Microsoft ha confirmado que la causa de la interrupción del 30 de julio fue un ataque distribuido de denegación de servicio. Sin embargo, su aviso agregó que el problema se vio exacerbado por un “error en la implementación de sus defensas” durante un intento de mitigación.
Los servicios en la nube de Azure se vieron afectados aproximadamente entre las 11:45 UTC y las 19:43 UTC después de verse inundados por el tráfico de Internet. Los profesionales de seguridad de Redmond dicen que los componentes de Azure Front Door y Azure Content Delivery Network estaban “funcionando por debajo de los umbrales aceptables, lo que provocó errores intermitentes, tiempos de espera y picos de latencia”.
Microsoft tiene mecanismos de protección DDoS que se activan automáticamente. Sin embargo, un error en su implementación “amplificó el impacto del ataque en lugar de mitigarlo”. El equipo de seguridad realizó cambios en la configuración de la red y conmutaciones por error a rutas de red alternativas para brindar alivio a los sistemas primarios.
La mayor parte del impacto se mitigó en dos horas y media, pero era necesario trabajar más a las 18:00 UTC para restablecer la disponibilidad para todos los usuarios. El incidente fue declarado terminado a las 20:48 UTC.
Aún no se ha identificado al responsable del DDoS. Sin embargo, el grupo hacktivista “SN_blackmeta” se atribuyó la responsabilidad. Microsoft dice que publicará una revisión preliminar posterior al incidente antes del final de la semana y una revisión más profunda dentro de 14 días.
TechRepublic se ha puesto en contacto con Microsoft para hacer comentarios.
VER: Hackers de sombrero blanco descubren una fuga de Microsoft de 38 TB de datos internos a través de Azure Storage
La interrupción de Azure tuvo alcance global, lo que afectó a un subconjunto de clientes que intentaban conectarse a Azure App Services, Application Insights, Azure IoT Central, Azure Log Search Alerts, Azure Policy, el propio portal de Azure y un subconjunto de servicios de Microsoft 365 y Microsoft Purview. .
Muchas organizaciones diferentes hicieron declaraciones el martes, notificando a los usuarios que sus servicios se vieron interrumpidos como resultado del ataque DDoS de Azure. Estos incluyen al fabricante de Minecraft Mojang, CodeSpaces de GitHub, DocuSign, compañías de agua, canchas y clubes de fútbol. Posteriormente, Microsoft se disculpó por el inconveniente.
Stephen Robinson, analista senior de inteligencia de amenazas de la firma de seguridad WithSecure, dijo a TechRepublic en un comunicado enviado por correo electrónico: “Los servicios en línea modernos se basan en capas apiladas de dependencias, y en una proporción significativa de las pilas de servicios encontrará servicios de Microsoft. Uno de los servicios de Microsoft afectados, Entra, se utiliza para permitir que las personas inicien sesión en servicios y sitios web y, sin él, los usuarios no pueden iniciar sesión.
“Como tal, si bien esta interrupción duró poco tiempo y afectó a un subconjunto de servicios, el impacto aún fue perceptible para muchas personas”.
¿Qué es un ataque de denegación de servicio?
Un ataque de denegación de servicio (DoS) es una estrategia de ataque en la que un actor malintencionado intenta impedir que otros accedan a un servidor web, una aplicación web o un servicio en la nube inundándolo con solicitudes de servicio.
Si bien un ataque DoS tiene esencialmente un origen único, un ataque de denegación de servicio distribuido (DDoS) utiliza una gran cantidad de máquinas en diferentes redes para interrumpir a un proveedor de servicios en particular; Esto es más difícil de mitigar ya que el ataque se lanza desde múltiples fuentes.
Los ataques DDoS van en aumento
Los ataques DDoS son cada vez más frecuentes. Cloudflare registró un aumento interanual del 20% en el segundo trimestre de 2024, después de un aumento del 50% en el primer trimestre. Hay indicios de que este aumento está relacionado con la geopolítica: el servicio anti-DDoS Stormwall observa una correlación con los períodos electorales y un aumento de los ataques contra Israel desde la escalada del conflicto en Gaza.
VER: El nuevo ataque DDoS bate récords: HTTP/2 Rapid Reset Zero-Day informado por Google, AWS y Cloudflare
Los ataques DDoS importantes que afectan a los servicios de Microsoft son raros pero no inauditos. En junio de 2023, una serie de ataques dirigidos a Azure y otras plataformas en línea se atribuyeron a un grupo hacktivista llamado Anonymous Sudan, lo que interrumpió servicios como Outlook y OneDrive.
Microsoft también informó de un aumento en los ataques DDoS durante la temporada navideña de ese año, ya que los atacantes intentaron aprovechar la menor cantidad de personal.
Sin embargo, las interrupciones no relacionadas con DDoS han afectado a Microsoft este verano. El 19 de julio, decenas de miles de usuarios en EE. UU. no pudieron acceder a los servicios de Microsoft 365 después de un cambio de configuración de Azure. Esto se produjo pocas horas después de que un error en una actualización de CrowdStrike Falcon Sensor interrumpiera 8,5 millones de dispositivos Windows en todo el mundo.
