Microsoft afferma che l’interruzione dei suoi servizi all’inizio di giugno è stata dovuta a un attacco informatico DDoS

Nella prima settimana di giugno, Microsoft ha subito una grave interruzione che ha avuto un impatto su quasi tutti i suoi servizi, inclusi Azure, Outlook e Teams . La società ha ora rivelato che dietro l’interruzione globale c’era un attacco informatico.

In un post sul blog , Microsoft ha rivelato i dettagli sull’attacco all’inizio di giugno che ha causato l’interruzione dei suoi servizi e ha impiegato quasi 15 ore per mitigare l’azienda. Secondo il colosso di Redmond, l’azienda ha individuato un aumento del traffico contro alcuni dei suoi servizi e ha aperto un’indagine sull’attacco DDoS (Distributed Denial-of-Service).

Microsoft ha inoltre osservato che gli attori delle minacce hanno utilizzato più server privati ​​virtuali (VPS), proxy, infrastrutture cloud noleggiate e strumenti DDoS per eseguire l’attacco. Sebbene l’attacco fosse sofisticato, Microsoft ha confermato che i dati dei clienti non sono stati violati o compromessi.

Questa recente attività DDoS ha preso di mira il livello 7 anziché il livello 3 o 4. Microsoft ha rafforzato le protezioni del livello 7, inclusa l’ottimizzazione di Azure Web Application Firewall (WAF) per proteggere meglio i clienti dall’impatto di simili attacchi DDoS.

Microsoft ha anche condiviso i dettagli tecnici relativi all’attacco. Secondo l’azienda, l’attore di minacce Storm-1359 ha utilizzato una raccolta di botnet e strumenti per lanciare l’attacco ai server dell’azienda. Questi includevano un attacco flood HTTP(S) per sovraccaricare il sistema ed esaurire le risorse attraverso un carico elevato di handshake SSL/TLS e richieste HTTP(S). Nel caso di Microsoft, l’aggressore aveva inviato milioni di richieste HTTP(S) da indirizzi IP di tutto il mondo per sovraccaricare il sistema.

Non solo, ma l’attaccante ha anche utilizzato Cache bypass per saltare il livello CDN e sovraccaricare il sistema originale con una serie di query. Infine, l’attaccante aveva utilizzato Slowloris in cui il client richiede una risorsa al server ma non conferma la ricezione della risorsa, costringendo il server a mantenere la connessione aperta e la risorsa nella sua memoria.

Microsoft ha valutato che Storm-1359 ha accesso a una raccolta di botnet e strumenti che potrebbero consentire all’autore della minaccia di lanciare attacchi DDoS da più servizi cloud e infrastrutture proxy aperte. Storm-1359 sembra concentrarsi su interruzioni e pubblicità.

Microsoft ha concluso il post con una serie di suggerimenti e raccomandazioni per i clienti di Azure per proteggerli dagli attacchi DDoS di livello 7 in futuro. La società, tuttavia, non ha rivelato dettagli relativi al danno o all’eventuale impatto finanziario che ha dovuto subire a causa dell’attacco.