Overslaan en naar de inhoud gaan

Microsoft maakt hulpmiddel voor onderzoek SolarWinds-hack open source

Microsoft heeft de CodeQL queries die het gebruikt heeft om de impact van de SolarWinds-aanval (Solorigate) binnen zijn eigen bedrijf te onderzoeken open source gemaakt. Daardoor kunnen andere organisaties de queries gebruiken om vergelijkbare analyses te doen.
vensters, Microsoft
© Pixabay
Pixabay

De hackers achter de SolarWinds-aanval wisten malware toe te voegen aan de beheersoftware Orion van SolarWinds. Zeker 18.000 organisaties gebruikten die software toen de aanval in december ontdekt werd. Microsoft was één van de slachtoffers, maar samen met beveiligingsbedrijf FireEye ook degene die de aanval ontdekte en onderzocht.

Microsoft vertelt nu in een blogbericht dat een belangrijk onderdeel van de zogeheten Solorigate-aanval het compromitteren van de leveringsketen is. Daardoor kan de aanvaller namelijk binaries in Orion aanpassen. "Deze gemodificeerde binaries werden via voorheen legitieme updatekanalen verspreid en lieten de aanvallers op afstand malafide activiteiten uitvoeren", aldus het bedrijf. 

Queries open source gemaakt

Om te onderzoeken hoe groot de impact van de aanval op de eigen broncode was, zette Microsoft CodeQL queries in om de broncode te analyseren. CodeQL is een tool waarmee kwetsbaarheden in een codebase opgespoord kunnen worden. Microsoft zette specifieke queries in binnen de tool om indicatoren dat de code gecompromitteerd is op te sporen. Daarnaast zocht het bedrijf via de CodeQL queries in zijn broncode naar programmeerpatronen die geassocieerd zijn met Solorigate. 

Microsoft heeft die queries nu op GitHub gedeeld, zodat andere organisaties ze kunnen gebruiken voor hun eigen onderzoek. Microsoft waarschuwt wel dat alle bevindingen die uit de queries komen goed bekeken moeten worden. Indicatoren van gecompromitteerde code kunnen namelijk "ook toevallig voorkomen" in code waar niets mee aan de hand is. Daarnaast kan niet gegarandeerd worden dat dezelfde code of programmeerstijl ingezet is bij andere acties. "De queries detecteren mogelijk dus geen andere implementaties die significant afwijken van de tactieken die we zagen bij Solorigate", aldus Microsoft. 

Gestolen broncode

Eerder deze maand werd bekend dat hackers via de SolarWinds-route broncode van drie Microsoft-diensten konden stelen. Het gaat om broncodebestanden van Azure, Intune en Exchange. De aanvallers hebben echter niet alle repositories van een enkele dienst of product bekeken. 

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in