Após suspeitas, Microsoft confirma ataques de DDoS nos servidores Azure

Compartilhar:

Confirmação veio por meio de nota publicada pelo Centro de Segurança e Resposta da gigante de tecnologia. No início desse mês, foram detectados picos grandes e esporádicos de tráfego afetaram os pacotes Office 365, o OneDrive e a Azure

A Microsoft confirmou através de uma publicação na noite da última sexta-feira (16), que as instabilidades sentidas em diversos serviços da companhia na primeira semana de junho foram consequência de um ciberataque de DDoS. A ação, segundo o posicionamento, foi executada por um grupo hacktivista monitorado pela alcunha de Storm-1359.

De acordo com a corporação, uma investigação sobre o caso foi aberta tão logo se registraram os picos de movimento, rastreando atividades de DDoS levadas à cabo pelo grupo hacker. O ataque teria se baseado essencialmente no acesso a um conjunto de Servidores Virtuais Privados, em conjunto a proxies abertos e infraestruturas alugadas de nuvem. Não foram encontradas evidências de acesso ou comprometimento de informações de usuários.

Ainda através da nota, a Microsoft afirmou que a atividade mirou especialmente a camada 7 dos serviços, orientando o fortalecimento das proteções desse nívelcom a ativação do Firewall da Azure de forma a preservar os clientes de eventuais desdobramentos.

O comunicado ainda orienta que os usuários revejam os detalhes técnicos e ações recomendadas da companhia visando ampliar a resiliência dos ambientes digitais e mitigar incidentes similares.

Segundo informações da Agência Reuters, os serviços ligados ao Microsoft Office 365, incluindo Teams e Outlook, além de serviços de nuvem do OneDrive e do Microsoft Azure sofreram com instabilidade intensa por mais de duas horas no dia 5 de junho, com alguma recorrência sendo detectada na manhã do dia seguinte. Esta foi a quarta interrupção do tipo na empresa em um ano.

A Security Report publica o comunicado da Microsoft que veio ao ar na última sexta-feira (16):

“A partir do início de junho de 2023, a Microsoft identificou picos de tráfego em alguns serviços que afetaram temporariamente a disponibilidade. A Microsoft prontamente abriu uma investigação e, posteriormente, começou a rastrear a atividade de DDoS em andamento pelo agente de ameaças, monitorados pela Microsoft como Storm-1359.

Esses ataques provavelmente dependem do acesso a vários servidores virtuais privados (VPS) em conjunto com a infraestrutura de nuvem alugada, proxies abertos e ferramentas de DDoS.

Não vimos nenhuma evidência de que os dados dos clientes tenham sido acessados ou comprometidos.

Essa recente atividade de DDoS teve como alvo a camada 7, e não as camadas 3 ou 4. A Microsoft reforçou as proteções da camada 7, incluindo o ajuste do Azure Web Application Firewall (WAF), para proteger melhor os clientes contra o impacto de ataques DDoS semelhantes.  Embora essas ferramentas e técnicas sejam altamente eficazes na mitigação da maioria das interrupções, a Microsoft analisa consistentemente o desempenho de seus recursos de proteção e incorpora os aprendizados para refinar e melhorar sua eficácia.

Os clientes devem analisar os detalhes técnicos e a seção de ações recomendadas deste blog para aumentar a resiliência de seus ambientes e ajudar a atenuar ataques semelhantes.

Detalhes técnicos

A Microsoft avaliou que o Storm-1359 tem acesso a uma coleção de botnets e ferramentas de ataques DDoS a partir de vários serviços de nuvem e infraestruturas de proxy aberto. O Storm-1359 parece estar focado em perturbação e publicidade.

O Storm-1359 foi observado lançando vários tipos de tráfego de ataque DDoS de camada 7:

Ataque de inundação HTTP(S) – Esse ataque visa esgotar os recursos do sistema com uma alta carga de handshakes SSL/TLS e processamento de solicitações HTTP(S). Nesse caso, o invasor envia uma carga alta (na casa dos milhões) de solicitações HTTP(S) que são bem distribuídas em todo o mundo a partir de diferentes IPs de origem. Isso faz o backend do aplicativo ficar sem recursos de computação (CPU e memória).

Contorno de cache – esse ataque tenta contornar a camada de CDN e pode resultar na sobrecarga dos servidores de origem. Nesse caso, o invasor envia uma série de consultas contra URLs gerados que forçam a camada de front-end a encaminhar todas as solicitações para a origem, em vez de servir a partir do conteúdo em cache.

Slowloris – esse ataque ocorre quando o cliente abre uma conexão com um servidor da Web, solicita um recurso (por exemplo, uma imagem) e, em seguida, não reconhece o download (ou o aceita lentamente). Isso força o servidor da Web a manter a conexão aberta e o recurso solicitado na memória. 

Recomendações – Dicas de proteção contra DDoS da camada 7

A Microsoft recomenda que os clientes analisem as seguintes atenuações para reduzir o impacto dos ataques DDoS de camada 7:

Use serviços de proteção da camada 7, como o Azure Web Application Firewall (WAF) (disponível com o Azure Front Door, Azure Application Gateway) para proteger os aplicativos Web.”

Com informações da Agência Reuters.


Conteúdos Relacionados

Security Report | Destaques

Cisco emite esclarecimento sobre suposto vazamento de dados

Publicações apontando um possível vazamento de dados anunciado em um fórum na Dark Web circularam durante essa semana. Em nota,...
Security Report | Destaques

Regulação da IA: CISOs e operadores do direito analisam Projeto de Lei

O Senado Federal aprovou a lei em plenário neste mês de dezembro, avançando com a possibilidade de estabelecer normas mais...
Security Report | Destaques

CISO no Board: o desafio de comunicar a linguagem da SI ao negócio

Como líderes de Cibersegurança podem ajustar seu discurso para estabelecer uma ponte efetiva com os conselheiros e influenciar decisões estratégicas
Security Report | Destaques

Unidas Aluguel de Carros identifica tentativa de invasão aos sistemas

Registros de que a companhia havia sido atacada por um ransomware começaram a circular nesta semana, quando grupos de monitoramento...