No dia 5 de julho a Microsoft relatou problemas em seu sistema principalmente Centro de Administração do Microsoft 365 e problemas em geral no Exchange Online e no Outlook , um tempo depois Microsoft atualizou status informando que possivelmente alguma alteração feita no sistema acarretou estes problemas, como suspeitado Microsoft identificou um problema com atualização recente a empresa afirmou que estava revertendo as situações.
A Microsoft detalhou o ataque em um post de blog no início de junho que interrompeu o serviço e levou quase 15 horas para repelir. Uma grande empresa de Redmond disse que viu um aumento no tráfego para alguns serviços e lançou uma investigação sobre um ataque distribuído de negação de serviço (DDoS).
A Microsoft também descobriu que os invasores usaram vários servidores privados virtuais (VPS), proxies, infraestrutura de nuvem alugada e ferramentas DDoS para realizar seus ataques. Embora o ataque tenha sido sofisticado, a Microsoft confirmou que nenhum dado do cliente foi acessado ou comprometido.
Essa atividade recente de DDoS visava a Camada 7 em vez da Camada 3 ou 4. A Microsoft aprimorou as proteções da Camada 7, incluindo a otimização do Azure Web Application Firewall (WAF) para proteger melhor os clientes do impacto de ataques DDoS semelhantes.
A Microsoft também compartilhou detalhes técnicos do ataque. De acordo com a empresa, o agente da ameaça Storm-1359 lançou um ataque contra os servidores da empresa usando uma variedade de botnets e ferramentas. Isso incluiu um ataque de inundação HTTP(S) que sobrecarregou o sistema com um grande número de handshakes SSL/TLS e solicitações HTTP(S) e recursos esgotados. No caso da Microsoft, os invasores enviaram milhões de solicitações HTTP(S) de endereços IP de todo o mundo, sobrecarregando o sistema.
Além disso, o invasor usou o desvio de cache para ignorar a camada CDN e sobrecarregar o sistema original com uma série de consultas. Por fim, os atacantes se aproveitaram de Slowloris. No Slowloris, um cliente solicita um recurso do servidor, mas não confirma o recebimento do recurso, forçando o servidor a manter a conexão aberta e manter o recurso na memória.
A Microsoft determinou que Storm-1359 tem acesso a uma variedade de botnets e ferramentas que podem permitir que invasores lancem ataques DDoS de vários serviços em nuvem e infraestruturas de proxy abertas. Storm-1359 parece se concentrar em destruição e publicidade.
A Microsoft concluiu o post com um conjunto de dicas e recomendações para proteger os clientes do Azure de futuros ataques DDoS da Camada 7. No entanto, a empresa não divulgou os danos ou o impacto financeiro do ataque.
