle tile.

Lo stesso schema era stato utilizzato di recente per un attacco dimostrativo, anche in quel caso senza la volontà di causare alcun danno, che aveva coinvolto niente meno che Outlook.com: Anatomia di un attacco ai servizi Microsoft: un errore di configurazione permetteva furti di identità.