Microsoft zufolge war der Ausfall seiner Dienste Anfang Juni auf eine DDoS-Cyberattacke zurückzuführen
In der ersten Juniwoche kam es bei Microsoft zu einem größeren Ausfall, von dem fast alle Dienste des Unternehmens betroffen waren, darunter Azure, Outlook und Teams. Das Unternehmen hat nun enthüllt, dass eine Cyberattacke hinter dem weltweiten Ausfall steckte.
In einem Blog-Beitrag hat Microsoft Details über den Angriff Anfang Juni bekannt gegeben, der zu einer Unterbrechung seiner Dienste führte und fast 15 Stunden dauerte, bis das Unternehmen den Schaden beheben konnte. Nach Angaben des Redmonder Giganten stellte das Unternehmen einen Anstieg des Datenverkehrs gegen einige seiner Dienste fest und leitete eine Untersuchung des DDoS-Angriffs (Distributed Denial-of-Service) ein.
Microsoft wies ferner darauf hin, dass die Angreifer mehrere Virtual Private Server (VPS), Proxys, angemietete Cloud-Infrastrukturen sowie DDoS-Tools zur Durchführung des Angriffs verwendeten. Obwohl es sich um einen ausgeklügelten Angriff handelte, bestätigte Microsoft, dass kein Zugriff auf Kundendaten erfolgte und diese nicht gefährdet wurden.
Diese jüngste DDoS-Aktivität zielte auf Schicht 7 und nicht auf Schicht 3 oder 4. Microsoft hat die Schutzmaßnahmen auf Layer 7 verstärkt und die Azure Web Application Firewall (WAF) optimiert, um Kunden besser vor den Auswirkungen ähnlicher DDoS-Angriffe zu schützen.
Microsoft teilte auch die technischen Details des Angriffs mit. Nach Angaben des Unternehmens verwendete der Bedrohungsakteur Storm-1359 eine Sammlung von Botnetzen und Tools, um den Angriff auf die Server des Unternehmens zu starten. Dazu gehörten HTTP(S)-Flood-Angriffe, um das System zu überlasten und die Ressourcen durch eine hohe Anzahl von SSL/TLS-Handshakes und HTTP(S)-Anfragen zu erschöpfen. Im Fall von Microsoft hatte der Angreifer Millionen von HTTP(S)-Anfragen von IP-Adressen rund um den Globus gesendet, um das System zu überlasten.
Darüber hinaus nutzte der Angreifer auch die Cache-Umgehung, um die CDN-Schicht zu überspringen und das ursprüngliche System mit einer Reihe von Anfragen zu überlasten. Schließlich nutzte der Angreifer Slowloris, bei dem der Client eine Ressource vom Server anfordert, den Empfang der Ressource aber nicht bestätigt, so dass der Server gezwungen ist, die Verbindung offen zu halten und die Ressource in seinem Speicher zu behalten.
Microsoft hat festgestellt, dass Storm-1359 Zugang zu einer Sammlung von Botnetzen und Tools hat, die es dem Bedrohungsakteur ermöglichen könnten, DDoS-Angriffe von verschiedenen Cloud-Diensten und offenen Proxy-Infrastrukturen aus zu starten. Storm-1359 scheint auf Störung und Öffentlichkeitsarbeit aus zu sein.
Microsoft beendete den Beitrag mit einer Reihe von Tipps und Empfehlungen für Azure-Kunden, um sie in Zukunft vor Layer-7-DDoS-Angriffen zu schützen. Das Unternehmen machte jedoch keine Angaben zum Schaden oder zu den finanziellen Auswirkungen, die es durch den Angriff erlitten hat.