Microsoft, 30 Temmuz’daki kesintinin nedeninin dağıtılmış hizmet reddi saldırısı olduğunu doğruladı. Ancak tavsiye niteliğindeki tavsiye, hafifletme girişimi sırasında “savunmalarının uygulanmasındaki bir hata” nedeniyle sorunun daha da kötüleştiğini ekledi.
Azure bulut hizmetleri, internet trafiği nedeniyle yaklaşık 11:45 UTC ile 19:43 UTC arasında etkilendi. Redmond güvenlik uzmanları, Azure Ön Kapı ve Azure İçerik Dağıtım Ağı bileşenlerinin “kabul edilebilir eşiklerin altında performans göstererek aralıklı hatalara, zaman aşımına ve gecikme artışlarına yol açtığını” söylüyor.
Microsoft’un otomatik olarak devreye giren DDoS koruma mekanizmaları vardır. Ancak uygulamadaki bir hata “saldırının etkisini hafifletmek yerine artırdı.” Güvenlik ekibi, birincil sistemlere kolaylık sağlamak için ağ yapılandırma değişiklikleri ve alternatif ağ yollarına yük devretme işlemleri gerçekleştirdi.
Etkinin büyük kısmı iki buçuk saat içinde hafifletildi, ancak tüm kullanıcıların kullanılabilirliğini yeniden sağlamak için 18:00 UTC’de daha fazla çalışma yapılması gerekiyordu. Olayın 20:48 UTC’de sona erdiği açıklandı.
DDoS’tan sorumlu taraf henüz belirlenmedi. Ancak sorumluluğu hacktivist grup “SN_blackmeta” üstlendi. Microsoft, olay sonrası ön incelemeyi hafta sonundan önce, daha ayrıntılı incelemeyi ise 14 gün içinde yayınlayacağını açıkladı.
TechRepublic yorum almak için Microsoft’a ulaştı.
BAKIN: Beyaz Şapkalı Bilgisayar Korsanları, Azure Depolama Aracılığıyla Microsoft’un 38 TB Dahili Veri Sızıntısını Keşfetti
Azure kesintisi küresel bir erişime sahip oldu ve Azure Uygulama Hizmetleri, Application Insights, Azure IoT Central, Azure Log Search Alerts, Azure Policy, Azure portalının kendisi ve Microsoft 365 ile Microsoft Purview hizmetlerinin bir alt kümesine bağlanmaya çalışan bir müşteri alt kümesini etkiledi. .
Birçok farklı kuruluş Salı günü açıklamalar yaparak, Azure DDoS saldırısı sonucunda hizmetlerinin kesintiye uğradığını kullanıcılara bildirdi. Bunlar arasında Minecraft yapımcısı Mojang, GitHub’un CodeSpaces’i, DocuSign, su şirketleri, mahkemeler ve futbol kulüpleri yer alıyor. Microsoft daha sonra rahatsızlıktan dolayı özür diledi.
Güvenlik firması WithSecure’un kıdemli tehdit istihbarat analisti Stephen Robinson, e-postayla gönderilen bir açıklamada TechRepublic’e şunları söyledi: “Modern çevrimiçi hizmetler, yığılmış bağımlılık katmanları üzerine kuruludur ve hizmet yığınlarının önemli bir bölümünde Microsoft hizmetlerini bulacaksınız. Etkilenen Microsoft hizmetlerinden biri olan Entra, insanların hizmetlerde ve web sitelerinde oturum açmasına olanak sağlamak için kullanılıyor ve bu olmadan kullanıcılar oturum açamıyor.
“Bu nedenle, bu kesinti yalnızca kısa bir süre sürse ve hizmetlerin bir alt kümesini etkilese de, etki hâlâ birçok kişi tarafından fark ediliyordu.”
Hizmet reddi saldırısı nedir?
Hizmet reddi (DoS) saldırısı, kötü niyetli bir aktörün başkalarının bir web sunucusuna, web uygulamasına veya bulut hizmetine hizmet istekleriyle akın ederek erişmesini engellemeye çalıştığı bir saldırı stratejisidir.
Bir DoS saldırısı esasen tek bir kaynaktan kaynaklansa da, dağıtılmış hizmet reddi (DDoS) saldırısı, belirli bir hizmet sağlayıcıyı kesintiye uğratmak için farklı ağlardaki çok sayıda makineyi kullanır; Saldırı birden fazla kaynaktan yürütüldüğü için bunu hafifletmek daha zordur.
DDoS saldırıları artıyor
DDoS saldırıları giderek yaygınlaşıyor. Cloudflare, ilk çeyrekteki %50’lik artışın ardından 2024’ün ikinci çeyreğinde yıllık %20 artış kaydetti. Bu artışın jeopolitikle bağlantılı olduğuna dair göstergeler var; DDoS karşıtı hizmet Stormwall, seçim dönemleriyle bir korelasyon olduğunu ve Gazze’deki çatışmanın tırmanmasından bu yana İsrail’e yönelik saldırıların arttığını belirtiyor.
BAKIN: Yeni DDoS Saldırısı Rekor Kırıyor: HTTP/2 Hızlı Sıfırlama Sıfırıncı Gün Google, AWS ve Cloudflare Tarafından Bildirildi
Microsoft’un hizmetlerini etkileyen önemli DDoS saldırıları nadirdir ancak duyulmamış değildir. Haziran 2023’te Azure’u ve diğer çevrimiçi platformları hedef alan bir dizi saldırı, Anonymous Sudan adlı bir hacktivist gruba atfedildi ve Outlook ve OneDrive gibi hizmetleri kesintiye uğrattı.
Microsoft ayrıca, saldırganların düşük personel sayısından yararlanmaya çalışması nedeniyle o yıl tatil sezonunda DDoS saldırılarında bir artış olduğunu bildirdi.
Ancak DDoS dışı kesintiler bu yaz Microsoft’un başına bela oldu. 19 Temmuz’da ABD’deki on binlerce kullanıcı, Azure yapılandırma değişikliği sonrasında Microsoft 365 hizmetlerine erişemedi. Bu, CrowdStrike Falcon Sensor güncellemesindeki bir hatanın dünya çapında 8,5 milyon Windows cihazını kesintiye uğratmasından yalnızca birkaç saat sonra geldi.
Kaynak: https://www.techrepublic.com/article/microsoft-azure-outage-ddos-attack/