Behandeln der Übernahme von Unterdomänen in Azure App Service
Die Übernahme von Unterdomänen stellt eine häufige Bedrohung für Unternehmen dar, die regelmäßig viele Ressourcen erstellen und löschen. Eine Unterdomänenübernahme kann auftreten, wenn Sie über einen DNS-Eintrag verfügen, der auf eine Azure-Ressource verweist, deren Bereitstellung aufgehoben wurde. Solche DNS-Einträge werden auch als „verwaiste DNS“-Einträge bezeichnet. Durch die Übernahme von Unterdomänen können böswillige Akteure Datenverkehr, der für die Domäne eines Unternehmens bestimmt ist, an eine Website für schädliche Aktivitäten umleiten.
Eine Unterdomänenübernahme geht mit folgenden Risiken einher:
- Verlust der Kontrolle über den Inhalt der Unterdomäne
- Sammeln von Cookies von ahnungslosen Besuchern
- Phishingkampagnen
- Weitere Risiken durch klassische Angriffe wie XSS, CSRF, CORS-Umgehung
Weitere Informationen zur Unterdomänenübernahme finden Sie unter Verwaiste DNS-Einträge und Übernahme von Unterdomänen.
Azure App Service stellt einen Dienst für die Namensreservierung und Token für die Domänenüberprüfung bereit, um eine Unterdomänenübernahme zu verhindern.
So verhindert App Service die Übernahme von Unterdomänen
Beim Löschen einer App Service-App oder App Service-Umgebung (ASE) ist die sofortige Wiederverwendung des entsprechenden DNS untersagt, mit Ausnahme von Abonnements, die dem Mandanten des Abonnements gehören, dem der DNS ursprünglich gehörte. Daher wird dem Kunden einige Zeit zur Säuberung von Zuordnungen/Zeigern auf das besagte DNS oder zum Wiederherstellen des DNS in Azure durch erneutes Erstellen der Ressource mit demselben Namen gewährt. Dieses Verhalten ist standardmäßig auf Azure App Service für Ressourcen „*.azurewebsites.net“ und „*.appserviceenvironment.net“ aktiviert, sodass keine Kundenkonfiguration erforderlich ist.
Beispielszenario
Abonnement A und Abonnement B sind die einzigen Abonnements, die dem Mandanten AB angehören. Das Abonnement A enthält eine App Service-Web-App namens „test“ mit dem DNS-Namen „test.azurewebsites.net“. Beim Löschen der App können nur Abonnement A oder Abonnement B den DNS-Namen „test.azurewebsites.net“ direkt wiederverwenden, indem sie eine Web-App namens „test“ erstellen. Es ist keinem anderen Abonnement gestattet, den Namen direkt nach dem Löschen der Ressource zu beanspruchen.
So können Sie die Übernahme von Unterdomänen verhindern
Wenn Sie DNS-Einträge für Azure App Service erstellen, erstellen Sie auch einen asuid.{subdomain}-TXT-Eintrag mit der Verifizierungs-ID für die Domäne. Wenn ein solcher TXT-Eintrag vorhanden ist, kann kein anderes Azure-Abonnement die benutzerdefinierte Domäne überprüfen oder übernehmen – es sei denn, sie fügen den DNS-Einträgen die zugehörige Tokenüberprüfungs-ID hinzu.
Diese Einträge verhindern, dass eine andere App Service-App mit demselben Namen aus Ihrem CNAME-Eintrag erstellt. Wenn Bedrohungsakteure nicht nachweisen können, dass sie Besitzer des Domänennamens sind, können sie keinen Datenverkehr empfangen oder den Inhalt kontrollieren.
DNS-Einträge sollten vor dem Löschen einer Website aktualisiert werden, damit Akteure mit bösen Absichten die Domäne im Zeitraum zwischen ihrer Löschung und Neuerstellung nicht übernehmen können.
Informationen zum Abrufen einer ID für die Domänenverifizierung finden Sie im Tutorial zum Zuordnen einer benutzerdefinierten Domäne.