微软本周三晚间宣布,本周二全球范围内多个Microsoft 365和Azure云服务大规模长时间宕机事件的原因,是一次DDoS攻击触发了微软DDoS防护机制的“过激反应”。
此次宕机影响了多个微软服务,包括XBOX、Microsoft Entra、Microsoft 365及Microsoft Purview(包括Intune、Power BI和Power Platform)、Azure应用服务、Azure IoT Central、Azure日志搜索警报、Azure策略以及Azure门户。
DDoS防护“防卫过当”
在本周三发布的缓解声明中,微软表示,此次宕机的触发因素是一次DDoS攻击,但尚未明确追溯到特定的威胁行为者。
据安全研究机构CyberKnow透露,本周四凌晨黑客组织SN_blackmeta在电报频道发布了实施微软DDoS攻击的证据(下图),此外还有其他黑客也参与了针对微软云服务的DDoS攻击。
SN_blackmeta是类似Anonymous Sudan的亲巴勒斯坦黑客组织,主要攻击目标是支持以色列的美国及其盟国的基础设施和企业,具备攻击微软的能力和动机。一周前,Radware曾发布报告称SN-blackmeta针对中东某金融机构发动了一次为期六天的峰值高达1470万RPS的超大规模DDoS攻击。
但是根据微软本周三的声明,真正导致微软云服务大面积长时间瘫痪的“罪魁祸首”,是微软自身的DDoS防护机制。微软表示:“初步调查表明,DDoS攻击触发了我们的DDoS防护机制,由于我们防御措施(例如故障转移)中的一个错误,不但没有缓解,反而放大了攻击影响。”
此前,微软在宕机事件的缓解声明中表示,该事件是由“意外的使用峰值”导致Azure Front Door(AFD)和Azure内容分发网络(CDN)组件表现低于可接受的阈值,导致间歇性错误、超时和延迟峰值。
微软计划在72小时内发布初步事故评估报告(PIR),并在接下来的两周内发布最终事故评估报告,提供更多细节以及从本周宕机中吸取的教训。
微软云服务的“内忧外患”
近一年来,微软的云服务饱受内忧外患的折磨,宕机事件此起彼伏。
7月早些时候,微软声称由于Azure配置更改的原因,成千上万的Microsoft 365客户经历了一次大范围的宕机。
7月中旬,CrowdStrike错误更新导致的全球850万台Windows设备遭遇蓝屏死机,被称为史上最大规模系统崩溃事件。微软云服务在该事件中也未能幸免,微软位于美国中部的Azure区域数据中心首先受到冲击,导致包括Microsoft 365在内的多项服务无法正常使用,影响范围从Office应用扩展至Xbox服务。
此前,2023年6月微软曾确认遭受了代号Anonymous Sudan(又名Storm-1359)的黑客组织发动的第七层DDoS攻击,使其Azure、Outlook和OneDrive门户无法访问,该黑客组织被认为与俄罗斯有联系(编者:该组织的意识形态和行为模式与此次宣称对微软DDoS攻击负责的SN_blackmeta高度相似)。
2022年7月和2023年1月,Microsoft 365服务也分别因企业配置服务(ECS)部署故障和广域网IP变更而受到重大影响。