Microsoft reveló que el incidente de "caída del sistema" a principios de junio fue causado por un ataque DDoS

En la primera semana de junio, Microsoft experimentó inesperadamente una grave interrupción que afectó a la mayoría de sus servicios, incluidos Azure, Outlook y Teams. Microsoft arregló todo rápidamente y los clientes no informaron daños importantes. Sin embargo, solo ahora la empresa con sede en Redmond ha comenzado a descubrir la causa del problema. Y como muchos expertos esperaban, el problema surge de un ciberataque a gran escala.

En una publicación de blog reciente, Microsoft reveló detalles de un ataque que tuvo lugar a principios de junio contra la infraestructura de red que causó interrupciones en varios servicios y los ingenieros de la compañía tardaron casi 15 horas en eliminarlo. Según el gigante con sede en Redmond, la compañía identificó un aumento repentino en el tráfico de algunos de sus servicios e inmediatamente inició una investigación sobre un ataque DDoS (Distributed Denial of Service).

Además, Microsoft señaló que los actores de la amenaza utilizaron varios servidores privados virtuales (VPS), servidores proxy, infraestructura de nube arrendada, así como varias herramientas DDoS para llevar a cabo el ataque.Aunque el caso es relativamente complejo, Microsoft confirmó que no se accedió a los datos del cliente ni se comprometió en absoluto.

Esta actividad DDoS reciente apunta a la capa 7, no a la capa 3 o 4. Microsoft ha mejorado sus defensas de la capa 7, incluido el ajuste de Azure Web Application Firewall (WAF) para proteger mejor a los clientes de los efectos de tales ataques DDoS.

Microsoft también compartió algunos detalles técnicos sobre el ataque. Según la empresa, una amenaza con el identificador Storm-1359 utilizó una serie de botnets y herramientas para lanzar un ataque contra los servidores de la empresa. Estos ataques incluyen la sobrecarga del sistema HTTP(S) y el agotamiento de los recursos a través de una gran cantidad de solicitudes SSL/TLS y protocolos de enlace HTTP(S). En el caso de Microsoft, el atacante envió millones de solicitudes HTTP(S) desde innumerables direcciones IP de todo el mundo para sobrecargar el sistema.

No solo eso, el atacante también usa el desvío de caché para eludir la capa CDN y sobrecargar el sistema de origen con una serie de solicitudes.Finalmente, continúan usando Slowloris, donde el cliente solicita un recurso del servidor pero no acusa recibo del recurso, obligando al servidor a mantener la conexión abierta y el recurso en la memoria.

Microsoft concluye la publicación con una serie de consejos y recomendaciones para que los clientes de Azure se protejan de futuros ataques DDoS de nivel 7. Sin embargo, la compañía no reveló detalles sobre el daño o el impacto financiero sufrido como resultado del ataque.

Aunque no es una nueva forma de ataque, DDoS siempre se ha considerado la mayor amenaza para las organizaciones y empresas globales. Lo que es más peligroso, se prevé que tanto la sofisticación como la escala de los ataques DDoS se disparen recientemente y se establezcan constantemente nuevos récords.