Yazılım devi, kesintinin Microsoft Entra, bazı Microsoft 365 ve Microsoft Purview hizmetlerinin (Intune, Power BI ve Power Platform dahil) yanı sıra Azure App Services, Application Insights, Azure IoT Central, Azure Log Search Alerts, Azure Policy ve Azure portalını etkilediğini söyledi. Şirket bugün yayınladığı bir hafifletme açıklamasında, dünkü kesintinin arkasındaki temel nedenin bir DDoS saldırısı olduğunu doğruladı, ancak bunu henüz belirli bir tehdit aktörüyle ilişkilendirmedi.
Microsoft, “İlk tetikleyici olay, DDoS koruma mekanizmalarımızı harekete geçiren bir Dağıtık Hizmet Reddi (DDoS) saldırısı olmakla birlikte ilk incelemeler, savunmalarımızın uygulanmasındaki bir hatanın saldırının etkisini azaltmak yerine artırdığını gösteriyor” dedi ve ekledi: “Kullanım artışının doğası anlaşıldığında, DDoS koruma çabalarımızı desteklemek için ağ yapılandırma değişiklikleri uyguladık ve rahatlama sağlamak için alternatif ağ yollarına yük devretme gerçekleştirdik.”
Bu doğrulama, şirketin kesinti olayını hafifletirken “Azure Front Door (AFD) ve Azure Content Delivery Network (CDN) bileşenlerinin kabul edilebilir eşiklerin altında performans göstermesine neden olan ve aralıklı hatalara, zaman aşımına ve gecikme artışlarına yol açan” “beklenmedik bir kullanım artışından” kaynaklandığını söylemesinin ardından geldi.
Microsoft ayrıca 72 saat içinde bir Olay Sonrası Ön İnceleme (PIR) ve önümüzdeki iki hafta içinde bu haftaki kesintiden öğrenilen ek ayrıntılar ve derslerle birlikte bir Olay Sonrası Nihai İnceleme yayınlamayı planladığını söyledi.
Microsoft DDoS saldırılarının hedefi olmaya devam ediyor
Haziran 2023’te Microsoft, Anonymous Sudan (diğer adıyla Storm-1359) olarak bilinen ve Rusya bağlantılı olduğuna inanılan bir tehdit aktörünün Katman 7 DDoS saldırılarıyla Azure, Outlook ve OneDrive web portallarını çökerttiğini de doğruladı. Ayrıca geçtiğimiz haftalarda on binlerce Microsoft 365 müşterisi, Microsoft’un Azure yapılandırma değişikliği olarak tanımladığı bir başka yaygın kesintiden etkilenmişti.
DDoS (dağıtık hizmet reddi) saldırılarının çoğu, İnternet’e yönelik siteleri ve hizmetleri bozmak amacıyla gerçekleştiriliyor. Bu yöntemde saldırgan, sunucuları trafikle doldurarak hedefi bunaltabiliyor ve her türlü soruna neden olabilir. Bir veya iki dakikalık küçük kesintiler bile çok fazla görünmese de kritik uygulamaları çalıştıran büyük şirketler için bu büyük bir baş ağrısı olabiliyor. Saldırıların süresi ve boyutu arttıkça, hizmet kesintileri çok daha ciddi boyutlara ulaşabiliyor.