CrowdStrike erro Ataque DDoS Microsoft
08/08/2024
8 min
0

Microsoft Downtime: O Risco dos Serviços Cloud (Erro CrowdStrike & Ataque DDoS na Microsoft Julho 2024)

08/08/2024
8 min
0

Julho de 2024 foi um mês tumultuado na indústria de software. Enquanto os argumentos de venda da Microsoft ressoam mais alto do que nunca, a empresa enfrentou críticas significativas devido ao tempo de inatividade de vários sistemas cruciais. Este mês viu vários incidentes na Microsoft com consequências de grande alcance. Neste artigo, aprofundamos os dois principais incidentes: a atualização CrowdStrike e o ataque DDoS na Microsoft 365 e Azure.

Atualização Errónea da CrowdStrike

Em julho de 2024, ocorreu uma interrupção em grande escala devido a uma atualização de software defeituosa do sensor Falcon da CrowdStrike. Esta atualização, lançada a 19 de julho, introduziu um erro crítico na forma de uma verificação nula ausente no código. Isto causou que o sistema tentasse aceder a um endereço de memória inválido, levando ao famoso "Blue Screen of Death" (BSOD) em milhões de dispositivos Microsoft Windows em todo o mundo. A comunidade global viu isto como um escândalo, pois uma atualização dessas deveria ter sido testada muito melhor antes da sua implementação.

Impacto da Atualização Errónea da CrowdStrike

Interrupção Global

A interrupção teve um impacto global, causando interrupções críticas nas operações empresariais, serviços de saúde, companhias aéreas e até bolsas de valores. Aproximadamente 85 milhões de dispositivos foram afetados pela atualização. O momento do lançamento às 04:09 UTC garantiu que a interrupção afetasse as empresas durante as suas horas de trabalho na Oceânia e Ásia e de manhã cedo na Europa e América.

Danos Financeiros

Um especialista em seguros contra interrupções na cloud estimou que as 500 maiores empresas americanas sofreram quase 54 mil milhões de dólares em perdas, das quais apenas entre 540 milhões e 108 mil milhões de dólares estavam segurados. Estas 500 empresas americanas representam apenas uma pequena fração do número total de empresas afetadas, ilustrando o impacto financeiro significativo da interrupção nas empresas em todo o mundo.

Consequências Específicas para Setores

  • Aviação: Globalmente, 5.078 voos foram cancelados, representando 46% dos voos programados para aquele dia. As companhias aéreas australianas como Qantas, Virgin Australia e Jetstar foram fortemente afetadas, assim como os aeroportos das cidades de Sydney, Melbourne e Brisbane.
  • Saúde e Operações Empresariais: Os sistemas críticos em hospitais e outras instalações de saúde foram interrompidos, afetando gravemente a prestação de serviços. As empresas enfrentaram problemas com a sua infraestrutura de TI, resultando numa produtividade reduzida e em desafios operacionais.

Tentativas de Recuperação para a Atualização da CrowdStrike

  • CrowdStrike: A CrowdStrike reconheceu o problema e emitiu uma declaração pública juntamente com uma solução alternativa. Aconselharam os utilizadores afetados a eliminarem manualmente certos ficheiros a partir do modo de segurança ou do Ambiente de Recuperação do Windows.
  • Microsoft: A Microsoft colaborou com a CrowdStrike e desenvolvedores externos para acelerar uma solução. Forneceram orientações técnicas e suporte para ajudar os utilizadores a restaurarem os seus sistemas com segurança. Isto incluía reiniciar as máquinas virtuais afetadas até 15 vezes e restaurar um backup anterior a 18 de julho.

Ambas as recomendações eram trabalhosas e irrealistas para grandes empresas.

Windows 11 banner do blogue

Ataque DDoS na Microsoft 365 e Azure

A 30 de julho de 2024, a Microsoft foi atingida por um ataque de negação de serviço distribuído (DDoS) em grande escala, resultando em interrupções de vários serviços da Microsoft 365 e Azure em todo o mundo. O ataque durou aproximadamente nove horas e causou interrupções significativas nos serviços da Microsoft Entra, Microsoft Purview, Azure App Services, Application Insights, Azure IoT Central e o portal Azure.

Detalhes do Ataque DDoS

Vetor de Ataque

O ataque DDoS teve como alvo a camada de aplicação (Camada 7) do modelo OSI, o que significa que o ataque visava especificamente interromper os serviços de aplicação web da Microsoft. Os atacantes usaram várias técnicas como inundações HTTP(S), bypass de cache e ataques Slowloris para sobrecarregar os servidores e interromper o funcionamento normal.

Atacantes

A Microsoft identificou o ator da ameaça como Storm-1359, um grupo suspeito de ser pró-russo e possivelmente ligado ao grupo hacktivista Anonymous Sudan. Este grupo já realizou ataques a organizações na Suécia, Países Baixos, Austrália e Alemanha. Os seus ataques utilizam uma coleção de botnets, infraestruturas em cloud alugadas e proxies abertos para executar os ataques.

Impacto do Ataque DDoS na Microsoft 365 e Azure

Interrupção Global

O ataque teve um impacto global, com utilizadores em todo o mundo a relatarem problemas no acesso aos seus serviços da Microsoft 365 e Azure. Os serviços afetados incluíam aplicações empresariais críticas como Intune, Power BI e Power Platform, causando interrupções operacionais generalizadas para as empresas dependentes desses serviços.

Resposta da Microsoft

A resposta inicial da Microsoft ao ataque parecia agravar o impacto em vez de mitigá-lo. Um erro na implementação dos seus mecanismos de proteção DDoS fez com que as defesas amplificassem o ataque. Isto levou a interrupções adicionais e atrasos. A Microsoft finalmente fez alterações na configuração da rede e failovers para rotas de rede alternativas para aliviar a situação. Mais adiante neste artigo, você lerá mais sobre como melhorar a segurança da sua empresa.

Tentativas de Recuperação para o Ataque DDoS

Soluções Técnicas

Para evitar mais interrupções, a Microsoft ajustou as configurações do seu firewall de aplicações web do Azure (WAF). Também aconselharam os clientes a implementarem restrições geográficas para limitarem o tráfego de entrada e minimizarem o impacto de futuros ataques. Além disso, a Microsoft confirmou que não havia evidências de que os dados dos clientes fossem acessados ou comprometidos durante esses ataques.

Perspectivas e Melhorias

A Microsoft anunciou que em 72 horas seria publicado um relatório preliminar do incidente (Preliminary Post-Incident Review PIR) e um relatório final do incidente em duas semanas. Estes relatórios conterão mais detalhes e lições aprendidas das interrupções desta semana. A Microsoft continua a avaliar e melhorar os seus mecanismos de segurança para reduzir o impacto de tais ataques no futuro.

Conclusão sobre os Ataques DDoS

O ataque DDoS na Microsoft 365 e Azure em julho de 2024 destaca a ameaça dos ataques cibernéticos aos principais fornecedores de serviços em cloud. O incidente destaca a importância das medidas de segurança e das estratégias de resposta rápida e eficaz para minimizar o impacto de tais ataques. A experiência da Microsoft mostra que mesmo as maiores empresas de tecnologia são vulneráveis e devem trabalhar continuamente para fortalecer as suas defesas contra ameaças cibernéticas cada vez mais sofisticadas. Perdeu a confiança nas garantias de segurança da Microsoft, como muitos outros? Recomendamos continuar com o software on-premise para garantir a segurança da sua empresa e de todos os seus dados. Explore a nossa gama de licenças on-premise, como Windows Server 2022, SQL Server 2022 e Office 2021.

Windows Server 2022 banner do blogue

O Que Pode Fazer Contra Estas Ameaças e Incertezas Online? Tome o Controlo

À luz dos recentes incidentes com a CrowdStrike e o ataque DDoS na Microsoft 365 e Azure, está a crescer a discussão sobre os benefícios do software on-premise versus soluções baseadas na cloud. Aqui estão algumas razões pelas quais as empresas podem considerar tomar o controlo escolhendo o software on-premise:

  1. Gestão e Controlo
    • Com o software on-premise, as empresas têm controlo total sobre o seu ambiente de TI. Isto significa que não dependem de fornecedores externos para atualizações, patches de segurança ou correções de erros. No caso do erro da CrowdStrike de julho de 2024, as empresas afetadas precisaram de acesso físico às suas máquinas durante dias para corrigir manualmente o erro. Este tipo de dependência pode ser evitado com soluções on-premise, onde as equipas de TI podem intervir diretamente e responder mais rapidamente aos problemas.
  2. Segurança e Proteção de Dados
    • O ataque DDoS na Microsoft 365 e Azure demonstrou o quão vulneráveis podem ser os serviços baseados na cloud a ataques cibernéticos. Os sistemas on-premise podem ser projetados com protocolos de segurança específicos adaptados às necessidades únicas de uma empresa. Além disso, os dados sensíveis podem ser armazenados internamente, reduzindo o risco de fugas de dados devido a ameaças externas.
  3. Confiabilidade e Disponibilidade
    • Embora os fornecedores de cloud garantam frequentemente alta disponibilidade, incidentes como o ataque DDoS podem causar interrupções prolongadas, resultando em perda de produtividade e receitas. Os sistemas on-premise podem ser projetados e mantidos de forma redundante para garantir a continuidade do negócio mesmo durante interrupções de internet ou ataques externos.
  4. Personalização e Flexibilidade
    • O software on-premise oferece às empresas a flexibilidade de personalizar a sua infraestrutura de TI de acordo com as necessidades específicas do negócio. As soluções em cloud são frequentemente padronizadas e podem impor limitações à personalização. As empresas podem otimizar os seus sistemas on-premise para um melhor desempenho e integração com as aplicações e processos existentes.
  5. Gestão de Custos a Longo Prazo
    • Embora as soluções em cloud pareçam frequentemente atraentes devido aos custos iniciais mais baixos, as taxas de assinatura recorrentes e os custos adicionais para largura de banda, armazenamento e segurança podem acumular-se. As soluções on-premise requerem um investimento inicial mais elevado, mas podem ser mais rentáveis a longo prazo, especialmente para grandes empresas com necessidades significativas de TI.

Conclusão

A certeza do software on-premise e a escolha da sua própria segurança fazem do Windows Server 2022 e SQL Server 2022 a solução para contornar a falha da segurança da cloud. Muitas empresas estão a descobrir as desvantagens das soluções em cloud e acham difícil voltar ao software on-premise. Isto é feito astutamente pela Microsoft, pois beneficiam mais das assinaturas mensais do Azure, Microsoft 365 e outros modelos de pagamento por utilização/assinatura. Se ainda quiser experimentar soluções em cloud, recomendamos vivamente considerar antecipadamente uma estratégia de saída da cloud infalível, para não ser apanhado de surpresa se optar por passar para o on-premise.

Comments