«Живые плитки» Windows 8 взломали через Microsoft Azure

Опубликовано at 18:39
133 0

Исследователь кибербезопасности Ханно Бёк наглядно продемонстрировал , как с помощью уязвимости в Microsoft Azure получить контроль над «живыми плитками» в Windows 8. Используя дыру в сервисе, исследователь рассылал «живым плиткам» произвольный контент для отображения.

Напомним, «Живые плитки» (Live tiles) были впервые представлены с выходом Windows 8 и заменили кнопку «Пуск» (что изрядно раздражает некоторых пользователей, вынужденных теперь созерцать рекламу на своем компьютере). Они располагаются на экране запуска и отображают контент и уведомления.

Для того чтобы сайты могли предоставлять свой контент через «живые плитки», у Microsoft была специальная функция, доступная на поддомене отдельного домена (notifications.buildmypinnedsite.com). С помощью этой функции администраторы сайтов могли автоматически конвертировать выдачу RSS в формат XML и использовать ее в качестве мета-тега на своих ресурсах.

Данная функция размещалась на платформе Microsoft Azure с поддоменом, связанным с управляемой производителем учетной записью Azure. Однако, как выяснил Бёк, после отключения конвертера RSS-в-XML компания забыла удалить входы DNS, и теперь уже ненужный поддомен по-прежнему указывает на серверы Azure.

Исследователь воспользовался уязвимостью и затребовал поддомен с помощью новой учетной записи Azure. Это позволило ему рассылать «живым плиткам» произвольный контент и уведомления от сайтов и приложений, до сих использующих мета-теги, сгенерированные отключенным сервисом, т.к. в Microsoft Azure отсутствует механизм проверки, действительно ли запрашивающая домен учетная запись является его владельцем.

Осталось добавить, что речь о той самой Microsoft Azure, к которой Renault, Nissan и Mitsubishi через облачную платформу хотят подключить миллионы умных автомобилей. Такие автомобили будут непрерывно взаимодействовать с интернетом, что позволит проводить расширенную дистанционную диагностику, непрерывное развертывание новых программных продуктов, обновление ПО наравне с обеспечением доступа к информационно-развлекательным сервисам. Облачная платформа позволит управлять данными, получаемыми с подключенных автомобилей. Если автомобили взломать удаленно будет так же легко, как «плитки» на экране Windows, то будущее конечно прекрасно

Напомним, в конце прошлого года мы писали о том, как Microsoft представила набор Azure Blockchain Development Kit, который построен на бессерверных технологиях и призван обеспечить интеграцию блокчейна в решения Microsoft и других разработчиков.

Новое облачное решение расширяет возможности Azure Blockchain Workbench и, собственно, Azure. Предполагается, что разработчики должны дать доступ пользователям к блокчейну, что позволит сохранять в облака все данные. Система работает в том числе с Ethereum и Bitcoin.

В компании утверждают, что новое решение позволит создавать приложения с блокчейном, которые также будут поддерживать смарт-контракты. А ещё это позволит интегрировать блокчейн-технологии в существующие решения и упростит их развёртывание. Напомним, 5 ноября стало известно о переводе нескольких тысяч бизнес-приложений крупнейшего в мире ритейлера Walmart в облачную инфраструктуру Azure.

В Microsoft планируют применять блокчейн для всего, в том числе текстовых сообщений, данных с датчиков от устройств «Интернета вещей» и логистической информации. Кроме того, его добавят в базы данных и электронную почту, то есть полностью инкорпорируют в корпоративное ПО, и без блокчейна уже никуда.

Что же происходит тем временем в российском представительстве Microsoft? По информации СМИ, сотрудникам массово предлагают перевестись в офисы корпорации в других странах, в том числе с возможностью удаленной работы, из-за политики РФ в области импортозамещения. Пресс-служба российского представительства Microsoft пока «слухи» не комментирует, но действия компании достаточно очевидны.

Microsoft-Россия вообще проводит глобальную реструктуризацию, что пользователи заметили уже давно: продажи ПО переводятся на глобальный сайт Microsoft с оплатой в долларах вместо рублей.

В начале 2018 года стало известно, что RRC и Merlion, два российских дистрибутора Microsoft, ввели серьезные ограничения на поставки ПО корпорации для более чем двух сотен российских компаний из банковской, энергетической и оборонной сферы, попавших под санкции США.

Ранее АКБ рассказывало про разработанное Microsoft новое решение Azure Sphere для защиты умных устройств от кибератак.

Подписываемся, следим @CyberAgency

Related Post

Пан или провал: Цитаты великих чиновников на Гайдаровском форуме

Опубликовано - 18.01.2018 0
Новая крылатая фраза от Дмитрия Медведева, увлечение молодых девушек фермами, боль Центробанка и не только. IX Гайдаровский форум запомнится неожиданными…