Mitigazione delle acquisizioni di sottodomini in Servizio app di Azure

  • Articolo

Le acquisizioni di sottodomini sono una minaccia comune per le organizzazioni che creano ed eliminano regolarmente molte risorse. Un'acquisizione di sottodominio può verificarsi quando si dispone di un record DNS che punta a una risorsa di Azure deprovisioning. Tali record DNS sono noti anche come voci "DNS dangling". Le acquisizioni di sottodomini consentono agli attori malintenzionati di reindirizzare il traffico destinato al dominio di un'organizzazione a un sito che esegue attività dannose.

I rischi di acquisizione del sottodominio includono:

  • Perdita di controllo sul contenuto del sottodominio
  • Raccolta di cookie da visitatori insospettabili
  • Campagne di phishing
  • Altri rischi di attacchi classici, ad esempio XSS, CSRF, bypass CORS

Altre informazioni sull'acquisizione di subdomini in Dangling DNS e subdomain takeover.

Servizio app di Azure fornisce token di verifica del dominio e del servizio prenotazione dei nomi per evitare acquisizioni di sottodomini.

Come servizio app impedisce le acquisizioni di sottodominio

Al termine dell'eliminazione di un'app servizio app o di un ambiente del servizio app (AMBIENTE del servizio app), il riutilizzo immediato del DNS corrispondente non è consentito, ad eccezione delle sottoscrizioni appartenenti al tenant della sottoscrizione di proprietà originaria del DNS. Di conseguenza, il cliente ha tempo per pulire le associazioni o i puntatori al DNS specificato o recuperare il DNS in Azure ricreando la risorsa con lo stesso nome. Questo comportamento è abilitato per impostazione predefinita in Servizio app di Azure per le risorse "*.azurewebsites.net" e "*.appserviceenvironment.net", quindi non richiede alcuna configurazione del cliente.

Scenario di esempio

La sottoscrizione 'A' e la sottoscrizione 'B' sono le uniche sottoscrizioni appartenenti al tenant 'AB'. La sottoscrizione 'A' contiene un'app Web servizio app 'test' con nome DNS 'test'.azurewebsites.net'. Dopo l'eliminazione dell'app, solo la sottoscrizione 'A' o la sottoscrizione 'B' sarà in grado di riutilizzare immediatamente il nome DNS 'test.azurewebsites.net' creando un'app Web denominata 'test'. Nessun'altra sottoscrizione potrà richiedere il nome subito dopo l'eliminazione della risorsa.

Come evitare acquisizioni di sottodomini

Quando si creano voci DNS per Servizio app di Azure, creare un asuid.{ sottodominio} record TXT con l'ID di verifica del dominio. Quando esiste un record TXT di questo tipo, nessun'altra sottoscrizione di Azure può convalidare il Custom Domain o assumerla a meno che non aggiungano l'ID di verifica del token alle voci DNS.

Questi record impediscono la creazione di un'altra app servizio app usando lo stesso nome dalla voce CNAME. Senza la possibilità di dimostrare la proprietà del nome di dominio, gli attori delle minacce non possono ricevere traffico o controllare il contenuto.

I record DNS devono essere aggiornati prima dell'eliminazione del sito per garantire che gli attori malintenzionati non possano assumere il dominio tra il periodo di eliminazione e la ricreazione.

Per ottenere un ID di verifica del dominio, vedere l'esercitazione Eseguire il mapping di un dominio personalizzato