Microsoft Downtime: Het risico van Clouddiensten (CrowdStrike Error & DDoS-aanval op Microsoft Juli 2024)
Juli 2024 was een veelbewogen maand in software-land. Waar de verkooppraatjes van Microsoft harder klinken dan ooit te voren, krijgt het bedrijf veel kritiek door de downtime van meerdere cruciale systemen. Deze maand zijn er meerdere incidenten geweest bij Microsoft met alle gevolgen van dien. In dit artikel gaan we dieper in op de twee grootste incidenten, namelijk de CrowdStrike update en de DDoS-aanval op Microsoft 365 en Azure.
Foutieve CrowdStrike update
In juli 2024 vond een grootschalige storing plaats veroorzaakt door een foutieve software-update van CrowdStrike's Falcon Sensor. Deze update, die op 19 juli werd vrijgegeven, introduceerde een kritieke fout in de vorm van een ontbrekende nul-check in de code. Hierdoor probeerde het systeem toegang te krijgen tot een ongeldig geheugenadres, wat leidde tot de beroemde "Blue Screen of Death" (BSOD) op miljoenen Microsoft Windows-apparaten wereldwijd. Wereldwijd wordt er gesproken over een schande, aangezien een dergelijke update veel beter getest had moeten worden voor implementatie.
Impact van de foutieve CrowdStrike Update
Wereldwijde uitval
De storing had een wereldwijde impact, met kritieke verstoringen in bedrijfsoperaties, gezondheidsdiensten, luchtvaartmaatschappijen en zelfs aandelenbeurzen. Ongeveer 8,5 miljoen apparaten werden getroffen door de update. De timing van de uitrol, om 04:09 UTC, zorgde ervoor dat de storing bedrijven trof tijdens hun werkuren in Oceanië en Azië, en de vroege ochtend in Europa en Amerika.
Financiële schade
Een specialist in Cloud-uitvalverzekeringen schatte dat de grootste 500 Amerikaanse bedrijven bijna $5,4 miljard aan verliezen leden, waarvan slechts tussen de $540 miljoen en $1,08 miljard verzekerd was. Deze 500 Amerikaanse bedrijven zijn nog maar een klein aandeel van het totaal aantal getroffen bedrijven, dit illustreert de aanzienlijke financiële impact van de storing op bedrijven wereldwijd.
Specifieke gevolgen voor sectoren
- Luchtvaart: Wereldwijd werden 5.078 vluchten geannuleerd, wat 4,6% van de geplande vluchten van die dag uitmaakte. Australische luchtvaartmaatschappijen zoals Qantas, Virgin Australia en Jetstar werden zwaar getroffen, evenals luchthavens in steden zoals Sydney, Melbourne en Brisbane.
- Gezondheidszorg en Bedrijfsvoering: Kritieke systemen in ziekenhuizen en andere zorginstellingen werden verstoord, wat de dienstverlening ernstig beïnvloedde. Bedrijven ondervonden problemen met hun IT-infrastructuur, wat leidde tot verminderde productiviteit en operationele uitdagingen.
Herstelpogingen CrowdStrike update
- CrowdStrike: CrowdStrike erkende het probleem en bracht een openbare verklaring uit, samen met een workaround-oplossing. Ze adviseerden getroffen gebruikers om specifieke bestanden handmatig te verwijderen vanuit veilige modus of de Windows Recovery Environment.
- Microsoft: Microsoft werkte samen met CrowdStrike en externe ontwikkelaars om een oplossing te versnellen. Ze boden technische begeleiding en ondersteuning aan om gebruikers te helpen hun systemen veilig te herstellen. Dit omvatte het opnieuw opstarten van getroffen virtuele machines tot 15 keer en het herstellen van een back-up van voor 18 juli.
Beide adviezen waren bewerkelijk, en niet realistisch voor grote bedrijven.
DDoS-aanval op Microsoft 365 en Azure
Op 30 juli 2024 werd Microsoft getroffen door een grootschalige Distributed Denial-of-Service (DDoS)-aanval, wat resulteerde in uitval van verschillende Microsoft 365 en Azure diensten wereldwijd. De aanval duurde ongeveer negen uur en veroorzaakte significante verstoringen in de dienstverlening van onder andere Microsoft Entra, Microsoft Purview, Azure App Services, Application Insights, Azure IoT Central en de Azure Portal.
Details van de DDoS-aanval
Aanval vector
De DDoS-aanval was gericht op de applicatielaag (Layer 7) van de OSI-model, wat betekent dat de aanval specifiek gericht was op het verstoren van de webapplicatiediensten van Microsoft. De aanvallers maakten gebruik van verschillende technieken zoals HTTP(S)-floods, cache-bypass en Slowloris-aanvallen om de servers te overweldigen en de normale werking te verstoren.
Aanvallers
Microsoft identificeerde de dreigingsactor als Storm-1359, een groep die vermoedelijk pro-Russisch is en mogelijk verbonden is met de hacktivistengroep Anonymous Sudan. Deze groep heeft eerder aanvallen uitgevoerd op organisaties in Zweden, Nederland, Australië en Duitsland. Hun aanvallen maken gebruik van een verzameling botnets, gehuurde Cloud infrastructuur en open proxies om de aanvallen uit te voeren.
Impact van de DDoS-aanval op Microsoft 365 en Azure
Wereldwijde uitval
De aanval had een wereldwijde impact, waarbij gebruikers over de hele wereld problemen meldden met toegang tot hun Microsoft 365- en Azure-diensten. De diensten die werden getroffen, omvatten kritieke bedrijfsapplicaties zoals Intune, Power BI, en Power Platform, wat leidde tot wijdverspreide operationele verstoringen voor bedrijven die afhankelijk zijn van deze diensten.
Microsofts reactie
Microsoft's initiële reactie op de aanval bleek de impact te verergeren in plaats van te mitigeren. Een fout in de implementatie van hun DDoS-beschermingsmechanismen zorgde ervoor dat de verdedigingen de aanval versterkten. Dit leidde tot extra uitval en vertragingen. Microsoft voerde uiteindelijk netwerkconfiguratiewijzigingen en failovers naar alternatieve netwerkroutes door om verlichting te bieden. Verderop in dit artikel leest u meer over hoe u zelf aan de slag kan gaan met uw bedrijfsveiligheid.
Herstelpogingen DDoS-aanval
Technische oplossingen
Om verdere verstoringen te voorkomen, paste Microsoft de instellingen van hun Azure Web Application Firewall (WAF) aan. Ze adviseerden klanten ook om geografische beperkingen in te stellen om inkomend verkeer te beperken en de impact van toekomstige aanvallen te minimaliseren. Bovendien bevestigde Microsoft dat er geen bewijs was dat klantgegevens waren benaderd of gecompromitteerd tijdens deze aanvallen.
Vooruitblikken en verbeteringen
Microsoft heeft aangekondigd binnen 72 uur een voorlopig incidentrapport (Preliminary Post-Incident Review, PIR) en binnen twee weken een definitief incidentrapport te publiceren. Deze rapporten zullen verdere details en lessen bevatten die zijn geleerd van de uitval van deze week. Microsoft blijft zijn beveiligingsmechanismen evalueren en verbeteren om de impact van dergelijke aanvallen in de toekomst te verminderen.
Conclusie DDoS-aanvallen
De DDoS-aanval op Microsoft 365 en Azure in juli 2024 onderstreept de dreiging van cyberaanvallen op grote cloudserviceproviders. Het incident benadrukt het belang van beveiligingsmaatregelen en snelle, effectieve responsstrategieën om de impact van dergelijke aanvallen te minimaliseren. Microsoft’s ervaring toont aan dat zelfs de grootste technologiebedrijven kwetsbaar zijn en voortdurend moeten werken aan het versterken van hun verdedigingen tegen steeds geavanceerdere cyberdreigingen. Bent u net als velen het vertrouwen verloren in de veiligheidswaarborging van Microsoft? Dan raden wij u aan om met on-premise software verder te gaan en te zorgen voor de veiligheid van uw bedrijf en al haar data. Bekijk ons aanbod aan on-premise licenties zoals Windows Server 2022, SQL Server 2022 en Office 2021.
Wat kunt u doen tegen deze online dreigingen en onzekerheden? Neem het heft in eigen hand
In het licht van de recente incidenten met CrowdStrike en de DDoS-aanval op Microsoft 365 en Azure, is er een groeiende discussie over de voordelen van on-premise software versus cloudgebaseerde oplossingen. Hier zijn enkele redenen waarom bedrijven zouden kunnen overwegen om het heft in eigen handen te nemen door te kiezen voor on-premise software:
1. Beheersbaarheid en controle
Met on-premise software hebben bedrijven volledige controle over hun IT-omgeving. Dit betekent dat ze niet afhankelijk zijn van externe leveranciers voor updates, beveiligingspatches of het herstel van fouten. In het geval van de CrowdStrike-fout van juli 2024, hadden getroffen bedrijven dagenlang fysieke toegang tot hun machines nodig om de fout handmatig te corrigeren. Dit soort afhankelijkheid kan worden vermeden met on-premise oplossingen, waar IT-teams direct kunnen ingrijpen en sneller kunnen reageren op problemen.
2. Veiligheid en gegevensbescherming
De DDoS-aanval op Microsoft 365 en Azure toonde aan hoe kwetsbaar Cloud gebaseerde diensten kunnen zijn voor cyberaanvallen. On-premise systemen kunnen worden ontworpen met specifieke beveiligingsprotocollen die zijn afgestemd op de unieke behoeften van een bedrijf. Bovendien kunnen gevoelige gegevens intern worden opgeslagen, waardoor het risico op datalekken door externe bedreigingen wordt verminderd.
3. Betrouwbaarheid en beschikbaarheid
Hoewel Cloud providers vaak hoge beschikbaarheid garanderen, kunnen incidenten zoals de DDoS-aanval langdurige uitval veroorzaken, wat resulteert in verlies van productiviteit en inkomsten. On-premise systemen kunnen redundant worden ontworpen en onderhouden om de bedrijfscontinuïteit te waarborgen, zelfs tijdens internetuitval of externe aanvallen.
4. Aanpasbaarheid en flexibiliteit
On-premise software biedt bedrijven de flexibiliteit om hun IT-infrastructuur aan te passen aan specifieke bedrijfsbehoeften. Cloudoplossingen zijn vaak gestandaardiseerd en kunnen beperkingen opleggen aan maatwerk. Bedrijven kunnen hun on-premise systemen optimaliseren voor betere prestaties en integratie met bestaande applicaties en processen.
5. Kostenbeheersing op lange termijn
Hoewel cloudoplossingen vaak aantrekkelijk zijn vanwege de lagere initiële kosten, kunnen de terugkerende abonnementskosten en extra kosten voor bandbreedte, opslag en beveiliging oplopen. On-premise oplossingen vereisen een hogere initiële investering, maar kunnen op lange termijn kosteneffectiever zijn, vooral voor grote ondernemingen die aanzienlijke IT-behoeften hebben.
Conclusie
De zekerheid van on-premise software en het kiezen voor eigen veiligheid maakt Windows Server 2022 en SQL Server 2022 dé oplossing om de falende Cloud beveiliging te omzeilen. Veel bedrijven komen achter de nadelen van cloudoplossingen en komen erachter dat het moeilijk is om terug te gaan naar on-premise software, dit is slim gedaan van Microsoft aangezien zij meer overhouden aan de maandelijkse abonnementen van Azure, Microsoft 365 en andere pay-as-you-go/abonnementsmodellen. Mocht u toch willen experimenteren met cloudoplossingen, dan raden wij u ten zeerste aan om van te voren goed na te denken over een waterdichte Cloud exit-strategie, zodat u niet voor verrassen komt te staan als u toch kiest voor on-premise.