BLOG

Schutz von Microsoft-Apps vor L7-DDoS-Angriffen

Jay Kelley Miniaturbild
Jay Kelly
Veröffentlicht am 29. Juni 2023

Viele von uns hatten in letzter Zeit Schwierigkeiten beim Zugriff auf einige der wichtigsten Anwendungen, die sowohl unsere Organisationen als auch wir als Einzelpersonen täglich privat oder für unsere Arbeit nutzen. Viele hatten Anfang Juni an mehreren aufeinanderfolgenden Tagen nacheinander Probleme beim Zugriff auf das Microsoft Outlook.com- Webportal, dann auf OneDrive und schließlich auf das Microsoft Azure-Portal .

Einige spekulierten, dass der fehlende Zugriff auf kritische Microsoft-Anwendungen möglicherweise auf eine Fehlkonfiguration zurückzuführen sei. Andere wiederum meinten, es könnte sich um einen Cyberangriff gehandelt haben. Microsoft teilte mit, dass das Unternehmen den erhöhten Datenverkehr seiner wichtigen Anwendungen bewältigt und ausgeglichen habe. 

Am Freitag, den 16. Juni, wurde dann in einem Blog des Microsoft Security Response Center (MSRC) mit dem Titel „Microsoft-Reaktion auf Layer 7-Distributed-Denial-of-Service-Angriffe (DDoS)“ die Grundursache für die Ausfälle der Microsoft-Anwendungen dargelegt, die am 7. Juni begannen und bis zum 9. Juni andauerten.

Das Blog bestätigte, dass Microsoft Opfer eines DDoS-Angriffs auf Layer 7 (L7) geworden war, der einen vorübergehenden Zugriff auf die Dienste verursachte, die in anderen Veröffentlichungen als Outlook.com, OneDrive und Microsoft Azure Portal identifiziert wurden .

Im Blogbeitrag hieß es, dass Microsoft „Spitzen im Datenverkehr bei einigen Diensten festgestellt hat, die die Verfügbarkeit vorübergehend beeinträchtigten“. Darin wurde auch erwähnt, dass Microsoft „umgehend eine Untersuchung eingeleitet und begonnen hat, laufende DDoS-Aktivitäten zu verfolgen“. Im MSRC-Blog wurde erklärt, dass der Angriff von einem Bedrohungsakteur verübt wurde, den Microsoft verfolgt und als Storm-1359, auch bekannt als Anonymous Sudan, identifiziert hat. Im Blog wurde hervorgehoben, dass Microsoft keine Hinweise darauf sehe, dass auf Kundendaten zugegriffen wurde oder diese kompromittiert wurden. Ziel der DDoS-Angriffe war es, die Angreifer – Storm-1359, auch bekannt als – zu stören, auf sie aufmerksam zu machen und ihnen Bekanntheit zu verschaffen. Anonymer Sudan.

Während viele DDoS-Angriffe auf Schicht 3 (Netzwerkschicht) oder Schicht 4 (Transportschicht) des OSI-Modells (Open Systems Interconnection) abzielen, stellt ein DDoS-Angriff auf Schicht 7 (Anwendungsschicht) eine ganz andere Sache dar. L7-DDoS-Angriffe sind viel schwieriger zu erkennen als L3- oder L4-DDoS-Angriffe, da sie in der Regel komplex und verdeckt sind und sich nicht vom legitimen Datenverkehr von Webanwendungen unterscheiden lassen. Die Angriffe zielen auf bestimmte Komponenten eines Anwendungsservers ab und bombardieren diese mit Anfragen, bis sie überlastet sind und auf keinen Datenverkehr mehr reagieren können. Diese Angriffe verändern sich auch, wobei sich die Angriffe häufig und oft zufällig ändern. 

Laut Microsoft nutzte der L7-DDoS-Angriff auf seine Dienste „eine Sammlung von Botnetzen und Tools“, die es den Angreifern ermöglichten, ihren Angriff von mehreren Cloud-Diensten und „offenen Proxy-Infrastrukturen“ aus zu starten, wobei sie sich auf virtuelle private Server, Cloud-Umgebungen, offene Proxys und gekaufte oder erworbene DDoS-Tools stützten.

Storm-1359 (auch bekannt als Anonymous Sudan) setzte drei verschiedene Arten von L7-DDoS-Angriffen gegen Microsoft ein:

  • HTTP(S)-Flood-Angriff, bei dem eine beträchtliche Anzahl von Anfragen, einschließlich SSL-/TLS-Handshakes und HTTP(S)-Anfragen von einer Vielzahl von Geräten aus verschiedenen Regionen und Quell-IP-Adressen, Systemressourcen wie CPU und Speicher überlasten, was dazu führt, dass ein Anwendungsserver die Verarbeitung von Anfragen einstellt.
  • Durch die Cache-Umgehung werden Content Delivery Networks (CDNs) umgangen, indem Anfragen an von einem Angreifer erstellte und erzeugte URLs gesendet werden, die die Anwendung anweisen, alle Anfragen an den Ursprungsserver weiterzuleiten.
  • Slowloris verwendet ein einzelnes System zum Herstellen einer Verbindung zu einem Webserver und erzwingt die Aufrechterhaltung der Verbindung, indem es die Annahme einer Ressourcenanforderung nicht bestätigt oder verlangsamt.

In dem Blogbeitrag erklärte Microsoft, sie hätten „die Layer-7-Schutzmaßnahmen verstärkt, einschließlich der Feinabstimmung der Azure Web Application Firewall (WAF), um Kunden besser vor DDoS-Angriffen zu schützen“.

Microsoft gab seinen Kunden mehrere Empfehlungen zum weiteren Schutz vor DDoS-Angriffen auf L7-Ebene (Anwendungsebene), darunter:

  • Verwenden von Azure WAF oder anderen L7-Diensten zum Schützen von Web-Apps
  • Verwenden des Bot-Schutzes in Azure WAF oder einem anderen Dienst zur Abwehr bösartiger Bots
  • Identifizieren und Blockieren bösartiger IP-Adressen und Bereiche
  • Blockieren, Festlegen von Ratenbegrenzungen oder Umleiten von Datenverkehr von außerhalb einer definierten geografischen Region oder innerhalb einer identifizierten Region
  • Nutzung bekannter Angriffssignaturen zur Erstellung benutzerdefinierter WAF-Richtlinien zur automatischen Blockierung oder Ratenbegrenzung bösartigen HTTP(S)-Verkehrs

Die Web-App- und API-Sicherheit (WAAP) von F5 hilft bereits vielen Microsoft-Benutzern und -Kunden, Web-Anwendungen vor komplexen, schwer zu erkennenden L7-DDoS-Angriffen zu schützen. F5 WAAP basiert auf der F5 WAF-Engine und ihren anerkannten Erkennungs- und Überwachungsfunktionen und ermöglicht so Vertrautheit. F5 WAAP ist in jedem erforderlichen Bereitstellungsmodell (Hardware, SaaS und als Software als virtuelle Edition auf Microsoft Azure) und in jeder beliebigen Kombination verfügbar und kann überall dort eingesetzt werden, wo Apps gehostet werden. Gemeinsam sorgen sie für umfassenden Schutz vor L7-DDoS-Angriffen.

Ebenfalls erhältlich ist die preisgekrönte F5 Distributed Cloud Bot Defense , die SaaS-basierte Bot-Minderungs- und Abwehrlösung von F5, die die größten Banken, Einzelhändler und Fluggesellschaften der Welt schützt. Distributed Cloud Bot Defense schützt vor bösartigen Bots auf Grundlage einer beispiellosen Analyse von Geräten und Verhaltenssignalen, die die Automatisierung entlarven.
 

Weitere Informationen zu den WAAP- und DDoS-Schutzlösungen sowie zur Bot-Abwehr von F5: