近日,微软开源了CodeQL(https://aka.ms/Solorigate-CodeQL-Queries),一款用于排查SolarWinds攻击木马软件(Sunburst/Solarigate)的代码查询工具,其他商家也可以通过该工具自查相关产品代码是否受到了SolarWinds供应链攻击恶意软件的影响。SolarWinds攻击是美国有史以来最严重的黑客攻击事件之一,微软安全团队在博文中表示:“Solorigate攻击是一种供应链攻击,攻击者能够修改SolarWindsOrion产品中的二进制文件.这些修改后的二进制文件通过之前合法的更新渠道分发,允许攻击者远程执行窃取凭证、提升权限、横向移动等恶意活动来窃取敏感信息。这一事件提醒组织,安全防御必须做好应对准备为复杂的攻击做好准备,同时确保自己代码库的弹性。”微软使用CodeQL查询来分析相关产品的源代码,以确保它没有与Solorigate/Sunburst恶意软件相关的妥协(IoC)和编码模式。微软上个月早些时候承认,SolarWinds攻击背后的黑客下载了一些源代码它的Azure、Exchange和Intune产品,但损害似乎有限。静态和动态代码分析是组织可以用来检测软件安全性的重要手段。但微软也警告说,需要对查询结果进行人工审查,因为类似的指标SolarWinds的开发过程也不是被黑客利用的唯一弱点。在上周的美国参议院听证会上,CrowdStrike首席执行官GeorgeKurtz批评微软“Windows身份验证架构中的系统性缺陷(指ActiveDirectory和AzureActiveDirectory),据路透社报道。).一旦攻击者破坏了网络,他们就可以横向移动。”根据微软新任命的GitHub首席安全官(CSO)MikeHanley的说法,CodeQL提供了“全面的工具来帮助开发人员避免安全事件和漏洞。”钥匙护栏”。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
