微軟本周三晚間宣布，本周二全球范圍內多個Microsoft 365和Azure云服務大規模長時間宕機事件的原因，是一次DDoS攻擊觸發了微軟DDoS防護機制的“過激反應”。

　　此次宕機影響了多個微軟服務，包括XBOX、Microsoft Entra、Microsoft 365及Microsoft Purview(包括Intune、Power BI和Power Platform)、Azure應用服務、Azure IoT Central、Azure日志搜索警報、Azure策略以及Azure門戶。

　　DDoS防護“防衛過當”

　　在本周三發布的緩解聲明中，微軟表示，此次宕機的觸發因素是一次DDoS攻擊，但尚未明確追溯到特定的威脅行為者。

　　據安全研究機構CyberKnow透露，本周四凌晨黑客組織SN_blackmeta在電報頻道發布了實施微軟DDoS攻擊的證據(下圖)，此外還有其他黑客也參與了針對微軟云服務的DDoS攻擊。

　　SN_blackmeta是類似Anonymous Sudan的親巴勒斯坦黑客組織，主要攻擊目標是支持以色列的美國及其盟國的基礎設施和企業，具備攻擊微軟的能力和動機。一周前，Radware曾發布報告稱SN-blackmeta針對中東某金融機構發動了一次為期六天的峰值高達1470萬RPS的超大規模DDoS攻擊。

　　但是根據微軟本周三的聲明，真正導致微軟云服務大面積長時間癱瘓的“罪魁禍首”，是微軟自身的DDoS防護機制。微軟表示：“初步調查表明，DDoS攻擊觸發了我們的DDoS防護機制，由于我們防御措施(例如故障轉移)中的一個錯誤，不但沒有緩解，反而放大了攻擊影響。”

　　此前，微軟在宕機事件的緩解聲明中表示，該事件是由“意外的使用峰值”導致Azure Front Door(AFD)和Azure內容分發網絡(CDN)組件表現低于可接受的閾值，導致間歇性錯誤、超時和延遲峰值。

　　微軟計劃在72小時內發布初步事故評估報告(PIR)，并在接下來的兩周內發布最終事故評估報告，提供更多細節以及從本周宕機中吸取的教訓。

　　微軟云服務的“內憂外患”

　　近一年來，微軟的云服務飽受內憂外患的折磨，宕機事件此起彼伏。

　　7月早些時候，微軟聲稱由于Azure配置更改的原因，成千上萬的Microsoft 365客戶經歷了一次大范圍的宕機。

　　7月中旬，CrowdStrike錯誤更新導致的全球850萬臺Windows設備遭遇藍屏死機，被稱為史上最大規模系統崩潰事件。微軟云服務在該事件中也未能幸免，微軟位于美國中部的Azure區域數據中心首先受到沖擊，導致包括Microsoft 365在內的多項服務無法正常使用，影響范圍從Office應用擴展至Xbox服務。

　　此前，2023年6月微軟曾確認遭受了代號Anonymous Sudan(又名Storm-1359)的黑客組織發動的第七層DDoS攻擊，使其Azure、Outlook和OneDrive門戶無法訪問，該黑客組織被認為與俄羅斯有聯系(編者：該組織的意識形態和行為模式與此次宣稱對微軟DDoS攻擊負責的SN_blackmeta高度相似)。

　　2022年7月和2023年1月，Microsoft 365服務也分別因企業配置服務(ECS)部署故障和廣域網IP變更而受到重大影響。