Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As tomadas de controle de subdomínio são uma ameaça comum para as organizações que criam e excluem muitos recursos regularmente. Uma tomada de controle do subdomínio pode ocorrer quando um registro DNS indicar um recurso desprovisionado do Azure. Esses registros DNS também são conhecidos como entradas “DNS pendentes”. As aquisições de subdomínio permitem que atores mal-intencionados redirecionem o tráfego destinado ao domínio de uma organização para um site que executa atividades mal-intencionadas.
Os riscos da tomada de controle de subdomínio incluem:
- Perda de controle sobre o conteúdo do subdomínio
- Coleta de cookies de visitantes desavisados
- Campanhas de phishing
- Riscos adicionais de ataques clássicos, como XSS, CSRF ou evasão de CORS
Para saber mais sobre a aquisição de subdomínio, consulte Impedir entradas DNS pendentes e evitar a aquisição de subdomínio.
O Serviço de Aplicativo do Azure fornece reserva de nome e tokens de verificação de domínio para impedir aquisições de subdomínio.
Como o Serviço de Aplicativo impede tomadas de controle do subdomínio
Após a exclusão de um aplicativo do App Service ou do Ambiente do Serviço de Aplicativo (ASE), o DNS correspondente é proibido de ser reutilizado, exceto por assinaturas pertencentes ao inquilino da assinatura que originalmente possuía o DNS. Assim, o cliente tem algum tempo para limpar as associações ou ponteiros para o DNS dito ou recuperar o DNS no Azure recriando o recurso com o mesmo nome. Esse comportamento é habilitado por padrão no Serviço de Aplicativo do Azure para *.azurewebsites.net recursos *.appserviceenvironment.net e, portanto, não requer nenhuma configuração do cliente.
Cenário de exemplo
A assinatura A e a assinatura B são as únicas assinaturas que pertencem ao locatário AB. A assinatura A contém um aplicativo web do App Service teste com o nome DNS test.azurewebsites.net. Após a exclusão do aplicativo, somente as assinaturas A ou B poderão reutilizar imediatamente o nome test.azurewebsites.net DNS criando um aplicativo Web chamado teste. Nenhuma outra assinatura tem permissão para reivindicar o nome logo após a exclusão do recurso.
Como é possível impedir tomadas de controle do subdomínio
Ao criar entradas DNS para o Serviço de Aplicativo do Azure, crie um registro TXT asuid.{subdomínio} com a ID de verificação de domínio. Quando esse registro TXT existe, nenhuma outra assinatura do Azure pode validar o domínio personalizado ou assumi-lo, a menos que eles adicionem sua ID de verificação de token às entradas DNS.
Esses registros impedem a criação de outro aplicativo do Serviço de Aplicativo usando o mesmo nome da sua entrada CNAME. Sem conseguir provar a propriedade do nome de domínio, os atores de ameaças não podem receber o tráfego nem controlar o conteúdo.
Os registros DNS devem ser atualizados antes da exclusão do site, para garantir que os atores mal-intencionados não possam assumir o domínio entre o período de exclusão e a recriação.
Para obter uma ID de verificação de domínio, consulte Configurar um domínio personalizado existente no Serviço de Aplicativo do Azure.