Microsoft, Salı günü dünya genelinde çok sayıda Microsoft 365 ve Azure hizmetinin devre dışı kalmasına ve aksamasına neden olan dokuz saatlik kesintinin, dağıtılmış hizmet engelleme (DDoS) saldırısı tarafından tetiklendiğini bugün doğruladı.
Redmond, kesintinin Microsoft Entra’yı, bazı Microsoft 365 ve Microsoft Purview hizmetlerini (Intune, Power BI ve Power Platform dahil), ayrıca Azure App Services, Application Insights, Azure IoT Central, Azure Log Search Alerts, Azure Policy ve Azure portalını etkilediğini söyledi.
Ancak şirket, bugün yayınladığı bir hafifletme açıklamasında dün yaşanan kesintinin temel nedeninin bir DDoS saldırısı olduğunu doğruladı ancak bunu henüz belirli bir tehdit aktörüne bağlamadı.
Microsoft, “İlk tetikleyici olay, DDoS koruma mekanizmalarımızı harekete geçiren bir Dağıtılmış Hizmet Reddi (DDoS) saldırısı olsa da, ilk araştırmalar, savunma sistemlerimizdeki bir hatanın saldırının etkisini azaltmak yerine artırdığını gösteriyor” dedi.
“Kullanım artışının niteliği anlaşıldıktan sonra, DDoS koruma çabalarımızı desteklemek için ağ yapılandırma değişiklikleri uyguladık ve rahatlama sağlamak için alternatif ağ yollarına geçişler gerçekleştirdik.”
BleepingComputer ayrıca Salı günü Microsoft’la iletişime geçerek kesintinin arkasında bir DDoS saldırısı olduğu yönündeki söylentileri bildirdi ancak henüz bir yanıt alamadık.
Şirket, kesinti olayını hafifletirken bunun “beklenmedik bir kullanım artışı” nedeniyle meydana geldiğini ve bunun “Azure Front Door (AFD) ve Azure İçerik Dağıtım Ağı (CDN) bileşenlerinin kabul edilebilir eşiklerin altında performans göstermesine, aralıklı hatalara, zaman aşımına ve gecikme artışlarına yol açtığını” söyledikten sonra bu teyit geldi.
Redmond, 72 saat içinde Ön Olay Sonrası İnceleme (PIR) ve önümüzdeki iki hafta içinde de bu haftaki kesintiden alınan ek ayrıntılar ve derslerle birlikte Nihai Olay Sonrası İnceleme’yi yayınlamayı planladığını söylüyor.
Microsoft, Haziran 2023’te Rusya bağlantılı olduğuna inanılan Anonymous Sudan (diğer adıyla Storm-1359) adlı bir tehdit aktörünün, 7. Katman DDoS saldırılarında Azure, Outlook ve OneDrive web portallarını kapattığını doğruladı.
Bu ayın başlarında, Microsoft 365 müşterilerinin on binlercesi, Microsoft’un Azure yapılandırma değişikliği olarak tanımladığı bir nedenden kaynaklanan başka bir yaygın kesintiden etkilendi.
Temmuz 2022’de hatalı bir Kurumsal Yapılandırma Hizmeti (ECS) dağıtımının ardından ve Ocak 2023’te Geniş Alan Ağı IP değişikliğinin ardından Microsoft 365 hizmetleri de büyük kesintilerden etkilendi.