BLOG

Protección de las aplicaciones de Microsoft contra ataques DDoS de capa 7

Miniatura de Jay Kelley
Jay Kelley
Publicado el 29 de junio de 2023

Muchos de nosotros hemos experimentado recientemente dificultades para acceder a algunas de las aplicações fundamentales que tanto nuestras organizaciones como nosotros, como individuos, utilizamos a diario en lo personal o en nuestro trabajo. Uno por uno, muchos tuvieron problemas para acceder al portal web Microsoft Outlook.com , luego a OneDrive y, finalmente, al Portal de Microsoft Azure en días sucesivos a principios de junio.

Algunos especularon que la imposibilidad de acceder a aplicações críticas de Microsoft podría haber sido causada por una mala configuración. Otros opinaron que pudo haber sido un ciberataque. Microsoft comunicó que lograron gestionar y equilibrar el aumento en las tasas de tráfico hacia sus aplicações vitales. 

Luego, el viernes 16 de junio, un blog publicado por el Centro de respuesta de seguridad de Microsoft (MSRC) titulado Respuesta de Microsoft a los ataques de denegación de servicio distribuido (DDoS) de capa 7 describió la causa raíz de las interrupciones en las aplicações de Microsoft, que comenzaron el 7 de junio y continuaron hasta el 9 de junio.

El blog confirmó que Microsoft había sido víctima de un ataque DDoS de capa 7 (L7), lo que provocó una incapacidad temporal para acceder a esos servicios, identificados en otras publicaciones como Outlook.com, OneDrive y Microsoft Azure Portal .

La publicación del blog indicó que Microsoft “identificó aumentos repentinos de tráfico en algunos servicios que afectaron temporalmente la disponibilidad”. También mencionó que Microsoft “abrió rápidamente una investigación y comenzó a rastrear la actividad DDoS en curso”. El blog de MSRC explicó que el ataque había sido perpetrado por un actor de amenazas que Microsoft rastrea y ha identificado como Storm-1359, también conocido como Anonymous Sudan. El blog destacó que Microsoft no vio evidencia de que se hubiera accedido o comprometido los datos de los clientes. Los ataques DDoS tenían como objetivo interrumpir, llamar la atención y promover a los atacantes, Storm-1359, también conocidos como Sudán anónimo.

Si bien muchos ataques DDoS tienen como objetivo la capa 3 (capa de red) o la capa 4 (capa de transporte) del modelo OSI (interconexión de sistemas abiertos), un ataque DDoS L7 (capa de aplicação ) es una bestia completamente diferente. Los ataques DDoS L7 son mucho más difíciles de detectar que los ataques DDoS L3 o L4, ya que tienden a ser complejos, encubiertos e indistinguibles del tráfico legítimo de aplicação web. Los ataques se dirigen a componentes específicos de un servidor de aplicação y los bombardean con solicitudes hasta que se sobrecargan y no pueden responder a ningún tráfico. Estos ataques también se transforman, y cambian con frecuencia y muchas veces al azar. 

Según Microsoft, el ataque DDoS L7 a sus servicios aprovechó “una colección de botnets y herramientas” que permitieron a los atacantes lanzar su ataque desde varios servicios en la nube e “infraestructuras de proxy abiertas”, basándose en servidores privados virtuales, entornos de nube, servidores proxy abiertos y herramientas DDoS compradas o adquiridas.

Storm-1359 (también conocido como Anonymous Sudan) empleó tres tipos diferentes de ataques DDoS L7 contra Microsoft:

  • Ataque de inundación HTTP(S), en el que una cantidad considerable de solicitudes, incluidos protocolos de enlace SSL/TLS y solicitudes HTTP(S) de una variedad de dispositivos en diferentes regiones y direcciones IP de origen, sobrecargan los recursos del sistema, como la CPU y la memoria, lo que hace que un servidor de aplicação deje de procesar las solicitudes.
  • La omisión de caché evita las redes de distribución de contenido (CDN) al lanzar solicitudes contra URL creadas y generadas por un atacante, que dirigen a la aplicação a reenviar todas las solicitudes al servidor de origen.
  • Slowloris utiliza un único sistema para iniciar una conexión con un servidor web y fuerza la conexión a permanecer abierta al no reconocer o ralentizar la aceptación de una solicitud de recursos.

En la publicación del blog, Microsoft afirmó que había “reforzado las protecciones de capa 7, incluido el ajuste del Firewall de aplicação web de Azure (WAF) para proteger mejor a los clientes” de los ataques DDoS.

Microsoft continuó realizando varias recomendaciones a los clientes para protegerse aún más contra los ataques DDoS L7 (capa de aplicação ), entre ellas:

  • Uso de Azure WAF u otros servicios L7 para proteger aplicaciones web
  • Uso de protección contra bots en Azure WAF u otro servicio para defenderse de bots maliciosos
  • Identificar direcciones IP y rangos maliciosos y bloquearlos
  • Bloquear, establecer límites de velocidad o redirigir el tráfico desde fuera de una región geográfica definida o dentro de una región identificada
  • Aprovechar firmas de ataques conocidas para crear políticas WAF personalizadas para bloquear o limitar automáticamente el tráfico HTTP(S) malicioso

La seguridad de API y aplicaciones web de F5 (WAAP) ya ayuda a muchos usuarios y clientes de Microsoft a proteger las aplicações web contra ataques DDoS de capa 7 complejos y difíciles de detectar. F5 WAAP está construido sobre el motor F5 WAF y sus aclamadas capacidades de detección y monitoreo, lo que permite la familiaridad. Disponible en cualquier modelo de entrega necesario (hardware, SaaS y software como una edición virtual en Microsoft Azure) y en cualquier combinación, F5 WAAP se puede implementar en cualquier lugar donde se alojen aplicaciones y trabaja en conjunto para garantizar una protección integral contra ataques DDoS L7.

También está disponible el galardonado F5 Distributed Cloud Bot Defense , la solución de defensa y mitigación de bots basada en SaaS de F5, que defiende a los bancos, minoristas y aerolíneas más grandes del mundo. Distributed Cloud Bot Defense protege contra bots maliciosos basándose en su análisis incomparable de dispositivos y señales de comportamiento que desenmascaran la automatización.
 

Para obtener más información sobre las soluciones de protección F5 WAAP y DDoS y defensa contra bots: