微软开源SolarWinds恶意代码检查工具

近日，微软开源了用于调查SolarWinds攻击木马软件（Sunburst/Solarigate）的代码查询工具——CodeQL（https://aka.ms/Solorigate-CodeQL-Queries），其他企业也可以使用该工具自查相关产品代码是否受到SolarWinds供应链攻击恶意软件的影响。

SolarWinds攻击是美国遭遇的最严重的黑客事件之一，微软安全团队在博客中说：“ Solorigate攻击是一种供应链攻击，攻击者能够修改SolarWinds Orion产品中的二进制文件。这些经过修改的二进制文件是通过以前合法的更新渠道分发的，使攻击者能够远程执行恶意活动，例如窃取凭据、提升权限和横向移动，以窃取敏感信息。此事件提醒组织在安全防御方面不仅要为响应复杂攻击做好准备，同时还要确保自己代码库的韧性。”

微软使用CodeQL查询来分析相关产品的源代码，确保其中没有与Solorigate/Sunburst恶意软件相关的危害（IoC）和编码模式。

微软上个月早些时候承认，实施SolarWinds攻击的黑客下载了一些Azure、Exchange和Intune产品的源代码，但看似危害有限。

静态和动态代码分析是组织可以用来检测软件安全性的重要手段。但微软同时警告说，由于在良性代码中也有可能存在类似指标而被误诊，因此需要对查询结果进行人工审查。

SolarWinds的开发流程也不是黑客利用的唯一弱点。据路透社报道，在上周美国参议院举行的听证会上，CrowdStrike首席执行官乔治·库兹（George Kurtz）批评微软“Windows身份验证体系结构中存在系统缺陷（指的是Active Directory和Azure Active Directory）。一旦攻击者入侵了网络，就可以横向移动。”

微软新委任但GitHub首席安全官（CSO）迈克·汉利（Mike Hanley）则表示，CodeQL提供了“帮助开发人员避免安全事件和漏洞的关键护栏”。