Microsoft: SolarWinds korsanlarının kodlarını bulmak için kullandığımız bu aracı açık kaynaklı hale getirdik

Microsoft açık kaynak sağlıyor CodeQL sorguları SolarWinds Orion yazılım güncellemelerine yerleştirilen Sunburst veya Solarigate kötü amaçlı yazılımlarının etkisini araştırmak için kullanıldı. Diğer kuruluşlar da benzer bir analiz gerçekleştirmek için sorguları kullanabilir.

Microsoft, dokuz ABD federal kurumunu seçici olarak tehlikeye atmak için kullanılan SolarWinds Orion ağ izleme yazılımına yapılan saldırıya yanıtın bir parçası olarak sorguları yayınladı. ve 100 özel sektör firmasıçoğu teknoloji sektöründendi.

Şüpheli Rus hükümeti destekli bilgisayar korsanları

tedarik zinciri saldırısını gerçekleştirmek için 2020'nin başlarında SolarWinds'in yapı sistemini tehlikeye attı Microsoft ve FireEye tarafından keşfedilen bir başarı Microsoft'un en az 1.000 mühendis aldığı tahmin ediliyor.

GÖRMEK: Windows 10 Başlat menüsü hack'leri (TechRepublic Premium)

"Solorigate saldırısının önemli bir yönü, saldırganın SolarWinds'in Orion ürünündeki ikili dosyaları değiştirmesine olanak tanıyan tedarik zinciri ihlalidir." Microsoft güvenlik ekibi bir blog yazısında şunları söyledi:.

"Bu değiştirilmiş ikili dosyalar daha önce yasal olan güncelleme kanalları aracılığıyla dağıtıldı ve saldırganın uzaktan hassas bilgileri çalmak için kimlik bilgileri hırsızlığı, ayrıcalık yükseltme ve yatay hareket gibi kötü niyetli faaliyetler gerçekleştirmek bilgi. Olay, kuruluşlara yalnızca karmaşık saldırılara yanıt vermeye hazır olup olmadıklarını değil, aynı zamanda kendi kod tabanlarının dayanıklılığını da düşünmeleri gerektiğini hatırlattı."

Microsoft, kaynak kodunu analiz etmek ve herhangi bir gösterge olmadığını doğrulamak için CodeQL sorgularını kullandı. kaynağında Solorigate diğer adıyla Sunburst kötü amaçlı yazılımıyla ilişkili güvenlik ihlalleri (IoC'ler) ve kodlama kalıpları kod.

Microsoft bu ayın başlarında SolarWinds korsanlarını itiraf etti bazı Azure, Exchange ve Intune kaynak kodlarını indirdim sınırlı bir saldırı gibi görünen bir olayda. O ve FireEye, kusurlu Orion güncellemesi nedeniyle tehlikeye girdi.

Statik ve dinamik kod analizi, kuruluşların yazılım tabanlı bir saldırıyı tespit etmek için kullanabileceği savunma hattının bir parçasıdır.

Microsoft, göstergelerin "tesadüfi olarak iyi huylu kodlarda ortaya çıkabilmesi" nedeniyle sorgulardan elde edilen bulguların gözden geçirilmesi gerektiği konusunda uyarıyor.

Şunları ekledi: "Ayrıca, kötü niyetli aktörün aynı işlevsellik veya kodlama stiliyle sınırlı olduğunun garantisi yoktur. diğer operasyonlar nedeniyle bu sorgular Solorigate'te görülen taktiklerden önemli ölçüde sapan diğer implantları tespit edemeyebilir. implante edin."

GÖRMEK: Windows 10: Microsoft, dokunmatik klavyede daha fazla ince ayar yapıyor

Şirket ayrıca güvenlik felsefesinin bir kısmını da paylaştı.

"Microsoft'un, son derlenmiş ikili dosyaların sunucularımıza dağıtıldığını doğrulamak için uzun süredir bütünlük kontrolleri bulunuyor. sunucularımıza ve müşterilerimize, geliştirme ve sürüm döngüsünün hiçbir noktasında kötü niyetli olarak değiştirilmemiştir. Örneğin, derleyici tarafından oluşturulan kaynak dosya karmalarının orijinal kaynak dosyalarla eşleştiğini doğrularız. Yine de Microsoft'ta "ihlali varsayma" felsefesiyle yaşıyoruz; bu felsefe bize nasıl olursa olsun şunu söylüyor: Güvenlik uygulamalarımız özenli ve kapsamlı olduğundan, potansiyel düşmanlar da aynı derecede akıllı ve kapsamlı olabilir. Kaynaklı."

Saldırganların istismar ettiği tek zayıf nokta SolarWinds oluşturma süreçleri değildi. Bu hafta ABD Senatosu duruşmasında CrowdStrike CEO'su George Kurtz, Microsoft'u "sistematik" olmakla eleştirdi Windows kimlik doğrulama mimarisindeki zayıflıklar", Active Directory ve Azure Active'e atıfta bulunur Dizin, Reuters bildirdi. Bunlar, saldırganların ağdan ödün verdikten sonra yanlamasına hareket etmelerine olanak tanıdı. CrowdStrike saldırı sırasında hedef alındı ​​ancak Aralık ayında bunun "hiçbir etki yaşamadı".

Microsoft'un sahibi olduğu GitHub'un yeni atanan güvenlik şefi (CSO) Mike Hanley, CodeQL'in sağladığı söz konusu, "geliştiricilerin kazalardan ve nakliye açıklarından kaçınmasına yardımcı olan önemli korkuluklar".