Microsoft Downtime: Il Rischio dei Servizi Cloud (Errore CrowdStrike & Attacco DDoS su Microsoft Luglio 2024)

08 augustus 2024

Luglio 2024 è stato un mese tumultuoso nel settore del software. Mentre le vendite di Microsoft risuonano più forti che mai, l'azienda ha affrontato critiche significative a causa dei tempi di inattività di diversi sistemi cruciali. Questo mese ha visto diversi incidenti in Microsoft con conseguenze di vasta portata. In questo articolo approfondiamo i due principali incidenti: l'aggiornamento CrowdStrike e l'attacco DDoS su Microsoft 365 e Azure.

Aggiornamento Errato di CrowdStrike

Nel luglio 2024, si è verificata un'interruzione su larga scala a causa di un aggiornamento software difettoso del sensore Falcon di CrowdStrike. Questo aggiornamento, rilasciato il 19 luglio, ha introdotto un errore critico sotto forma di un controllo nullo mancante nel codice. Questo ha causato il tentativo del sistema di accedere a un indirizzo di memoria non valido, portando al famoso "Blue Screen of Death" (BSOD) su milioni di dispositivi Microsoft Windows in tutto il mondo. La comunità globale ha visto questo come uno scandalo, poiché un tale aggiornamento avrebbe dovuto essere testato molto meglio prima dell'implementazione.

Impatto dell'Aggiornamento Errato di CrowdStrike

Interruzione Globale

L'interruzione ha avuto un impatto globale, causando gravi interruzioni nelle operazioni aziendali, nei servizi sanitari, nelle compagnie aeree e persino nelle borse. Circa 85 milioni di dispositivi sono stati colpiti dall'aggiornamento. Il momento del rollout alle 04:09 UTC ha assicurato che l'interruzione colpisse le aziende durante l'orario lavorativo in Oceania e Asia e la mattina presto in Europa e America.

Danni Finanziari

Uno specialista in assicurazioni per interruzioni cloud ha stimato che le 500 più grandi aziende americane hanno subito quasi 54 miliardi di dollari di perdite, di cui solo tra i 540 milioni e i 108 miliardi erano assicurati. Queste 500 aziende americane rappresentano solo una piccola parte del numero totale di aziende colpite, illustrando l'impatto finanziario significativo dell'interruzione sulle aziende di tutto il mondo.

Conseguenze Specifiche per i Settori

  • Aviazione: A livello globale, sono stati cancellati 5.078 voli, rappresentando il 46% dei voli programmati per quel giorno. Le compagnie aeree australiane come Qantas, Virgin Australia e Jetstar sono state pesantemente colpite, così come gli aeroporti delle città di Sydney, Melbourne e Brisbane.
  • Sanità e Operazioni Aziendali: I sistemi critici negli ospedali e in altre strutture sanitarie sono stati interrotti, influenzando gravemente l'erogazione dei servizi. Le aziende hanno riscontrato problemi con la loro infrastruttura IT, portando a una ridotta produttività e a sfide operative.

Tentativi di Recupero per l'Aggiornamento di CrowdStrike

  • CrowdStrike: CrowdStrike ha riconosciuto il problema e ha rilasciato una dichiarazione pubblica insieme a una soluzione alternativa. Hanno consigliato agli utenti colpiti di eliminare manualmente determinati file dalla modalità provvisoria o dall'ambiente di recupero di Windows.
  • Microsoft: Microsoft ha collaborato con CrowdStrike e sviluppatori esterni per accelerare una soluzione. Hanno fornito orientamenti tecnici e supporto per aiutare gli utenti a ripristinare in sicurezza i loro sistemi. Ciò includeva il riavvio delle macchine virtuali colpite fino a 15 volte e il ripristino di un backup precedente al 18 luglio.

Entrambe le raccomandazioni erano laboriose e irrealistiche per le grandi aziende.


Attacco DDoS su Microsoft 365 e Azure

Il 30 luglio 2024, Microsoft è stata colpita da un attacco Distributed Denial-of-Service (DDoS) su larga scala, causando interruzioni di vari servizi Microsoft 365 e Azure in tutto il mondo. L'attacco è durato circa nove ore e ha causato significative interruzioni del servizio per Microsoft Entra, Microsoft Purview, Azure App Services, Application Insights, Azure IoT Central e il portale Azure.

Dettagli dell'Attacco DDoS

Vettore di Attacco

L'attacco DDoS ha preso di mira il livello applicativo (Layer 7) del modello OSI, il che significa che l'attacco mirava specificamente a interrompere i servizi di applicazione web di Microsoft. Gli attaccanti hanno utilizzato varie tecniche come inondazioni HTTP(S), bypass della cache e attacchi Slowloris per sopraffare i server e interrompere il funzionamento normale.

Attaccanti

Microsoft ha identificato l'attore della minaccia come Storm-1359, un gruppo sospettato di essere pro-russo e possibilmente collegato al gruppo hacktivista Anonymous Sudan. Questo gruppo ha precedentemente condotto attacchi contro organizzazioni in Svezia, Paesi Bassi, Australia e Germania. I loro attacchi utilizzano una raccolta di botnet, infrastrutture cloud noleggiate e proxy aperti per eseguire gli attacchi.

Impatto dell'Attacco DDoS su Microsoft 365 e Azure

Interruzione Globale

L'attacco ha avuto un impatto globale, con utenti in tutto il mondo che hanno segnalato problemi di accesso ai loro servizi Microsoft 365 e Azure. I servizi colpiti includevano applicazioni aziendali critiche come Intune, Power BI e Power Platform, causando interruzioni operative diffuse per le aziende dipendenti da questi servizi.

Risposta di Microsoft

La risposta iniziale di Microsoft all'attacco sembrava esacerbare l'impatto piuttosto che mitigarne gli effetti. Un errore nell'implementazione dei loro meccanismi di protezione DDoS ha causato il potenziamento dell'attacco da parte delle difese. Questo ha portato a ulteriori interruzioni e ritardi. Microsoft ha infine apportato modifiche alla configurazione della rete e failover a percorsi di rete alternativi per alleviare la situazione. Più avanti in questo articolo, leggerai di più su come migliorare la sicurezza della tua azienda.

Tentativi di Recupero per l'Attacco DDoS

Soluzioni Tecniche

Per prevenire ulteriori interruzioni, Microsoft ha regolato le impostazioni del loro firewall per applicazioni web di Azure (WAF). Hanno anche consigliato ai clienti di implementare restrizioni geografiche per limitare il traffico in entrata e minimizzare l'impatto degli attacchi futuri. Inoltre, Microsoft ha confermato che non ci sono prove che i dati dei clienti siano stati accessi o compromessi durante questi attacchi.

Prospettive e Miglioramenti

Microsoft ha annunciato che entro 72 ore verrà pubblicato un rapporto preliminare sull'incidente (Preliminary Post-Incident Review PIR) e un rapporto finale sull'incidente entro due settimane. Questi rapporti conterranno ulteriori dettagli e lezioni apprese dai disservizi di questa settimana. Microsoft continua a valutare e migliorare i suoi meccanismi di sicurezza per ridurre l'impatto di tali attacchi in futuro.

Conclusione sugli Attacchi DDoS

L'attacco DDoS su Microsoft 365 e Azure nel luglio 2024 sottolinea la minaccia degli attacchi informatici sui principali fornitori di servizi cloud. L'incidente evidenzia l'importanza delle misure di sicurezza e delle strategie di risposta rapide ed efficaci per minimizzare l'impatto di tali attacchi. L'esperienza di Microsoft dimostra che anche le più grandi aziende tecnologiche sono vulnerabili e devono continuamente lavorare per rafforzare le loro difese contro minacce informatiche sempre più sofisticate. Hai perso fiducia nelle garanzie di sicurezza di Microsoft, come molti altri? Raccomandiamo di continuare con il software on-premise per garantire la sicurezza della tua azienda e di tutti i suoi dati. Esplora la nostra gamma di licenze on-premise come Windows Server 2022, SQL Server 2022 e Office 2021.


Cosa Puoi Fare Contro Queste Minacce e Incertezze Online? Prendi il Controllo

Alla luce dei recenti incidenti con CrowdStrike e l'attacco DDoS su Microsoft 365 e Azure, si sta aprendo un dibattito crescente sui vantaggi del software on-premise rispetto alle soluzioni basate sul cloud. Ecco alcune ragioni per cui le aziende potrebbero considerare di prendere il controllo scegliendo il software on-premise:

  1. Gestibilità e Controllo
    • Con il software on-premise, le aziende hanno il pieno controllo del loro ambiente IT. Ciò significa che non dipendono da fornitori esterni per aggiornamenti, patch di sicurezza o correzione degli errori. Nel caso dell'errore CrowdStrike del luglio 2024, le aziende colpite hanno avuto bisogno di accesso fisico alle loro macchine per giorni per correggere manualmente l'errore. Questo tipo di dipendenza può essere evitata con soluzioni on-premise, dove i team IT possono intervenire direttamente e rispondere ai problemi più rapidamente.
  2. Sicurezza e Protezione dei Dati
    • L'attacco DDoS su Microsoft 365 e Azure ha dimostrato quanto possano essere vulnerabili i servizi basati sul cloud agli attacchi informatici. I sistemi on-premise possono essere progettati con protocolli di sicurezza specifici adattati alle esigenze uniche di un'azienda. Inoltre, i dati sensibili possono essere archiviati internamente, riducendo il rischio di violazioni dei dati da minacce esterne.
  3. Affidabilità e Disponibilità
    • Sebbene i fornitori di cloud garantiscano spesso un'alta disponibilità, incidenti come l'attacco DDoS possono causare interruzioni prolungate, con conseguenti perdite di produttività e di entrate. I sistemi on-premise possono essere progettati e mantenuti in modo ridondante per garantire la continuità aziendale anche durante le interruzioni di internet o gli attacchi esterni.
  4. Personalizzazione e Flessibilità
    • Il software on-premise offre alle aziende la flessibilità di personalizzare la loro infrastruttura IT in base alle esigenze specifiche dell'azienda. Le soluzioni cloud sono spesso standardizzate e possono imporre limitazioni alla personalizzazione. Le aziende possono ottimizzare i loro sistemi on-premise per prestazioni migliori e integrazione con le applicazioni e i processi esistenti.
  5. Gestione dei Costi a Lungo Termine
    • Sebbene le soluzioni cloud sembrino spesso attraenti per i costi iniziali più bassi, le tariffe di abbonamento ricorrenti e i costi aggiuntivi per larghezza di banda, archiviazione e sicurezza possono sommarsi. Le soluzioni on-premise richiedono un investimento iniziale più elevato, ma possono essere più convenienti a lungo termine, specialmente per le grandi imprese con esigenze IT significative.

Conclusione

La certezza del software on-premise e la scelta della propria sicurezza fanno di Windows Server 2022 e SQL Server 2022 la soluzione per aggirare la sicurezza fallimentare del cloud. Molte aziende stanno scoprendo gli svantaggi delle soluzioni cloud e trovano difficile tornare al software on-premise. Questo è fatto astutamente da Microsoft, poiché beneficiano maggiormente degli abbonamenti mensili di Azure, Microsoft 365 e altri modelli di pagamento a consumo/abbonamento. Se desideri comunque sperimentare le soluzioni cloud, ti consigliamo vivamente di considerare in anticipo una strategia di uscita dal cloud a tenuta stagna, in modo da non essere colto di sorpresa se scegli di passare all'on-premise.