BLOG

Protection des applications Microsoft contre les attaques DDoS L7

Vignette de Jay Kelley
Jay Kelley
Publié le 29 juin 2023

Beaucoup d’entre nous ont récemment rencontré des difficultés pour accéder à certaines des applications de base que nos organisations et nous-mêmes, en tant qu’individus, utilisons quotidiennement, à titre personnel ou professionnel. Un par un, de nombreux utilisateurs ont rencontré des problèmes pour accéder au portail Web Microsoft Outlook.com , puis à OneDrive et enfin au portail Microsoft Azure au cours des jours successifs du début du mois de juin.

Certains ont émis l’hypothèse que l’impossibilité d’accéder aux applications Microsoft critiques pourrait être due à une mauvaise configuration. D’autres ont estimé qu’il s’agissait peut-être d’une cyberattaque. Microsoft a communiqué qu'il avait géré et équilibré l'augmentation du trafic vers ses applications vitales. 

Puis, le vendredi 16 juin, un blog publié par le Microsoft Security Response Center (MSRC) intitulé « Réponse de Microsoft aux attaques par déni de service distribué (DDoS) de couche 7 » a décrit la cause profonde des pannes des applications Microsoft, qui ont commencé le 7 juin et se sont poursuivies jusqu'au 9 juin.

Le blog a confirmé que Microsoft avait été victime d'une attaque DDoS de couche 7 (L7), provoquant une incapacité temporaire d'accès à ces services, identifiés dans d'autres publications comme Outlook.com, OneDrive et Microsoft Azure Portal .

Le billet de blog indique que Microsoft « a identifié des pics de trafic sur certains services qui ont temporairement eu un impact sur la disponibilité ». Il a également mentionné que Microsoft « a rapidement ouvert une enquête et commencé à suivre les activités DDoS en cours ». Le blog MSRC a expliqué que l'attaque avait été perpétrée par un acteur malveillant que Microsoft suit et a identifié comme Storm-1359, également connu sous le nom d'Anonymous Sudan. Le blog a souligné que Microsoft n'avait vu aucune preuve que les données des clients avaient été consultées ou compromises. Les attaques DDoS avaient pour but de perturber, d'attirer l'attention et de promouvoir les attaquants – Storm-1359, alias. Soudan anonyme.

Alors que de nombreuses attaques DDoS ciblent la couche 3 (couche réseau) ou la couche 4 (couche transport) du modèle OSI (Open Systems Interconnection), une attaque DDoS L7 (couche application) est une toute autre bête. Les attaques DDoS L7 sont beaucoup plus difficiles à détecter que les attaques DDoS L3 ou L4, car elles ont tendance à être complexes, secrètes et impossibles à distinguer du trafic d'applications Web légitimes. Les attaques ciblent des composants spécifiques d’un serveur d’application, les bombardant de requêtes jusqu’à ce qu’ils soient surchargés et incapables de répondre au trafic. Ces attaques se transforment également, les attaques changeant fréquemment et plusieurs fois de manière aléatoire. 

Selon Microsoft, l'attaque DDoS L7 sur leurs services a exploité « un ensemble de botnets et d'outils » qui ont permis aux attaquants de lancer leur attaque à partir de plusieurs services cloud et « infrastructures proxy ouvertes », en s'appuyant sur des serveurs privés virtuels, des environnements cloud, des proxys ouverts et des outils DDoS achetés ou acquis.

Storm-1359 (alias Anonymous Sudan) a utilisé trois types différents d'attaques DDoS L7 contre Microsoft :

  • Attaque par inondation HTTP(S), dans laquelle un nombre considérable de requêtes, y compris les échanges SSL/TLS et les requêtes HTTP(S) provenant de divers appareils dans différentes régions et adresses IP sources, surchargent les ressources système, telles que le processeur et la mémoire, ce qui oblige un serveur d'applications à cesser de traiter les requêtes.
  • Le contournement du cache contourne les réseaux de diffusion de contenu (CDN) en lançant des requêtes sur les URL créées et générées par un attaquant, qui ordonnent à l'application de transmettre toutes les requêtes au serveur d'origine.
  • Slowloris utilise un système unique pour initier une connexion au serveur Web et force la connexion à rester ouverte en ne reconnaissant pas ou en ralentissant l'acceptation d'une demande de ressource.

Dans le billet de blog, Microsoft a déclaré avoir « renforcé les protections de couche 7, notamment en ajustant le pare-feu d'application Web Azure (WAF) pour mieux protéger les clients » contre les attaques DDoS.

Microsoft a ensuite formulé plusieurs recommandations à ses clients pour mieux se protéger contre les attaques DDoS L7 (couche applicative), notamment :

  • Utiliser Azure WAF ou d'autres services L7 pour protéger les applications Web
  • Utilisation de la protection contre les robots dans Azure WAF ou un autre service pour se défendre contre les robots malveillants
  • Identifier les adresses et plages IP malveillantes et les bloquer
  • Blocage, définition de limites de débit ou redirection du trafic depuis l'extérieur d'une région géographique définie ou depuis une région identifiée
  • Exploiter les signatures d'attaque connues pour créer des politiques WAF personnalisées afin de bloquer ou de limiter automatiquement le trafic HTTP(S) malveillant

La sécurité des applications Web et des API F5 (WAAP) aide déjà de nombreux utilisateurs et clients Microsoft à sécuriser les applications Web contre les attaques DDoS L7 complexes et difficiles à détecter. F5 WAAP est construit sur le moteur F5 WAF et ses capacités de détection et de surveillance acclamées, permettant une familiarité. Disponible dans n'importe quel modèle de livraison nécessaire (matériel, SaaS et logiciel en tant qu'édition virtuelle sur Microsoft Azure) et dans n'importe quelle combinaison, F5 WAAP peut être déployé partout où les applications sont hébergées, travaillant ensemble pour assurer une protection complète contre les attaques DDoS L7.

La solution primée F5 Distributed Cloud Bot Defense , la solution SaaS d'atténuation et de défense des robots de F5, qui défend les plus grandes banques, détaillants et compagnies aériennes du monde, est également disponible. Distributed Cloud Bot Defense protège contre les robots malveillants grâce à son analyse inégalée des appareils et des signaux comportementaux qui démasquent l'automatisation.
 

Pour en savoir plus sur les solutions de protection F5 WAAP et DDoS et sur la défense contre les robots :