微軟本周三晚間宣布�,本周二全球范圍內多個Microsoft 365和Azure云服務大規(guī)模長時間宕機事件的原因,是一次DDoS攻擊觸發(fā)了微軟DDoS防護機制的“過激反應”����。
此次宕機影響了多個微軟服務,包括XBOX�����、Microsoft Entra�、Microsoft 365及Microsoft Purview(包括Intune、Power BI和Power Platform)�����、Azure應用服務��、Azure IoT Central、Azure日志搜索警報��、Azure策略以及Azure門戶��。
DDoS防護“防衛(wèi)過當”
在本周三發(fā)布的緩解聲明中�����,微軟表示���,此次宕機的觸發(fā)因素是一次DDoS攻擊��,但尚未明確追溯到特定的威脅行為者�����。
據安全研究機構CyberKnow透露���,本周四凌晨黑客組織SN_blackmeta在電報頻道發(fā)布了實施微軟DDoS攻擊的證據(下圖),此外還有其他黑客也參與了針對微軟云服務的DDoS攻擊����。
SN_blackmeta是類似Anonymous Sudan的親巴勒斯坦黑客組織,主要攻擊目標是支持以色列的美國及其盟國的基礎設施和企業(yè)�,具備攻擊微軟的能力和動機。一周前��,Radware曾發(fā)布報告稱SN-blackmeta針對中東某金融機構發(fā)動了一次為期六天的峰值高達1470萬RPS的超大規(guī)模DDoS攻擊�����。
但是根據微軟本周三的聲明�����,真正導致微軟云服務大面積長時間癱瘓的“罪魁禍首”���,是微軟自身的DDoS防護機制�。微軟表示:“初步調查表明���,DDoS攻擊觸發(fā)了我們的DDoS防護機制�����,由于我們防御措施(例如故障轉移)中的一個錯誤��,不但沒有緩解�,反而放大了攻擊影響��。”
此前��,微軟在宕機事件的緩解聲明中表示����,該事件是由“意外的使用峰值”導致Azure Front Door(AFD)和Azure內容分發(fā)網絡(CDN)組件表現低于可接受的閾值,導致間歇性錯誤��、超時和延遲峰值�����。
微軟計劃在72小時內發(fā)布初步事故評估報告(PIR)�,并在接下來的兩周內發(fā)布最終事故評估報告,提供更多細節(jié)以及從本周宕機中吸取的教訓��。
微軟云服務的“內憂外患”
近一年來���,微軟的云服務飽受內憂外患的折磨�,宕機事件此起彼伏���。
7月早些時候���,微軟聲稱由于Azure配置更改的原因��,成千上萬的Microsoft 365客戶經歷了一次大范圍的宕機��。
7月中旬,CrowdStrike錯誤更新導致的全球850萬臺Windows設備遭遇藍屏死機�,被稱為史上最大規(guī)模系統崩潰事件。微軟云服務在該事件中也未能幸免�,微軟位于美國中部的Azure區(qū)域數據中心首先受到沖擊,導致包括Microsoft 365在內的多項服務無法正常使用����,影響范圍從Office應用擴展至Xbox服務。
此前���,2023年6月微軟曾確認遭受了代號Anonymous Sudan(又名Storm-1359)的黑客組織發(fā)動的第七層DDoS攻擊�,使其Azure����、Outlook和OneDrive門戶無法訪問,該黑客組織被認為與俄羅斯有聯系(編者:該組織的意識形態(tài)和行為模式與此次宣稱對微軟DDoS攻擊負責的SN_blackmeta高度相似)����。
2022年7月和2023年1月,Microsoft 365服務也分別因企業(yè)配置服務(ECS)部署故障和廣域網IP變更而受到重大影響�。
