Subdomeinovernames in Azure App Service beperken

  • Artikel

Overnames van subdomeinen vormen een veelvoorkomende bedreiging voor organisaties die regelmatig veel resources maken en verwijderen. Een overname van een subdomein kan optreden wanneer u een DNS-record hebt die verwijst naar een niet-ingerichte Azure-resource. Dergelijke DNS-records worden ook wel 'zwevende DNS-vermeldingen' genoemd. Met subdomeinovernames kunnen kwaadwillende actoren verkeer dat is bedoeld voor het domein van een organisatie, omleiden naar een site waarop schadelijke activiteiten worden uitgevoerd.

De risico's van overname van subdomeinen zijn onder andere:

  • Verlies van controle over de inhoud van het subdomein
  • Cookie oogsten van nietsvermoedende bezoekers
  • Phishingcampagnes
  • Verdere risico's van klassieke aanvallen, zoals XSS, CSRF, CORS-bypass

Meer informatie over Subdomain Takeover vindt u in Dangling DNS and subdomain takeover.

Azure App Service biedt naamreserveringsservice en domeinverificatietokens om overnames van subdomeinen te voorkomen.

Hoe App Service overnames van subdomeinen voorkomt

Bij het verwijderen van een App Service-app of App Service Environment (ASE) is onmiddellijk hergebruik van de bijbehorende DNS verboden, behalve voor abonnementen die behoren tot de tenant van het abonnement dat oorspronkelijk eigendom was van de DNS. De klant krijgt dus enige tijd om koppelingen/pointers naar de genoemde DNS op te schonen of de DNS in Azure vrij te maken door de resource opnieuw te maken met dezelfde naam. Dit gedrag is standaard ingeschakeld op Azure App Service voor '*.azurewebsites.net' en '*.appserviceenvironment.net'-resources, zodat er geen klantconfiguratie nodig is.

Voorbeeldscenario

Abonnement 'A' en abonnement 'B' zijn de enige abonnementen die behoren tot tenant 'AB'. Abonnement 'A' bevat een App Service web-app 'test' met DE DNS-naam 'test'.azurewebsites.net'. Na het verwijderen van de app kan alleen abonnement 'A' of abonnement 'B' de DNS-naam 'test.azurewebsites.net' onmiddellijk opnieuw gebruiken door een web-app met de naam 'test' te maken. Geen enkele andere abonnementen mogen de naam claimen direct na het verwijderen van de resource.

Hoe u overnames van subdomeinen kunt voorkomen

Maak een asuid bij het maken van DNS-vermeldingen voor Azure App Service.{ subdomain} TXT-record met de domeinverificatie-id. Wanneer een dergelijke TXT-record bestaat, kan geen ander Azure-abonnement de Custom Domain valideren of overnemen, tenzij ze hun tokenverificatie-id toevoegen aan de DNS-vermeldingen.

Deze records voorkomen dat een andere App Service-app wordt gemaakt met dezelfde naam als uw CNAME-vermelding. Zonder de mogelijkheid om het eigendom van de domeinnaam te bewijzen, kunnen bedreigingsactoren geen verkeer ontvangen of de inhoud beheren.

DNS-records moeten worden bijgewerkt voordat de site wordt verwijderd om ervoor te zorgen dat slechte actoren het domein niet kunnen overnemen tussen de periode van verwijdering en het opnieuw maken.

Zie de zelfstudie Een aangepast domein toewijzen om een domeinverificatie-id op te halen