Microsoft macht CodeQL-Abfragen öffentlich, damit Sicherheitsexperten den Angriff von SolarWinds besser verstehen können

Cyber Security News

Microsoft hat Lob von Sicherheitsforschern geerntet, indem es seine CodeQL-Abfragen öffentlich gemacht hat, so dass jede Organisation die Open-Source-Tools nutzen kann, um zu analysieren, ob sie durch den SolarWinds-Angriff oder ähnliche Angriffe auf die Lieferkette verwundbar ist. (Microsoft)

Microsoft hat Lob von Sicherheitsforschern erhalten, indem es seine CodeQL-Abfragen öffentlich gemacht hat, so dass jede Organisation die Open-Source-Tools verwenden könnte, um zu analysieren, ob sie irgendwelche Schwachstellen aus dem SolarWinds-Hack oder ähnlichen Angriffen auf die Lieferkette erfahren hat.

CodeQL fragt Code ab, als wären es Daten, was es Entwicklern ermöglicht, eine Abfrage zu schreiben, die alle Varianten einer Sicherheitslücke findet, und diese dann mit anderen zu teilen.

In einem Blog-Post vom Donnerstag, der detailliert beschreibt, wie die CodeQL-Technik eingesetzt wurde, bezeichnete Microsoft den Angriff auf SolarWinds als Solorigate. In diesem Fall drang der Angreifer in die Remote-Management-Software-Server mehrerer Unternehmen ein und injizierte eine Hintertür in das SolarWinds Orion-Software-Update. Der Angreifer modifizierte die Binärdateien in Orion und verteilte sie über zuvor legitime Update-Kanäle. Auf diese Weise konnte der Angreifer aus der Ferne böswillige Aktivitäten durchführen, wie z. B. Diebstahl von Anmeldeinformationen, Privilegienerweiterung und Lateralbewegung, um vertrauliche Informationen zu stehlen.

Microsoft sagt, dass der SolarWinds-Vorfall Unternehmen daran erinnert hat, nicht nur über ihre Bereitschaft, auf ausgeklügelte Angriffe zu reagieren, nachzudenken, sondern auch über die Widerstandsfähigkeit ihrer eigenen Codebasen. In dem Blog erläutert Microsoft die Verwendung von CodeQL-Abfragen, um den Quellcode im großen Maßstab zu analysieren und das Vorhandensein der mit Solorigate in Verbindung gebrachten Indikatoren für eine Kompromittierung (IoCs) und Codierungsmuster auf Code-Ebene auszuschließen.

“Beachten Sie, dass die Abfragen, die wir in diesem Blog behandeln, lediglich dazu dienen, Quellcode ausfindig zu machen, der Ähnlichkeiten mit dem Quellcode im Solorigate-Implantat aufweist, entweder in den syntaktischen Elementen (Namen, Literale) oder in der Funktionalität”, heißt es im Blog. “Beides kann zufällig in gutartigem Code vorkommen, daher müssen alle Funde überprüft werden, um festzustellen, ob sie verwertbar sind. Außerdem gibt es keine Garantie dafür, dass der böswillige Akteur bei anderen Operationen auf dieselbe Funktionalität oder denselben Codierungsstil beschränkt ist, so dass diese Abfragen möglicherweise andere Implantate nicht erkennen, die erheblich von der im Solorigate-Implantat gesehenen Taktik abweichen.”

Microsoft betonte, dass Sicherheitsforscher das, was sie im Blog skizziert haben, nur als einen Teil in einem Mosaik von Techniken betrachten sollten, die auf Kompromittierung geprüft werden müssen.

Sicherheitsforscher waren recht erfreut über die Entscheidung von Microsoft, seine CodeQL-Abfragen zu teilen.

Andrew Barratt, Managing Principal of Solutions and Investigations bei Coalfire, sagte, dass Microsoft zwar oft von Teilen der Sicherheits-Community kritisiert wird, der Softwarehersteller aber eine weitere nützliche Reihe von Tools und Techniken zur Verfügung gestellt hat, die Incident Responder und Blue Teamer nutzen können, um ihre Arbeit weiter zu automatisieren. Barratt fügte hinzu, dass die Analyse der SolarWinds-Kompromittierung oder auch nur “potenzieller” Kompromittierungsaktivitäten einen großen Teil der Q1-Aktivitäten seines Unternehmens für Kunden ausmacht, und alles, was sie zur Unterstützung dieser Bemühungen einsetzen können, wird die Analyse weiter beschleunigen.

“Die Verwendung von CodeQL mit der zusätzlichen Unterstützung von Microsoft könnte der Beginn einer viel defensiveren Haltung sein, wenn es darum geht, sichere Produkte zu entwickeln”, sagte Barratt. “Es kann in die Entwicklungspipeline integriert werden, hat aber auch das Potenzial, als Teil der Analyse von anderem Code von Drittanbietern genutzt zu werden, die möglicherweise einen ‘Nachahmer’-Angriff haben. Während das kurzfristig großartig ist, liegt der wirkliche Wert in dem Wissen, das dies in der gesamten Community allein aufgrund der großen Reichweite von Microsoft schaffen wird. Dies wird dazu beitragen, Antworten auf die Frage ‘Wo fangen wir an?’ zu finden.”

Lamar Bailey, Senior Director of Security Research bei Tripwire, begrüßte den Schritt von Microsoft und bezeichnete ihn als positiv für die gesamte Cybersicherheitsbranche.

“Durch eine stärkere Zusammenarbeit und Partnerschaften werden wir sehen, wie sich der Kampf zu unseren Gunsten wendet, und wie wir bedeutenden Cyberangriffen wie denen, die wir in den letzten Monaten erlebt haben, ein Ende setzen können”, sagte Bailey.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com