Confirmação veio por meio de nota publicada pelo Centro de Segurança e Resposta da gigante de tecnologia. No início desse mês, foram detectados picos grandes e esporádicos de tráfego afetaram os pacotes Office 365, o OneDrive e a Azure
A Microsoft confirmou através de uma publicação na noite da última sexta-feira (16), que as instabilidades sentidas em diversos serviços da companhia na primeira semana de junho foram consequência de um ciberataque de DDoS. A ação, segundo o posicionamento, foi executada por um grupo hacktivista monitorado pela alcunha de Storm-1359.
De acordo com a corporação, uma investigação sobre o caso foi aberta tão logo se registraram os picos de movimento, rastreando atividades de DDoS levadas à cabo pelo grupo hacker. O ataque teria se baseado essencialmente no acesso a um conjunto de Servidores Virtuais Privados, em conjunto a proxies abertos e infraestruturas alugadas de nuvem. Não foram encontradas evidências de acesso ou comprometimento de informações de usuários.
Ainda através da nota, a Microsoft afirmou que a atividade mirou especialmente a camada 7 dos serviços, orientando o fortalecimento das proteções desse nívelcom a ativação do Firewall da Azure de forma a preservar os clientes de eventuais desdobramentos.
O comunicado ainda orienta que os usuários revejam os detalhes técnicos e ações recomendadas da companhia visando ampliar a resiliência dos ambientes digitais e mitigar incidentes similares.
Segundo informações da Agência Reuters, os serviços ligados ao Microsoft Office 365, incluindo Teams e Outlook, além de serviços de nuvem do OneDrive e do Microsoft Azure sofreram com instabilidade intensa por mais de duas horas no dia 5 de junho, com alguma recorrência sendo detectada na manhã do dia seguinte. Esta foi a quarta interrupção do tipo na empresa em um ano.
A Security Report publica o comunicado da Microsoft que veio ao ar na última sexta-feira (16):
“A partir do início de junho de 2023, a Microsoft identificou picos de tráfego em alguns serviços que afetaram temporariamente a disponibilidade. A Microsoft prontamente abriu uma investigação e, posteriormente, começou a rastrear a atividade de DDoS em andamento pelo agente de ameaças, monitorados pela Microsoft como Storm-1359.
Esses ataques provavelmente dependem do acesso a vários servidores virtuais privados (VPS) em conjunto com a infraestrutura de nuvem alugada, proxies abertos e ferramentas de DDoS.
Não vimos nenhuma evidência de que os dados dos clientes tenham sido acessados ou comprometidos.
Essa recente atividade de DDoS teve como alvo a camada 7, e não as camadas 3 ou 4. A Microsoft reforçou as proteções da camada 7, incluindo o ajuste do Azure Web Application Firewall (WAF), para proteger melhor os clientes contra o impacto de ataques DDoS semelhantes. Embora essas ferramentas e técnicas sejam altamente eficazes na mitigação da maioria das interrupções, a Microsoft analisa consistentemente o desempenho de seus recursos de proteção e incorpora os aprendizados para refinar e melhorar sua eficácia.
Os clientes devem analisar os detalhes técnicos e a seção de ações recomendadas deste blog para aumentar a resiliência de seus ambientes e ajudar a atenuar ataques semelhantes.
Detalhes técnicos
A Microsoft avaliou que o Storm-1359 tem acesso a uma coleção de botnets e ferramentas de ataques DDoS a partir de vários serviços de nuvem e infraestruturas de proxy aberto. O Storm-1359 parece estar focado em perturbação e publicidade.
O Storm-1359 foi observado lançando vários tipos de tráfego de ataque DDoS de camada 7:
Ataque de inundação HTTP(S) – Esse ataque visa esgotar os recursos do sistema com uma alta carga de handshakes SSL/TLS e processamento de solicitações HTTP(S). Nesse caso, o invasor envia uma carga alta (na casa dos milhões) de solicitações HTTP(S) que são bem distribuídas em todo o mundo a partir de diferentes IPs de origem. Isso faz o backend do aplicativo ficar sem recursos de computação (CPU e memória).
Contorno de cache – esse ataque tenta contornar a camada de CDN e pode resultar na sobrecarga dos servidores de origem. Nesse caso, o invasor envia uma série de consultas contra URLs gerados que forçam a camada de front-end a encaminhar todas as solicitações para a origem, em vez de servir a partir do conteúdo em cache.
Slowloris – esse ataque ocorre quando o cliente abre uma conexão com um servidor da Web, solicita um recurso (por exemplo, uma imagem) e, em seguida, não reconhece o download (ou o aceita lentamente). Isso força o servidor da Web a manter a conexão aberta e o recurso solicitado na memória.
Recomendações – Dicas de proteção contra DDoS da camada 7
A Microsoft recomenda que os clientes analisem as seguintes atenuações para reduzir o impacto dos ataques DDoS de camada 7:
Use serviços de proteção da camada 7, como o Azure Web Application Firewall (WAF) (disponível com o Azure Front Door, Azure Application Gateway) para proteger os aplicativos Web.”
Com informações da Agência Reuters.
