All’inizio del mese, molti utenti hanno segnalato problemi di accesso a vari servizi di Microsoft, tra cui Outlook, OneDrive e Azure. L’azienda di Redmond ha confermato ufficialmente di aver subito diversi attacchi DDoS (Distributed Denial-of-Service) di livello 7 da parte del gruppo Storm-1359, noto anche come Anonymous Sudan.
Dettagli tecnici e soluzioni
In seguito agli attacchi, Microsoft non aveva subito confermato la causa, segnalando però picchi di traffico che hanno impedito l’accesso ai servizi e l’applicazione del bilanciamento del carico. L’azienda di Redmond spiega ora che gli attacchi sono stati effettuati con VPS (Virtual Private Server), infrastrutture cloud, open proxy, botnet e tool DDoS.
Gli attacchi DDoS hanno preso di mira il livello 7 (ovvero il livello Applicazione del modello OSI), invece dei livelli 3 o 4 (Rete e Trasporto). Questo tipo di attacco è più difficile da rilevare e mitigare, ma Microsoft ha rafforzato il WAF (Web Application Firewall) di Azure per proteggere i clienti.
In dettaglio sono stati utilizzati tre attacchi DDoS layer 7: HTTP(S) flood attack, Cache bypass e Slowloris. Lo scopo di un HTTP(S) flood attack è quello di esaurire le risorse di sistema (CPU e RAM) con un numero elevato di handshake SSL/TLS e richieste HTTP(S).
Il Cache bypass consente invece di aggirare il livello CDN e sovraccaricare i server di origine. Infine, Slowloris forza il server web a mantenere una connessione aperta (ad esempio per la richiesta di un’immagine) e consumare RAM. Microsoft fornisce alcuni suggerimenti per ridurre l’impatto di un attacco DDoS di livello 7, tra cui l’uso del Web Application Firewall di Azure.