Reducir las adquisiciones de subdominios en Azure App Service

  • Artículo

Las adquisiciones de subdominios son una amenaza común para las organizaciones que crean y eliminan muchos recursos con regularidad. Una adquisición de subdominios puede producirse cuando tiene un registro DNS que apunta a un recurso de Azure desaprovisionado. Estos registros DNS también se conocen como entradas "DNS pendientes". Las adquisición de subdominios permiten a los actores malintencionados redirigir el tráfico destinado al dominio de una organización a un sitio que realiza una actividad malintencionada.

Los riesgos de la adquisición de subdominios incluyen:

  • Pérdida de control sobre el contenido del subdominio
  • Recogida de cookies de visitantes no especificados
  • Campañas de suplantación de identidad
  • Riesgos adicionales de ataques clásicos, como XSS, CSRF, omisión de CORS

Obtenga más información sobre la adquisición de subdominios en DNS pendiente y adquisición de subdominios.

Azure App Service proporciona tokens de comprobación de dominios y de servicio de reserva de nombres para evitar la adquisición de subdominios.

De qué forma impide App Service la adquisición de subdominios

Tras la eliminación de una aplicación de App Service o App Service Environment (ASE), se prohíbe la reutilización inmediata del DNS correspondiente, excepto para las suscripciones que pertenecen al inquilino de la suscripción que originalmente poseía el DNS. Por lo tanto, al cliente se le ofrece un tiempo para limpiar las asociaciones o punteros a dicho DNS o volver a reclamar el DNS en Azure mediante la recreación del recurso con el mismo nombre. Este comportamiento está habilitado de manera predeterminada en Azure App Service para los recursos "*.azurewebsites.net" y "*.appserviceenvironment.net", por lo que no requiere ninguna configuración de cliente.

Escenario de ejemplo

La suscripción "A" y la suscripción "B" son las únicas suscripciones que pertenecen al inquilino "AB". La suscripción "A" contiene una aplicación web de App Service "test" con el nombre DNS "test.azurewebsites.net". Después de la eliminación de la aplicación, solo la suscripción "A" o la suscripción "B" podrán reusar inmediatamente el nombre DNS "test.azurewebsites.net" mediante la creación de una aplicación web denominada "test". Ninguna otra suscripción podrá reclamar el nombre justo después de la eliminación del recurso.

Cómo puede evitar la adquisición de subdominios

Al crear entradas DNS para Azure App Service, cree un registro TXT asuid.{subdominio} con el identificador de comprobación de dominio. Cuando existe un registro TXT de este tipo, ninguna otra suscripción de Azure puede validar el dominio personalizado o asumirlo a menos que agreguen su identificador de verificación de token a las entradas DNS.

Estos registros impiden la creación de otra aplicación de App Service con el mismo nombre de la entrada CNAME. Sin la capacidad de demostrar la propiedad del nombre de dominio, los actores de amenazas no pueden recibir tráfico ni controlar el contenido.

Los registros DNS deben actualizarse antes de la eliminación del sitio para asegurarse de que los actores incorrectos no pueden asumir el dominio entre el período de eliminación y la nueva creación.

Para obtener un identificador de comprobación de dominio, consulte el tutorial sobre la asignación de un dominio personalizado.