De incidenten van begin juni veroorzaakten enkele onderbrekingen in de dienstverlening, maar Microsoft zegt dat er geen klantgegevens zijn gecompromitteerd.
Microsoft Security Response Center (MSRC) heeft een gedetailleerde analyse uitgebracht van de cyberaanvallen die eerder deze maand online diensten platlegden. Het antwoord beschrijft een serie Layer 7 distributed denial-of-service-aanvallen gelanceerd door een dreigingsactor die Microsoft Storm-1359 noemt.
Volgens Microsoft onderbraken de Layer 7 DDoS-aanvallen de populairste diensten van het bedrijf, waaronder Azure, Outlook en OneDrive. Een “Layer 7”-aanval is een vorm van DDoS die gericht is op de toepassingslaag van de internetprotocolsuite. De aanvalsvector maakt gebruik van een groot aantal verzoeken om de applicatielaag te overweldigen en serviceonderbrekingen of uitval te veroorzaken.
Microsoft heeft vastgesteld dat Storm-1359 toegang heeft tot een grote verzameling botnets en tools. Hiermee zou de dreigingsactor DDoS-aanvallen kunnen uitvoeren vanuit meerdere cloudservices en open proxy-infrastructuren. Storm-1359 lijkt gericht te zijn op verstoring en publiciteit, aldus MSRC.
Toekomstige verstoringen voorkomen
De DDoS-aanval richtte zich op 7 juni eerst op het webportaal van Outlook.com. Vervolgens gingen de aanvallers op 8 juni naar OneDrive, gevolgd door de Microsoft Azure Portal op 9 juni. MSRC zegt dat Storm-1359’s aanvalsmethoden HTTP(S) flood aanvallen, cache bypass en Slowloris omvatten, elk ontworpen om de beschikbare verbindingen van een webservice te overspoelen, waardoor deze geen nieuwe verzoeken meer kan verwerken.
Na de aanvallen startte Microsoft een gedetailleerd onderzoek en nam stappen om toekomstige aanvallen te beperken of te voorkomen.
“Deze recente DDoS-activiteit was gericht op layer 7 in plaats van layer 3 of 4”, legt MSRC uit. Microsoft zegt dat het layer 7-beschermingen heeft “versterkt”, waaronder het afstemmen van Azure Web Application Firewall (WAF) om klanten beter te beschermen tegen de impact van soortgelijke DDoS-aanvallen. “Hoewel deze tools en technieken zeer effectief zijn in het beperken van de meerderheid van de verstoringen, beoordeelt Microsoft consequent de prestaties van zijn hardening-mogelijkheden en neemt de lessen op in het verfijnen en verbeteren van hun effectiviteit”, aldus het bedrijf.
Hoewel de aanvallers diensten verstoorden, lieten ze klantgegevens onaangetast, aldus Microsoft. “We hebben geen bewijs gezien dat klantgegevens zijn benaderd of gecompromitteerd”, aldus de reactie.
Tip: Microsoft biedt mogelijkheid Surface-onderdelen te vervangen
2 dagen geleden
