Microsoft подтверждает глобальный сбой Azure, вызванный DDoS-атакой

Microsoft подтвердила, что причиной сбоя 30 июля стала распределенная атака типа «отказ в обслуживании». Однако в ее рекомендациях было добавлено, что проблема усугубилась «ошибкой в ​​реализации их защиты» во время попытки смягчения последствий.

Облачные сервисы Azure были затронуты примерно между 11:45 UTC и 19:43 UTC после переполнения интернет-трафиком. Специалисты по безопасности из Редмонда говорят, что компоненты Azure Front Door и Azure Content Delivery Network «работали ниже приемлемых пороговых значений, что приводило к периодическим ошибкам, тайм-аутам и скачкам задержек».

У Microsoft есть механизмы защиты от DDoS, которые срабатывают автоматически. Однако ошибка в их реализации «усилила воздействие атаки, а не смягчила его». Команда безопасности внесла изменения в конфигурацию сети и выполнила аварийное переключение на альтернативные сетевые пути, чтобы облегчить работу основных систем.

Большая часть последствий была устранена в течение двух с половиной часов, но в 18:00 UTC потребовалось провести дополнительную работу, чтобы восстановить доступность для всех пользователей. Инцидент был объявлен исчерпанным в 20:48 UTC.

Сторона, ответственная за DDoS, пока не определена. Однако группа хактивистов «SN_blackmeta» взяла на себя ответственность. Microsoft заявляет, что опубликует предварительный обзор инцидента до конца недели и более подробный обзор в течение 14 дней.

TechRepublic обратилась в Microsoft за комментариями.

СМ.: Белые хакеры обнаружили утечку 38 ТБ внутренних данных Microsoft через хранилище Azure

Сбой в работе Azure имел глобальный масштаб и затронул часть клиентов, пытавшихся подключиться к службам приложений Azure, Application Insights, Azure IoT Central, оповещениям поиска журналов Azure, политике Azure, самому порталу Azure, а также часть служб Microsoft 365 и Microsoft Purview.

Во вторник многие организации выступили с заявлениями, уведомив пользователей о том, что их сервисы были нарушены в результате атаки Azure DDoS. К ним относятся создатель Minecraft Mojang, CodeSpaces GitHub, DocuSign, компании водоснабжения, суды и футбольные клубы. Позднее Microsoft извинилась за причиненные неудобства.

Стивен Робинсон, старший аналитик по разведке угроз в компании по безопасности WithSecure, сообщил TechRepublic в своем заявлении по электронной почте: «Современные онлайн-сервисы построены на многоуровневых зависимостях, и в значительной части сервисных стеков вы найдете сервисы Microsoft. Один из затронутых сервисов Microsoft, Entra, используется для того, чтобы позволить людям входить в сервисы и веб-сайты, и без него пользователи не смогут войти в систему.

«Таким образом, хотя этот сбой длился недолго и затронул лишь часть услуг, его последствия все равно были заметны для многих людей».

Что такое атака типа «отказ в обслуживании»?

Атака типа «отказ в обслуживании» (DoS) — это стратегия атаки, при которой злоумышленник пытается помешать другим лицам получить доступ к веб-серверу, веб-приложению или облачному сервису, перегружая его запросами на обслуживание.

В то время как DoS-атака по сути имеет единый источник, распределенная атака типа «отказ в обслуживании» (DDoS) использует большое количество машин в разных сетях для нарушения работы конкретного поставщика услуг; ее сложнее нейтрализовать, поскольку атака осуществляется из нескольких источников.

Число DDoS-атак растет

DDoS-атаки становятся все более распространенными. Cloudflare зафиксировал 20%-ный рост в годовом исчислении во втором квартале 2024 года после 50%-ного роста в первом квартале. Есть признаки того, что этот рост связан с геополитикой, при этом анти-DDoS-сервис Stormwall отметил корреляцию с периодами выборов и ростом атак на Израиль после эскалации конфликта в секторе Газа.

СМОТРИТЕ: Новая DDoS-атака бьет рекорды: Google, AWS и Cloudflare сообщили о быстром сбросе HTTP/2 нулевого дня

Серьезные DDoS-атаки, влияющие на службы Microsoft, редки, но не являются чем-то необычным. В июне 2023 года группа хактивистов Anonymous Sudan совершила серию атак, нацеленных на Azure и другие онлайн-платформы, которые нарушили работу таких служб, как Outlook и OneDrive.

Компания Microsoft также сообщила об увеличении количества DDoS-атак в праздничный сезон того года, поскольку злоумышленники пытались воспользоваться меньшей численностью персонала.

Однако этим летом Microsoft страдала от сбоев, не связанных с DDoS. 19 июля десятки тысяч пользователей в США не смогли получить доступ к службам Microsoft 365 после изменения конфигурации Azure. Это произошло всего через несколько часов после того, как ошибка в обновлении датчика CrowdStrike Falcon нарушила работу 8,5 миллионов устройств Windows по всему миру.