A Microsoft diz que a interrupção de seus serviços no início de junho foi devido a um ataque cibernético DDoS

Na primeira semana de junho, a Microsoft sofreu uma grande interrupção que afetou quase todos os seus serviços, incluindo Azure, Outlook e Teams . A empresa agora revelou que um ataque cibernético estava por trás da interrupção global.

Em uma postagem no blog , a Microsoft revelou detalhes sobre o ataque no início de junho que causou interrupção em seus serviços e levou quase 15 horas para a empresa mitigar. Segundo a gigante de Redmond, a empresa identificou um aumento no tráfego contra alguns de seus serviços e abriu uma investigação sobre o ataque DDoS (Distributed Denial-of-Service).

A Microsoft observou ainda que os agentes de ameaças usaram vários Servidores Privados Virtuais (VPS), proxies, infraestrutura de nuvem alugada, bem como ferramentas DDoS para executar o ataque. Embora o ataque tenha sido sofisticado, a Microsoft confirmou que os dados do cliente não foram acessados ​​ou comprometidos.

Essa atividade recente de DDoS teve como alvo a camada 7 em vez da camada 3 ou 4. A Microsoft reforçou as proteções da camada 7, incluindo o ajuste do WAF (Firewall de Aplicativo Web do Azure) para proteger melhor os clientes do impacto de ataques DDoS semelhantes.

A Microsoft também compartilhou os detalhes técnicos do ataque. De acordo com a empresa, o agente da ameaça Storm-1359 usou uma coleção de botnets e ferramentas para lançar o ataque aos servidores da empresa. Isso incluiu ataque de inundação HTTP(S) para sobrecarregar o sistema e esgotar os recursos por meio de uma alta carga de handshakes SSL/TLS e solicitações HTTP(S). No caso da Microsoft, o invasor enviou milhões de solicitações HTTP(S) de endereços IP de todo o mundo para sobrecarregar o sistema.

Além disso, o invasor também usou o desvio de cache para pular a camada CDN e sobrecarregar o sistema original com uma série de consultas. Por fim, o invasor usou o Slowloris em que o cliente solicita um recurso do servidor, mas falha em confirmar o recebimento do recurso, forçando o servidor a manter a conexão aberta e o recurso em sua memória.

A Microsoft avaliou que o Storm-1359 tem acesso a uma coleção de botnets e ferramentas que podem permitir que o agente da ameaça lance ataques DDoS de vários serviços em nuvem e infraestruturas de proxy aberto. A tempestade-1359 parece estar focada em perturbações e publicidade.

A Microsoft encerrou o post com uma série de dicas e recomendações para os clientes do Azure para protegê-los contra ataques DDoS da Camada 7 no futuro. A empresa, no entanto, não divulgou detalhes relacionados aos danos ou qualquer impacto financeiro que teve devido ao ataque.