BLOG

Protegendo aplicativos Microsoft de ataques DDoS L7

Jay Kelley Miniatura
Jay Kelley
Publicado em 29 de junho de 2023

Muitos de nós recentemente enfrentamos dificuldades para acessar alguns dos principais aplicativos que nossas organizações e nós, como indivíduos, usamos todos os dias, pessoalmente ou em nossos trabalhos. Um por um, muitos tiveram problemas para acessar o portal da Web Microsoft Outlook.com , depois o OneDrive e, finalmente, o Portal do Microsoft Azure em dias consecutivos no início de junho.

Alguns especularam que a incapacidade de acessar aplicativos críticos da Microsoft pode ter sido causada por configuração incorreta. Outros opinaram que pode ter sido um ataque cibernético. A Microsoft comunicou que conseguiu e equilibrou o aumento das taxas de tráfego para seus aplicativos vitais. 

Então, na sexta-feira, 16 de junho, um blog publicado pelo Microsoft Security Response Center (MSRC) intitulado Resposta da Microsoft a ataques de negação de serviço distribuído (DDoS) de camada 7 descreveu a causa raiz das interrupções nos aplicativos da Microsoft, que começaram em 7 de junho e continuaram até 9 de junho.

O blog confirmou que a Microsoft foi vítima de um ataque DDoS de camada 7 (L7), causando uma incapacidade temporária de acessar esses serviços, identificados em outras publicações como Outlook.com, OneDrive e Microsoft Azure Portal .

A postagem do blog afirmou que a Microsoft “identificou picos de tráfego em alguns serviços que impactaram temporariamente a disponibilidade”. Ele também mencionou que a Microsoft “imediatamente abriu uma investigação e começou a rastrear atividades DDoS em andamento”. O blog do MSRC explicou que o ataque foi perpetrado por um agente de ameaça que a Microsoft rastreia e identificou como Storm-1359, também conhecido como Anonymous Sudan. O blog destacou que a Microsoft não viu nenhuma evidência de que dados de clientes tenham sido acessados ou comprometidos. Os ataques DDoS tinham como objetivo interromper, chamar a atenção e promover os invasores – Storm-1359, também conhecido como Sudão anônimo.

Embora muitos ataques DDoS tenham como alvo a camada 3 (camada de rede) ou a camada 4 (camada de transporte) do modelo OSI (Open Systems Interconnection), um ataque DDoS L7 (camada de aplicação) é algo completamente diferente. Ataques DDoS L7 são muito mais difíceis de detectar do que ataques DDoS L3 ou L4, pois tendem a ser complexos, secretos e indistinguíveis do tráfego legítimo de aplicativos da web. Os ataques têm como alvo componentes específicos de um servidor de aplicativos, bombardeando-os com solicitações até que fiquem sobrecarregados e incapazes de responder a qualquer tráfego. Esses ataques também se transformam, com ataques mudando frequentemente e muitas vezes aleatoriamente. 

De acordo com a Microsoft, o ataque DDoS L7 em seus serviços alavancou “uma coleção de botnets e ferramentas” que permitiram que os invasores lançassem seus ataques de vários serviços de nuvem e “infraestruturas de proxy aberto”, contando com servidores privados virtuais, ambientes de nuvem, proxies abertos e ferramentas DDoS compradas ou adquiridas.

Storm-1359 (também conhecido como Anonymous Sudan) empregou três tipos diferentes de ataques DDoS L7 contra a Microsoft:

  • Ataque de inundação HTTP(S), no qual um número considerável de solicitações, incluindo handshakes SSL/TLS e solicitações HTTP(S) de uma variedade de dispositivos em regiões e endereços IP de origem, sobrecarregam recursos do sistema, como CPU e memória, fazendo com que um servidor de aplicativos pare de processar solicitações.
  • O bypass de cache contorna redes de distribuição de conteúdo (CDNs) iniciando solicitações contra URLs criadas e geradas por um invasor, que direcionam o aplicativo a encaminhar todas as solicitações ao servidor de origem.
  • O Slowloris utiliza um único sistema para iniciar uma conexão com um servidor web e força a conexão a permanecer aberta ao não reconhecer ou retardar a aceitação de uma solicitação de recurso.

Na postagem do blog, a Microsoft declarou que havia “reforçado as proteções da camada 7, incluindo o ajuste do Azure Web Application Firewall (WAF) para proteger melhor os clientes” contra ataques DDoS.

A Microsoft fez diversas recomendações aos clientes para maior proteção contra ataques DDoS L7 (camada de aplicativo), incluindo:

  • Usando o Azure WAF ou outros serviços L7 para proteger aplicativos da Web
  • Usando proteção de bot no Azure WAF ou outro serviço para se defender contra bots maliciosos
  • Identificar endereços IP e intervalos maliciosos e bloqueá-los
  • Bloqueio, definição de limites de taxa ou redirecionamento de tráfego de fora de uma região geográfica definida ou dentro de uma região identificada
  • Aproveitando assinaturas de ataque conhecidas para criar políticas WAF personalizadas para bloquear ou limitar automaticamente o tráfego HTTP(S) malicioso

O aplicativo web e a segurança de API do F5 (WAAP) já ajudam muitos usuários e clientes da Microsoft a proteger aplicativos web contra ataques DDoS L7 complexos e difíceis de detectar. O F5 WAAP é baseado no mecanismo F5 WAF e em seus aclamados recursos de detecção e monitoramento, permitindo familiaridade. Disponível em qualquer modelo de entrega necessário (hardware, SaaS e em software como uma edição virtual no Microsoft Azure) e em qualquer combinação, o F5 WAAP pode ser implantado em qualquer lugar onde os aplicativos estejam hospedados, trabalhando em conjunto para garantir proteção abrangente contra ataques DDoS L7.

Também está disponível o premiado F5 Distributed Cloud Bot Defense , a solução de defesa e mitigação de bots baseada em SaaS da F5, que defende os maiores bancos, varejistas e companhias aéreas do mundo. O Distributed Cloud Bot Defense protege contra bots maliciosos com base em sua análise incomparável de dispositivos e sinais comportamentais que desmascaram a automação.
 

Para mais informações sobre as soluções de proteção WAAP e DDoS da F5 e defesa contra bots: