In der ersten Juniwoche waren viele Microsoft-Dienste von Azure über Outlook bis Teams teilweise weltweit nicht oder nur mit Störungen zugänglich. Jetzt hat
Microsoft in einem Blogpost verkündet, dass hinter den Ausfällen fortgesetzte DDoS-Attacken auf Layer 7 standen, die von einer Storm-1359 benannten Gruppe ausgingen. Für die Angriffe seien mehrere virtuell-private Server zusammen mit gemieteter Cloud-Infrastruktur, offenen Proxies und DDoS-Tools genutzt worden. Kundendaten sind demnach nicht abgeflossen.
Die Angreifer haben offenbar gleich drei Methoden zur Server-Überlastung eingesetzt: HTTP(S)-Flooding mit Unmengen von SSL/TLS-Handshakes und HTTP-Requests, Cache Bypass durch Umgehen der CDN-Schicht und Direktzugriff auf die Original-Server sowie Slowloris. Dabei wird eine Verbindung zu einem Webserver geöffnet, eine Ressource wie etwa ein Bild angefordert, aber deren Empfang nicht oder nur langsam bestätigt, was den Webserver zwingt, die Connection offenzuhalten. Der Blogartikel enthält darüber hinaus Empfehlungen zum Schutz vor DDoS-Attacken auf Layer 7, darunter den Einsatz einer Web Application Firewall (WAF).
(ubi)