近日，微軟開源了用于調(diào)查SolarWinds攻擊木馬軟件(Sunburst/Solarigate)的代碼查詢工具——CodeQL(https://aka.ms/Solorigate-CodeQL-Queries)，其他企業(yè)也可以使用該工具自查相關(guān)產(chǎn)品代碼是否受到SolarWinds供應鏈攻擊惡意軟件的影響。

SolarWinds攻擊是美國遭遇的最嚴重的黑客事件之一，微軟安全團隊在博客中說：“ Solorigate攻擊是一種供應鏈攻擊，攻擊者能夠修改SolarWinds Orion產(chǎn)品中的二進制文件。這些經(jīng)過修改的二進制文件是通過以前合法的更新渠道分發(fā)的，使攻擊者能夠遠程執(zhí)行惡意活動，例如竊取憑據(jù)、提升權(quán)限和橫向移動，以竊取敏感信息。此事件提醒組織在安全防御方面不僅要為響應復雜攻擊做好準備，同時還要確保自己代碼庫的韌性。”

微軟使用CodeQL查詢來分析相關(guān)產(chǎn)品的源代碼，確保其中沒有與Solorigate/Sunburst惡意軟件相關(guān)的危害(IoC)和編碼模式。

微軟上個月早些時候承認，實施SolarWinds攻擊的黑客下載了一些Azure、Exchange和Intune產(chǎn)品的源代碼，但看似危害有限。

靜態(tài)和動態(tài)代碼分析是組織可以用來檢測軟件安全性的重要手段。但微軟同時警告說，由于在良性代碼中也有可能存在類似指標而被誤診，因此需要對查詢結(jié)果進行人工審查。

SolarWinds的開發(fā)流程也不是黑客利用的唯一弱點。據(jù)路透社報道，在上周美國參議院舉行的聽證會上，CrowdStrike首席執(zhí)行官喬治·庫茲(George Kurtz)批評微軟“Windows身份驗證體系結(jié)構(gòu)中存在系統(tǒng)缺陷(指的是Active Directory和Azure Active Directory)。一旦攻擊者入侵了網(wǎng)絡，就可以橫向移動。”

微軟新委任但GitHub首席安全官(CSO)邁克·漢利(Mike Hanley)則表示，CodeQL提供了“幫助開發(fā)人員避免安全事件和漏洞的關(guān)鍵護欄”。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文