La cuestión se está aclarando un poco después de una sucesión de interrupciones del servicio notadas a principios de mes por Microsoft. Azure, Outlook y OneDrive se vieron afectados. El 9 de junio un grupo llamado Anonymous Sudan, también llamado Stom-1359 había afirmado un ataque de saturación (DDoS), sin que el editor haya confirmado esta información. Lo acaba de hacer dando algunos detalles.

El ataque DDoS se llevó a cabo en la capa de aplicación (nivel 7 del modelo OSI), especifica el informe de microsoft. En cuanto a los métodos, señala un tríptico: ataque de saturación HTTPS (multiplicando las solicitudes HTTPS), bypass de caché (los atacantes evitan la capa CDN, lo que puede provocar una sobrecarga de los servidores originales) y Slowloris. Este ataque implica que el cliente abra una conexión a un servidor web, solicite un recurso (por ejemplo, una imagen) y luego no reconozca la descarga (o la acepte lentamente). Esto obliga al servidor web a mantener la conexión abierta y el recurso solicitado en la memoria.

Fortalecimiento de WAF en Azure

En su informe, microsoft señala que el ataque DDoS comenzó a principios de junio, siendo el objetivo el portal web Outlook.com el 7 de junio, seguido de OneDrive el 8 de junio y el portal Azure el 9 de junio. Tras esta campaña, Microsoft inició una investigación interna que sugiere la amenaza El actor utilizó múltiples servidores privados virtuales, infraestructura en la nube alquilada, proxies abiertos y herramientas DDoS para llevar a cabo su ofensiva.

A pesar de las interrupciones, Microsoft quiere dar tranquilidad al enfatizar "que no hay evidencia de que se haya accedido a los datos de los clientes o se hayan visto comprometidos durante estos ataques". La firma estadounidense anunció el refuerzo de su protección contra ataques DDoS dirigidos a la capa 7 a través del servicio WAF (Web Application Firewall) en Azure. Aconseja a los administradores que revisen sus medidas, incluido el conjunto de reglas administradas para la protección contra bots conocidos, el bloqueo de direcciones IP y rangos identificados como maliciosos. También deben gestionar el tráfico según la región geográfica y crear reglas WAF personalizadas para bloquear o limitar ataques con firmas conocidas.