{"id":282640,"date":"2023-06-17T01:53:38","date_gmt":"2023-06-16T23:53:38","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=282640"},"modified":"2023-06-19T08:33:08","modified_gmt":"2023-06-19T06:33:08","slug":"doch-ddos-angriff-auf-ms-cloud-5-14-juni-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/06\/17\/doch-ddos-angriff-auf-ms-cloud-5-14-juni-2023\/","title":{"rendered":"Doch DDoS-Angriff auf MS-Cloud (5.–14. Juni 2023) f\u00fcr Ausf\u00e4lle verantwortlich"},"content":{"rendered":"

[English<\/a>]Seit dem 5. Juni 2023 gab es ja immer wieder Probleme mit der Verf\u00fcgbarkeit der Microsoft-Cloud bzw. der dort angebotenen Dienste. Ich hatte in meinen Blog-Beitr\u00e4gen spekuliert, dass da wohl ein Angriff hinter stecken k\u00f6nnte, zumal eine Hacktivisten-Gruppe Anonymous Sudan die behauptet hatte. Aus Microsoft-Kreisen hie\u00df es uniso \"nichts bekannt\". Nun liegt mir ein Post Incident Report For Microsoft 365 vor, als dem man ableiten kann, dass es DDoS-Angriffe auf Microsofts Cloud gegeben haben muss.<\/p>\n

<\/p>\n

Microsoft-Cloud mehrfach gest\u00f6rt<\/h2>\n

\"\"Als ich am 5. Juni 2023 \u00fcber eine St\u00f6rung bei Microsoft Exchange Online informiert wurde, ging ich noch von einem technischen Problem aus \u2013\u00a0 obwohl ich im Beitrag Exchange Online-St\u00f6rung (5. Juni 2023) \u2013 Werk russischer Hacker?<\/a> bereits die Frage stellte, ob Hacker dahinter stecken k\u00f6nnen. Grund war, dass eine Hacktivsten-Gruppe mit dem Namen Anonymous Sudan die Verantwortung f\u00fcr die St\u00f6rung reklamierte.<\/p>\n

\"Exchange<\/a><\/p>\n

Die Hacktivisten gaben an, Microsofts Server per DDoS-Angriff \u00fcberlastet zu haben. Allerdings wurde mir aus dem Microsoft-Umfeld signalisiert, dass da nichts bekannt sei. Aber irgendwo ruckelt es in den n\u00e4chsten Tage Anfang Juni 2023 weiter in der Microsoft-Cloud. Am 8. Juni 2023 folge dann der Blog-Beitrag Outlook.com und OneDrive down \u2013 Folge von Cyberangriffen? (8. Juni 2023)<\/a> zur n\u00e4chsten St\u00f6rung. Und am 9. Juni 2023 erschien der Beitrag Microsoft Azure-Ausfall (9. Juni 2023); was ist da los?<\/a>, wo es dann das Azure-Portal betraf.<\/p>\n

Im Blog gab es auch diesen Kommentar<\/a>, wo kolporiert wurde, dass ein Microsoft Key Account Manager aus \u00d6sterreich h\u00e4nderingend Meldungen zu Hackerangriffen suche. War die Botschaft \"gehen sie weiter, hier gibt es nichts zu sehen und die Presse fabuliert sich was zusammen\". Konnte ich nichts zu sagen, da meine Quellen im Microsoft-Umfeld nichts von einen Angriff wussten, Twitter andererseits Informationen von Anonymous Sudan hatten. Am 14. Juni war das Microsoft 365-Portal f\u00fcr Deutsche Nutzer nicht wirklich erreichbar und litt unter Schluckauf (Microsoft 365-Portal erneut mit Schluckauf (14.6.2023)<\/a>).<\/p>\n

In allen Beitr\u00e4gen hatte ich entsprechende Statushinweise von Microsoft eingepflegt, die mir von einem Blog-Leser \u00fcbermittelt wurden (nochmals vielen Dank daf\u00fcr). Offen blieb die Frage, was die Ursache f\u00fcr die Probleme sei \u2013 von Microsoft gab es bez\u00fcglich der Frage, ob Anonymous Sudan involviert war, keinen Kommentar.<\/p>\n

Erg\u00e4nzung<\/strong> von einem Leser in einer direkten Nachricht als Reaktion auf diesen Blog-Beitrag. Der Leser schrieb, dass er den obigen Kommentar<\/a> mit Hinweis auf den MS Key Account Manager nicht wirklich versteht. In seinem Umfeld sei von Microsoft recht schnell (leider nur telefonisch und unter der Hand) best\u00e4tigt worden, dass es sich (wahrscheinlich) um einen DDoS-Angriff handele und es unklar sei, wie lange das andauere.<\/p>\n

Das konnte man auch indirekt aus den Statusreports im Administrator-Dashboard ablesen, wo von Traffic-Spikes die Rede war.<\/p>\n

O-Ton aus der Leser-Info: \"Irgendwann kam sogar der Tipp kritische Apps auf on-prem zu schieben, falls m\u00f6glich. Absoluter Albtraum das Ganze.\"<\/p><\/blockquote>\n

Es war doch ein DDoS-Angriff<\/h2>\n

Jemand hat mir dann Ende der Woche einen Post-Inzidenz-Report f\u00fcr Microsoft 365 <\/em>vom 15. Juni 2023 f\u00fcr die Vorf\u00e4lle EX571516, MO571683 und MO572252 per Mail zukommen lassen(danke daf\u00fcr), der Licht ins Dunkel bringt (aber im Grunde das aufbereitet, was bereits im Statusbereich des Admin-Panels zu lesen war). Ich bereite den Inhalt nachfolgend mal kurz auf. Die St\u00f6rungen (zu den von mir oben genannten Daten) wirkten sich auf folgende Dienste aus:<\/p>\n

Users may have been unable to access Outlook on the web or other Microsoft 365 services and features.<\/p>\n

Impacted services and features include, but were not limited to:<\/p>\n

Exchange Online<\/p>\n

– Users were unable to access Outlook on the web
\n– Users may have experienced issues using the Outlook mobile application<\/b><\/p>\n

– Users may have experienced issues with the search function in Outlook on the web, Outlook desktop client and the Outlook mobile application<\/p>\n

Microsoft Teams<\/p>\n

– Users may have experienced difficulties scheduling meetings and\/or live events<\/p>\n

– Users may have had trouble loading people profile cards<\/p>\n

– Users may have experienced issues loading file lists<\/p>\n

– Users may have been unable to create new teams & channels<\/p>\n

– Users may have been unable to install apps<\/p>\n

– Users may have experienced issues performing searches<\/p>\n

– Users may have seen delays in admin policy changes taking effect<\/p>\n

– Users might have seen errors when using messaging extensions<\/p>\n

– Users may not have seen up to date Presence information<\/p>\n

– Teams Graph APIs may have been impacted<\/p>\n

– Assignments tab in Teams may have not loaded<\/p>\n

– Teams Admin Center functionalities may have not performed as expected<\/p>\n

– Users may have been unable to view personal or channel calendar events<\/p>\n

SharePoint Online and OneDrive for Business<\/p>\n

– Users may have been unable to use Search functionality<\/p>\n

Microsoft Bookings, Microsoft Power Automate and Power Apps in Microsoft 365 may have also experienced some impact related to this issue.<\/p><\/blockquote>\n

Das spiegelt das wieder, was eigentlich aus meinen alten Blog-Beitr\u00e4gen beaknnt war.\u00a0Die Auswirkungen waren spezifisch f\u00fcr die Nutzer, die \u00fcber die betroffene Infrastruktur bedient wurden. \u00dcber einen Zeitraum von zwei Tagen gab es vier spezifische Beeintr\u00e4chtigungsfenster, die jeweils etwa zwei Stunden dauerten. Die Telemetrie zeigte, dass der erste Ausfallzeitraum die gr\u00f6\u00dften Auswirkungen auf Outlook im Web und die Representational State Transfer (REST)-Verbindungen zum Exchange Online-Dienst hatte, wobei die Dienstverf\u00fcgbarkeit w\u00e4hrend des Ausfallfensters auf etwa 89 % fiel.<\/p>\n

\"St\u00f6rungen
\nSt\u00f6rungen der Microsoft-Cloud, Quelle: Microsoft<\/p>\n

Die Analyse des Datenverkehrs zeigte anomale Spitzen bei den HTTP-Anfragen, die an einen Teil der Front-End-Komponenten von Microsoft 365 gerichtet waren und die bestehenden automatischen Wiederherstellungsma\u00dfnahmen umgingen. Die Front-End-Komponenten begannen, unterhalb akzeptabler Schwellenwerte zu arbeiten, was sich auf Funktionen wie Outlook im Web, REST und Suchfunktionen auswirkte. Die\u00a0 Verf\u00fcgbarkeit von Outlook im Web fiel zeitweise auf 89 % ab.<\/p>\n

Microsoft hat die Zeitfenster f\u00fcr die betreffende Ereignisse, bei denen die Cloud-Dienste weltweit betroffen waren, f\u00fcr den 5. und 6. Juni 2023 genauer angegeben:<\/p>\n