微软：云服务大规模宕机因 DDoS“防卫过当”

杀毒软件导致全球蓝屏，DDoS 防护导致云服务宕机，微软这家全球最大的网络安全公司，正在不断刷新人们对“安全威胁”的认知。

微软本周三晚间宣布，本周二全球范围内多个 Microsoft 365 和 Azure 云服务大规模长时间宕机事件的原因，是一次 DDoS 攻击触发了微软 DDoS 防护机制的“过激反应”。

此次宕机影响了多个微软服务，包括 XBOX、Microsoft Entra、Microsoft 365 及 Microsoft Purview（包括 Intune、Power BI 和 Power Platform）、Azure 应用服务、Azure IoT Central、Azure 日志搜索警报、Azure 策略以及 Azure 门户。

DDoS 防护“防卫过当”

在本周三发布的缓解声明中，微软表示，此次宕机的触发因素是一次 DDoS 攻击，但尚未明确追溯到特定的威胁行为者。

据安全研究机构 CyberKnow 透露，本周四凌晨黑客组织 SN_blackmeta 在电报频道发布了实施微软 DDoS 攻击的证据（下图），此外还有其他黑客也参与了针对微软云服务的 DDoS 攻击。

SN_blackmeta 是类似 Anonymous Sudan 的亲巴勒斯坦黑客组织，主要攻击目标是支持以色列的美国及其盟国的基础设施和企业，具备攻击微软的能力和动机。一周前，Radware 曾发布报告称 SN-blackmeta 针对中东某金融机构发动了一次为期六天的峰值高达 1470 万 RPS 的超大规模 DDoS 攻击。

但是根据微软本周三的声明，真正导致微软云服务大面积长时间瘫痪的“罪魁祸首”，是微软自身的 DDoS 防护机制。微软表示：“初步调查表明，DDoS 攻击触发了我们的 DDoS 防护机制，由于我们防御措施（例如故障转移）中的一个错误，不但没有缓解，反而放大了攻击影响。”

此前，微软在宕机事件的缓解声明中表示，该事件是由“意外的使用峰值”导致 Azure Front Door（AFD）和 Azure 内容分发网络（CDN）组件表现低于可接受的阈值，导致间歇性错误、超时和延迟峰值。

微软计划在 72 小时内发布初步事故评估报告（PIR），并在接下来的两周内发布最终事故评估报告，提供更多细节以及从本周宕机中吸取的教训。

微软云服务的“内忧外患”

近一年来，微软的云服务饱受内忧外患的折磨，宕机事件此起彼伏。

7 月早些时候，微软声称由于 Azure 配置更改的原因，成千上万的 Microsoft 365 客户经历了一次大范围的宕机。

7 月中旬，CrowdStrike 错误更新导致的全球 850 万台 Windows 设备遭遇蓝屏死机，被称为史上最大规模系统崩溃事件。微软云服务在该事件中也未能幸免，微软位于美国中部的 Azure 区域数据中心首先受到冲击，导致包括 Microsoft 365 在内的多项服务无法正常使用，影响范围从 Office 应用扩展至 Xbox 服务。

此前，2023 年 6 月微软曾确认遭受了代号 Anonymous Sudan（又名 Storm-1359）的黑客组织发动的第七层 DDoS 攻击，使其 Azure、Outlook 和 OneDrive 门户无法访问，该黑客组织被认为与俄罗斯有联系（编者：该组织的意识形态和行为模式与此次宣称对微软 DDoS 攻击负责的 SN_blackmeta 高度相似）。

2022 年 7 月和 2023 年 1 月，Microsoft 365 服务也分别因企业配置服务（ECS）部署故障和广域网 IP 变更而受到重大影响。