殺毒軟件導(dǎo)致全球藍(lán)屏���,DDoS防護(hù)導(dǎo)致云服務(wù)宕機(jī)���,微軟這家全球最大的網(wǎng)絡(luò)安全公司���,正在不斷刷新人們對(duì)“安全威脅”的認(rèn)知���。
微軟本周三晚間宣布,本周二全球范圍內(nèi)多個(gè)Microsoft 365和Azure云服務(wù)大規(guī)模長(zhǎng)時(shí)間宕機(jī)事件的原因���,是一次DDoS攻擊觸發(fā)了微軟DDoS防護(hù)機(jī)制的“過(guò)激反應(yīng)”���。
此次宕機(jī)影響了多個(gè)微軟服務(wù),包括XBOX���、Microsoft Entra、Microsoft 365及Microsoft Purview(包括Intune���、Power BI和Power Platform)���、Azure應(yīng)用服務(wù)、Azure IoT Central���、Azure日志搜索警報(bào)���、Azure策略以及Azure門(mén)戶(hù)���。
DDoS防護(hù)“防衛(wèi)過(guò)當(dāng)”
在本周三發(fā)布的緩解聲明中,微軟表示���,此次宕機(jī)的觸發(fā)因素是一次DDoS攻擊���,但尚未明確追溯到特定的威脅行為者。
據(jù)安全研究機(jī)構(gòu)CyberKnow透露���,本周四凌晨黑客組織SN_blackmeta在電報(bào)頻道發(fā)布了實(shí)施微軟DDoS攻擊的證據(jù)(下圖)���,此外還有其他黑客也參與了針對(duì)微軟云服務(wù)的DDoS攻擊。
SN_blackmeta是類(lèi)似Anonymous Sudan的親巴勒斯坦黑客組織���,主要攻擊目標(biāo)是支持以色列的美國(guó)及其盟國(guó)的基礎(chǔ)設(shè)施和企業(yè)���,具備攻擊微軟的能力和動(dòng)機(jī)。一周前���,Radware曾發(fā)布報(bào)告稱(chēng)SN-blackmeta針對(duì)中東某金融機(jī)構(gòu)發(fā)動(dòng)了一次為期六天的峰值高達(dá)1470萬(wàn)RPS的超大規(guī)模DDoS攻擊���。
但是根據(jù)微軟本周三的聲明���,真正導(dǎo)致微軟云服務(wù)大面積長(zhǎng)時(shí)間癱瘓的“罪魁禍?zhǔn)住保俏④涀陨淼腄DoS防護(hù)機(jī)制���。微軟表示:“初步調(diào)查表明���,DDoS攻擊觸發(fā)了我們的DDoS防護(hù)機(jī)制,由于我們防御措施(例如故障轉(zhuǎn)移)中的一個(gè)錯(cuò)誤���,不但沒(méi)有緩解���,反而放大了攻擊影響?��!?
此前,微軟在宕機(jī)事件的緩解聲明中表示���,該事件是由“意外的使用峰值”導(dǎo)致Azure Front Door(AFD)和Azure內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)組件表現(xiàn)低于可接受的閾值���,導(dǎo)致間歇性錯(cuò)誤、超時(shí)和延遲峰值���。
微軟計(jì)劃在72小時(shí)內(nèi)發(fā)布初步事故評(píng)估報(bào)告(PIR)���,并在接下來(lái)的兩周內(nèi)發(fā)布最終事故評(píng)估報(bào)告���,提供更多細(xì)節(jié)以及從本周宕機(jī)中吸取的教訓(xùn)。
微軟云服務(wù)的“內(nèi)憂(yōu)外患”
近一年來(lái)���,微軟的云服務(wù)飽受內(nèi)憂(yōu)外患的折磨���,宕機(jī)事件此起彼伏。
7月早些時(shí)候���,微軟聲稱(chēng)由于Azure配置更改的原因���,成千上萬(wàn)的Microsoft 365客戶(hù)經(jīng)歷了一次大范圍的宕機(jī)。
7月中旬���,CrowdStrike錯(cuò)誤更新導(dǎo)致的全球850萬(wàn)臺(tái)Windows設(shè)備遭遇藍(lán)屏死機(jī)���,被稱(chēng)為史上最大規(guī)模系統(tǒng)崩潰事件。微軟云服務(wù)在該事件中也未能幸免,微軟位于美國(guó)中部的Azure區(qū)域數(shù)據(jù)中心首先受到?jīng)_擊���,導(dǎo)致包括Microsoft 365在內(nèi)的多項(xiàng)服務(wù)無(wú)法正常使用���,影響范圍從Office應(yīng)用擴(kuò)展至Xbox服務(wù)。
此前���,2023年6月微軟曾確認(rèn)遭受了代號(hào)Anonymous Sudan(又名Storm-1359)的黑客組織發(fā)動(dòng)的第七層DDoS攻擊���,使其Azure、Outlook和OneDrive門(mén)戶(hù)無(wú)法訪(fǎng)問(wèn)���,該黑客組織被認(rèn)為與俄羅斯有聯(lián)系(編者:該組織的意識(shí)形態(tài)和行為模式與此次宣稱(chēng)對(duì)微軟DDoS攻擊負(fù)責(zé)的SN_blackmeta高度相似)���。
2022年7月和2023年1月,Microsoft 365服務(wù)也分別因企業(yè)配置服務(wù)(ECS)部署故障和廣域網(wǎng)IP變更而受到重大影響���。
