Laut Microsoft war der Ausfall seiner Dienste Anfang Juni auf einen DDoS-Cyberangriff zurückzuführen

In der ersten Juniwoche kam es bei Microsoft zu einem großen Ausfall, der fast alle seine Dienste, einschließlich Azure, Outlook und Teams, betraf . Das Unternehmen hat nun bekannt gegeben, dass ein Cyberangriff hinter dem weltweiten Ausfall steckt.

In einem Blogbeitrag hat Microsoft Details zu dem Angriff von Anfang Juni bekannt gegeben, der zu Störungen seiner Dienste führte und fast 15 Stunden dauerte, bis das Unternehmen Abhilfe schaffte. Nach Angaben des Redmond-Riesen stellte das Unternehmen einen Anstieg des Datenverkehrs gegen einige seiner Dienste fest und leitete eine Untersuchung des DDoS-Angriffs (Distributed Denial-of-Service) ein.

Microsoft stellte außerdem fest, dass die Bedrohungsakteure mehrere Virtual Private Server (VPS), Proxys, gemietete Cloud-Infrastruktur sowie DDoS-Tools zur Durchführung des Angriffs nutzten. Obwohl der Angriff ausgefeilt war, bestätigte Microsoft, dass weder auf Kundendaten zugegriffen wurde noch diese kompromittiert wurden.

Diese jüngste DDoS-Aktivität zielte auf Schicht 7 und nicht auf Schicht 3 oder 4 ab. Microsoft hat die Schutzmaßnahmen für Schicht 7 verstärkt, einschließlich der Optimierung der Azure Web Application Firewall (WAF), um Kunden besser vor den Auswirkungen ähnlicher DDoS-Angriffe zu schützen.

Microsoft teilte auch die technischen Details des Angriffs mit. Nach Angaben des Unternehmens nutzte der Bedrohungsakteur Storm-1359 eine Sammlung von Botnetzen und Tools, um den Angriff auf die Server des Unternehmens zu starten. Dazu gehörte ein HTTP(S)-Flood-Angriff, um das System zu überlasten und die Ressourcen durch eine hohe Last an SSL/TLS-Handshakes und HTTP(S)-Anfragen zu erschöpfen. Im Fall von Microsoft hatte der Angreifer Millionen von HTTP(S)-Anfragen von IP-Adressen rund um den Globus gesendet, um das System zu überlasten.

Darüber hinaus nutzte der Angreifer die Cache-Umgehung, um die CDN-Schicht zu überspringen und das ursprüngliche System mit einer Reihe von Abfragen zu überlasten. Schließlich hatte der Angreifer Slowloris verwendet, bei dem der Client eine Ressource vom Server anfordert, den Empfang der Ressource jedoch nicht bestätigt, wodurch der Server gezwungen wird, die Verbindung offen zu halten und die Ressource in seinem Speicher zu behalten.

Microsoft schätzte, dass Storm-1359 Zugriff auf eine Sammlung von Botnetzen und Tools hat, die es dem Bedrohungsakteur ermöglichen könnten, DDoS-Angriffe von mehreren Cloud-Diensten und offenen Proxy-Infrastrukturen aus zu starten. Storm-1359 scheint sich auf Störung und Werbung zu konzentrieren.

Microsoft beendete den Beitrag mit einer Reihe von Tipps und Empfehlungen für Azure-Kunden, um sie künftig vor Layer-7-DDoS-Angriffen zu schützen. Das Unternehmen machte jedoch keine Angaben zu den Schäden oder den finanziellen Auswirkungen, die ihm durch den Angriff entstanden waren.