近日,微软开源调查SolarWinds攻击木马软件(Sunburst/Solarigate)代码查询工具——CodeQL(https://aka.ms/Solorigate-CodeQL-Queries),其他企业也可以使用该工具检查相关产品代码是否受到影响SolarWinds恶意软件对供应链攻击的影响。
SolarWinds微软安全团队在博客上说:“ Solorigate攻击是一种供应链攻击,攻击者可以修改SolarWinds Orion产品中的二进制文件。这些修改后的二进制文件通过以前的合法更新渠道分发,使攻击者能够远程执行恶意活动,如窃取凭证、增强权限和横向移动,以窃取敏感信息。这一事件提醒组织,在安全防御方面,不仅要为复杂攻击的响应做好准备,还要保证代码库的韧性。”
微软使用CodeQL查询分析相关产品的源代码,确保没有与之相关Solorigate/Sunburst与恶意软件相关的危害(IoC)编码模式。
上个月早些时候,微软承认实施SolarWinds攻击黑客下载了一些Azure、Exchange和Intune产品的源代码,但似乎危害有限。
静态和动态代码分析是组织检测软件安全性的重要手段。然而,微软还警告说,由于良性代码中可能存在类似指标,因此需要手动审查查询结果。
SolarWinds开发过程并非黑客利用的唯一弱点。据路透社报道,在上周美国参议院举行的听证会上,CrowdStrike乔治,首席执行官·库兹(George Kurtz)批评微软“Windows身份验证体系结构中的系统缺陷(指身份验证体系结构中的系统缺陷)Active Directory和Azure Active Directory)。攻击者一旦入侵 *** ,就可以横向移动。”
但是微软新委任GitHub首席安全官(CSO)迈克·汉利(Mike Hanley)则表示,CodeQL提供了“帮助开发人员避免安全事件和漏洞的关键护栏”。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章