殺毒軟件導(dǎo)致全球藍屏，DDoS防護導(dǎo)致云服務(wù)宕機，微軟這家全球最大的網(wǎng)絡(luò)安全公司，正在不斷刷新人們對“安全威脅”的認(rèn)知。

微軟本周三晚間宣布，本周二全球范圍內(nèi)多個Microsoft 365和Azure云服務(wù)大規(guī)模長時間宕機事件的原因，是一次DDoS攻擊觸發(fā)了微軟DDoS防護機制的“過激反應(yīng)”。

此次宕機影響了多個微軟服務(wù)，包括XBOX、Microsoft Entra、Microsoft 365及Microsoft Purview（包括Intune、Power BI和Power Platform）、Azure應(yīng)用服務(wù)、Azure IoT Central、Azure日志搜索警報、Azure策略以及Azure門戶。

DDoS防護“防衛(wèi)過當(dāng)”

在本周三發(fā)布的緩解聲明中，微軟表示，此次宕機的觸發(fā)因素是一次DDoS攻擊，但尚未明確追溯到特定的威脅行為者。

據(jù)安全研究機構(gòu)CyberKnow透露，本周四凌晨黑客組織SN_blackmeta在電報頻道發(fā)布了實施微軟DDoS攻擊的證據(jù)（下圖），此外還有其他黑客也參與了針對微軟云服務(wù)的DDoS攻擊。

SN_blackmeta是類似Anonymous Sudan的親巴勒斯坦黑客組織，主要攻擊目標(biāo)是支持以色列的美國及其盟國的基礎(chǔ)設(shè)施和企業(yè)，具備攻擊微軟的能力和動機。一周前，Radware曾發(fā)布報告稱SN-blackmeta針對中東某金融機構(gòu)發(fā)動了一次為期六天的峰值高達1470萬RPS的超大規(guī)模DDoS攻擊。

但是根據(jù)微軟本周三的聲明，真正導(dǎo)致微軟云服務(wù)大面積長時間癱瘓的“罪魁禍?zhǔn)住?，是微軟自身的DDoS防護機制。微軟表示：“初步調(diào)查表明，DDoS攻擊觸發(fā)了我們的DDoS防護機制，由于我們防御措施（例如故障轉(zhuǎn)移）中的一個錯誤，不但沒有緩解，反而放大了攻擊影響?！?

此前，微軟在宕機事件的緩解聲明中表示，該事件是由“意外的使用峰值”導(dǎo)致Azure Front Door（AFD）和Azure內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）組件表現(xiàn)低于可接受的閾值，導(dǎo)致間歇性錯誤、超時和延遲峰值。

微軟計劃在72小時內(nèi)發(fā)布初步事故評估報告（PIR），并在接下來的兩周內(nèi)發(fā)布最終事故評估報告，提供更多細(xì)節(jié)以及從本周宕機中吸取的教訓(xùn)。

微軟云服務(wù)的“內(nèi)憂外患”

近一年來，微軟的云服務(wù)飽受內(nèi)憂外患的折磨，宕機事件此起彼伏。

7月早些時候，微軟聲稱由于Azure配置更改的原因，成千上萬的Microsoft 365客戶經(jīng)歷了一次大范圍的宕機。

7月中旬，CrowdStrike錯誤更新導(dǎo)致的全球850萬臺Windows設(shè)備遭遇藍屏死機，被稱為史上最大規(guī)模系統(tǒng)崩潰事件。微軟云服務(wù)在該事件中也未能幸免，微軟位于美國中部的Azure區(qū)域數(shù)據(jù)中心首先受到?jīng)_擊，導(dǎo)致包括Microsoft 365在內(nèi)的多項服務(wù)無法正常使用，影響范圍從Office應(yīng)用擴展至Xbox服務(wù)。

此前，2023年6月微軟曾確認(rèn)遭受了代號Anonymous Sudan（又名Storm-1359）的黑客組織發(fā)動的第七層DDoS攻擊，使其Azure、Outlook和OneDrive門戶無法訪問，該黑客組織被認(rèn)為與俄羅斯有聯(lián)系（編者：該組織的意識形態(tài)和行為模式與此次宣稱對微軟DDoS攻擊負(fù)責(zé)的SN_blackmeta高度相似）。

2022年7月和2023年1月，Microsoft 365服務(wù)也分別因企業(yè)配置服務(wù)（ECS）部署故障和廣域網(wǎng)IP變更而受到重大影響。