微软作为全球最大的网络安全公司，其杀毒软件导致全球蓝屏，其DDoS防护导致云服务中断，正在不断重塑人们对“安全威胁”的理解。

微软周三晚间表示，周二全球多个Microsoft 365 和Azure 云服务出现大规模、长时间宕机，是由于DDoS 攻击导致微软的DDoS 防护机制“反应过度”。

此故障影响多个Microsoft 服务，包括XBOX、Microsoft Entra、Microsoft 365、Microsoft Purview（包括Intune、Power BI 和Power Platform）、Azure 应用服务、Azure IoT Central、Azure 日志搜索警报、Azure 策略和Azure 门户。

DDoS防护“防卫过当”

在周三发布的一份缓解声明中，微软表示此次中断是由DDoS 攻击引起的，但尚未明确追踪到特定攻击者。

据安全研究机构CyberKnow 报道，黑客组织SN_blackmeta 周四凌晨在其Telegram 频道上公布了微软DDoS 攻击的证据（如下图） 此外，其他黑客也参与了针对微软云服务的DDoS 攻击。

SN_blackmeta是一个类似于Anonymous苏丹的亲巴勒斯坦黑客组织，主要针对美国及其支持以色列的盟友的基础设施和企业，有攻击微软的能力和动机。一周前，Radware 发布报告称SN-blackmeta 针对中东金融机构发起了大规模DDoS 攻击，六天内峰值达到1470 万RPS。

但根据微软周三的声明，造成微软云服务大范围、长期瘫痪的真正“罪魁祸首”是微软自身的DDoS防护机制。微软在一份声明中表示：“初步调查确定，DDoS 攻击触发了我们的DDoS 防护机制，而我们的防御失败（例如故障转移）放大了而不是减轻了攻击的影响。”

微软此前在针对此次中断的缓解声明中表示，该事件是由“意外的使用高峰”引起的，Azure前门（AFD）和Azure内容交付网络（CDN）组件的性能是可以接受的。由于温度低于阈值时发生间歇性现象。错误、超时和延迟峰值。

微软计划在72 小时内发布初步事件评估报告(PIR)，并在未来两周内发布最终事件评估报告，提供详细信息以及从本周的中断中吸取的教训。

微软云服务的“内忧外患”

过去一年来，微软的云服务饱受内忧外患的困扰，导致发生了多起宕机事件。

7 月初，微软声称，由于Azure 中的配置更改，数千名Microsoft 365 客户遇到了大范围的服务中断。

7 月中旬，错误的CrowdStrike 更新导致全球850 万台Windows 设备蓝屏，这被称为历史上最大的系统崩溃。微软的云服务也未能幸免于这次事件，但微软位于美国中部的Azure区域数据中心首当其冲，导致包括Microsoft 365在内的许多服务无法正常运行，并影响到从Office应用程序到Xbox的一切。来服务。

此前，2023 年6 月，微软遭受了代号为“匿名苏丹”（也称为Storm-1359）的黑客组织发起的第7 层DDoS 攻击，该攻击针对的是其Azure、Outlook 和OneDrive 服务器。已变得无法访问。人们认为它与俄罗斯有关，但确实有关系（编者注：该组织的意识形态和行为模式与声称对微软DDoS 攻击负责的SN_blackmeta 非常相似）。

在2022 年7 月和2023 年1 月，Microsoft 365 服务也分别受到企业配置服务(ECS) 部署失败和WAN IP 更改的严重影响。