Microsoft bestätigt DDoS Angriffe: Was Sie wissen sollten
Nach einer Reihe von Ausfällen in diesem Monat, die auch Microsoft 365 und Azure betroffen haben, hat das Unternehmen eingestanden, dass es von einer DDoS Attacke betroffen war.
Zwar sind Störungen bei Microsoft beileibe nicht ausgeschlossen. Aber die Problemserie, die das Unternehmen Anfang Juni in den USA erlebt hat, war bemerkenswert. Anfang des Monats kam es an zwei aufeinanderfolgenden Tagen bei Microsoft 365-Diensten sowie Teams und Outlook zu weitreichenden Ausfällen, gefolgt von einem größeren OneDrive-Ausfall einige Tage später. Am darauffolgenden Tag fiel das Portal für die Azure-Cloud-Plattform für Tausende Nutzer aus.
Während Microsoft zunächst keine konkrete Ursache für die fast einwöchigen Ausfälle nannte, hat das Unternehmen nun bestätigt, dass DDoS-Angriffe (Distributed Denial-of-Service) dafür verantwortlich waren. Medien wie BleepingComputer hatten zuvor berichtet, dass eine Gruppe Aktivisten die Verantwortung für die Störung der Microsoft-Dienste übernommen hat.
In seiner Mitteilung erklärte Microsoft, man habe eine Gruppe identifiziert habe, die für die Angriffe verantwortlich sei, und nannte Einzelheiten zu einigen Angriffs-Taktiken. Das Unternehmen machte jedoch keine genauen Angaben zu den Auswirkungen der Ausfälle. CRN hat Microsoft um eine weitere Stellungnahme gebeten.
Im Folgenden finden Sie fünf wichtige Informationen über die jüngste Welle von DDoS-Angriffen auf Microsoft-Cloud-Dienste.
‘Surges In Traffic'
Microsoft hatte zuvor lediglich eingeräumt, dass die Ausfälle auf DDoS-Angriffe zurückzuführen sind, und gesagt, dass "Surges in Traffic" das Azure-Portal am 9. Juni lahmgelegt hat. Microsoft hatte auch DDoS angedeutet, als es darum ging, Load Balancing zu implementieren, um die Probleme zu beheben.
In einem Posting am späten Freitag bestätigte das Unternehmen über sein Microsoft Security Response Center, dass DDoS-Angriffe seine Dienste Anfang des Monats beeinträchtigt hatten: "Anfang Juni 2023 stellte Microsoft einen starken Anstieg des Datenverkehrs bei einigen Diensten fest, der die Verfügbarkeit vorübergehend beeinträchtigte".
Wenig konkret
Microsoft hat jedoch nicht viele Einzelheiten zu den Auswirkungen des Angriffs genannt. Stattdessen konzentrierte sich das Unternehmen auf technische Details zu den Arten von DDoS-Angriffen, die die Angreifer einsetzten, sowie auf Empfehlungen zum Schutz vor diesen Angriffen. Diese Details sind zwar nützlich, geben aber wenig Aufschluss darüber, welche Auswirkungen die Angriffe auf die Kunden tatsächlich hatten und wie viele betroffen waren.
Als Angreifer benannte Microsoft eine Gruppe "Storm-1359". In mehreren anderen Berichten wurde angedeutet, dass es sich bei dieser Gruppe um Aktivisten handelt, die sich Anonymous Sudan nennen und die Anfang des Monats die Verantwortung für die Abschaltung von Microsoft-Diensten übernommen haben.
Besorgniserregend: Der Ausfall von Azure
Der Ausfall des Azure Portals am 9. Juni war besonders besorgniserregend. Das Unternehmen hat in einem separaten Posting einige weitere Details bekannt gegeben. Darin heißt es, dass "unsere interne Telemetrie eine Anomalie mit erhöhten Anfrageraten meldete und das Azure-Portal in mehreren Regionen die Meldung 'Dienst nicht verfügbar' anzeigte".
Die Analyse des Datenverkehrs zeigte eine anomale Spitze von HTTP-Anfragen, die direkt gegen das Azure-Portals gerichtet waren und die Sicherheitsmaßnahmen umgingen.
Downdetector, eine Website, die Ausfälle dokumentiert, hatte Tausende von Benutzerberichten über Azure-Probleme über mehrere Stunden am 9. Juni protokolliert.
Ausfälle bei Microsoft 365 und OneDrive
Die Ausfälle bei Microsoft 365-Diensten wie Outlook, Teams und SharePoint Online traten erstmals am 5. Juni auf. Am darauffolgenden Tag teilte das Unternehmen mit, dass es bei seinen cloudbasierten Produktivitäts- und Kollaborationsanwendungen von Microsoft 365 zu "wiederholten" Serviceproblemen gekommen sei. Tausende von Nutzern meldeten Downdetector in dieser Zeit Probleme mit den Microsoft 365-Diensten.
Einige Tage später, am 8. Juni, war OneDrive betroffen. "Sorry, an Error has occurred" war die lapidare Meldung für Nutzer, die keinen Zugriff mehr aus ihren Cloud-Dateispeicherdienst hatten.
Als Reaktion auf die Angriffe erklärte Microsoft in seinem Posting, dass es "die Schutzmaßnahmen im Layer 7, einschließlich der Abstimmung der Azure Web Application Firewall (WAF)", gehärtet habe, um Kunden besser vor den Auswirkungen ähnlicher DDoS-Angriffe zu schützen.
Die Taktiken der Hackergruppe
Auf "Störungen und Publicity sei die Hackergruppe Strom-1359 ausgewesen, erklärte Microsoft. Die Gruppe habe Zugang zu Botnetzen und Tools, um DDoS-Angriffe von unterschiedlichen Cloud-Diensten und Proxy-Infrastrukturen zu starten.
Die Angriffe "beruhen wahrscheinlich auf dem Zugang zu mehreren Virtual Private Servern (VPS) in Verbindung mit einer gemieteten Cloud-Infrastruktur, offenen Proxys und DDoS-Tools", so das Unternehmen weiter.
Die Gruppe sei dafür bekannt, dass sie "verschiedene Arten von DDoS-Angriffen auf Layer 7" verwendet, so Microsoft. Dazu gehören ein HTTP(S)-Flood-Angriff, der darauf abzielt, die Systemressourcen mit einer hohen Anzahl von SSL/TLS-Handshakes und HTTP(S)-Anfragen zu überlasten, sowie Angriffe, die versuchen, die Infrastruktur von Content Delivery Networks (CDN) zu umgehen, um Server zu überlasten. Sowie ein Angriff, der versucht, einen Webserver auszutricksen, damit er eine Verbindung offen hält.