Mitigação de aquisições de subdomínios no Serviço de Aplicações do Azure

  • Artigo

As aquisições de subdomínios são uma ameaça comum para organizações que criam e eliminam regularmente muitos recursos. Pode ocorrer uma aquisição de subdomínios quando tem um registo DNS que aponta para um recurso do Azure desaprovisionado. Esses registos DNS também são conhecidos como entradas "DNS pendentes". As aquisições de subdomínios permitem que os atores maliciosos redirecionem o tráfego destinado ao domínio de uma organização para um site que realiza atividades maliciosas.

Os riscos da aquisição de subdomínios incluem:

  • Perda de controlo sobre o conteúdo do subdomínio
  • Colheita de cookies de visitantes insuspeitos
  • Campanhas de phishing
  • Outros riscos de ataques clássicos, como XSS, CSRF, DESVIO CORS

Saiba mais sobre a Aquisição de Subdomínios na Dangling DNS e a aquisição de subdomínios.

Serviço de Aplicações do Azure fornece tokens de verificação de domínio e Serviço de Reserva de Nomes para impedir aquisições de subdomínios.

Como Serviço de Aplicações impede as aquisições de subdomínios

Após a eliminação de uma aplicação Serviço de Aplicações ou Ambiente do Serviço de Aplicações (ASE), a reutilização imediata do DNS correspondente é proibida, exceto para subscrições pertencentes ao inquilino da subscrição que era originalmente proprietária do DNS. Assim, é concedido algum tempo ao cliente para limpar quaisquer associações/ponteiros para o referido DNS ou recuperar o DNS no Azure recriando o recurso com o mesmo nome. Este comportamento está ativado por predefinição no Serviço de Aplicações do Azure para recursos "*.azurewebsites.net" e "*.appserviceenvironment.net", pelo que não requer qualquer configuração do cliente.

Cenário de exemplo

A subscrição "A" e a subscrição "B" são as únicas subscrições pertencentes ao inquilino "AB". A subscrição "A" contém um Serviço de Aplicações "teste" da aplicação Web com o nome DNS "test".azurewebsites.net". Após a eliminação da aplicação, apenas a subscrição "A" ou a subscrição "B" poderão reutilizar imediatamente o nome DNS "test.azurewebsites.net" ao criar uma aplicação Web com o nome "teste". Nenhuma outra subscrição poderá reclamar o nome logo após a eliminação do recurso.

Como pode impedir aquisições de subdomínios

Ao criar entradas DNS para Serviço de Aplicações do Azure, crie um asuid.{ subdomain} registo TXT com o ID de Verificação de Domínio. Quando tal registo TXT existe, nenhuma outra Subscrição do Azure pode validar o Custom Domain ou assumir o controlo, a menos que adicione o ID de verificação do token às entradas DNS.

Estes registos impedem a criação de outra aplicação Serviço de Aplicações com o mesmo nome da sua entrada CNAME. Sem a capacidade de provar a propriedade do nome de domínio, os atores de ameaças não podem receber tráfego nem controlar o conteúdo.

Os registos DNS devem ser atualizados antes da eliminação do site para garantir que os atores incorretos não podem assumir o domínio entre o período de eliminação e recriação.

Para obter um ID de verificação de domínio, veja o tutorial Mapear um domínio personalizado