Muchos de nosotros hemos experimentado recientemente dificultades para acceder a algunas de las aplicações fundamentales que tanto nuestras organizaciones como nosotros, como individuos, utilizamos a diario en lo personal o en nuestro trabajo. Uno por uno, muchos tuvieron problemas para acceder al portal web Microsoft Outlook.com , luego a OneDrive y, finalmente, al Portal de Microsoft Azure en días sucesivos a principios de junio.
Algunos especularon que la imposibilidad de acceder a aplicações críticas de Microsoft podría haber sido causada por una mala configuración. Otros opinaron que pudo haber sido un ciberataque. Microsoft comunicó que lograron gestionar y equilibrar el aumento en las tasas de tráfico hacia sus aplicações vitales.
Luego, el viernes 16 de junio, un blog publicado por el Centro de respuesta de seguridad de Microsoft (MSRC) titulado Respuesta de Microsoft a los ataques de denegación de servicio distribuido (DDoS) de capa 7 describió la causa raíz de las interrupciones en las aplicações de Microsoft, que comenzaron el 7 de junio y continuaron hasta el 9 de junio.
El blog confirmó que Microsoft había sido víctima de un ataque DDoS de capa 7 (L7), lo que provocó una incapacidad temporal para acceder a esos servicios, identificados en otras publicaciones como Outlook.com, OneDrive y Microsoft Azure Portal .
La publicación del blog indicó que Microsoft “identificó aumentos repentinos de tráfico en algunos servicios que afectaron temporalmente la disponibilidad”. También mencionó que Microsoft “abrió rápidamente una investigación y comenzó a rastrear la actividad DDoS en curso”. El blog de MSRC explicó que el ataque había sido perpetrado por un actor de amenazas que Microsoft rastrea y ha identificado como Storm-1359, también conocido como Anonymous Sudan. El blog destacó que Microsoft no vio evidencia de que se hubiera accedido o comprometido los datos de los clientes. Los ataques DDoS tenían como objetivo interrumpir, llamar la atención y promover a los atacantes, Storm-1359, también conocidos como Sudán anónimo.
Si bien muchos ataques DDoS tienen como objetivo la capa 3 (capa de red) o la capa 4 (capa de transporte) del modelo OSI (interconexión de sistemas abiertos), un ataque DDoS L7 (capa de aplicação ) es una bestia completamente diferente. Los ataques DDoS L7 son mucho más difíciles de detectar que los ataques DDoS L3 o L4, ya que tienden a ser complejos, encubiertos e indistinguibles del tráfico legítimo de aplicação web. Los ataques se dirigen a componentes específicos de un servidor de aplicação y los bombardean con solicitudes hasta que se sobrecargan y no pueden responder a ningún tráfico. Estos ataques también se transforman, y cambian con frecuencia y muchas veces al azar.
Según Microsoft, el ataque DDoS L7 a sus servicios aprovechó “una colección de botnets y herramientas” que permitieron a los atacantes lanzar su ataque desde varios servicios en la nube e “infraestructuras de proxy abiertas”, basándose en servidores privados virtuales, entornos de nube, servidores proxy abiertos y herramientas DDoS compradas o adquiridas.
Storm-1359 (también conocido como Anonymous Sudan) empleó tres tipos diferentes de ataques DDoS L7 contra Microsoft:
En la publicación del blog, Microsoft afirmó que había “reforzado las protecciones de capa 7, incluido el ajuste del Firewall de aplicação web de Azure (WAF) para proteger mejor a los clientes” de los ataques DDoS.
Microsoft continuó realizando varias recomendaciones a los clientes para protegerse aún más contra los ataques DDoS L7 (capa de aplicação ), entre ellas:
La seguridad de API y aplicaciones web de F5 (WAAP) ya ayuda a muchos usuarios y clientes de Microsoft a proteger las aplicações web contra ataques DDoS de capa 7 complejos y difíciles de detectar. F5 WAAP está construido sobre el motor F5 WAF y sus aclamadas capacidades de detección y monitoreo, lo que permite la familiaridad. Disponible en cualquier modelo de entrega necesario (hardware, SaaS y software como una edición virtual en Microsoft Azure) y en cualquier combinación, F5 WAAP se puede implementar en cualquier lugar donde se alojen aplicaciones y trabaja en conjunto para garantizar una protección integral contra ataques DDoS L7.
También está disponible el galardonado F5 Distributed Cloud Bot Defense , la solución de defensa y mitigación de bots basada en SaaS de F5, que defiende a los bancos, minoristas y aerolíneas más grandes del mundo. Distributed Cloud Bot Defense protege contra bots maliciosos basándose en su análisis incomparable de dispositivos y señales de comportamiento que desenmascaran la automatización.
Para obtener más información sobre las soluciones de protección F5 WAAP y DDoS y defensa contra bots: