Microsoft maakt hulpmiddel voor onderzoek SolarWinds-hack open source

De hackers achter de SolarWinds-aanval wisten malware toe te voegen aan de beheersoftware Orion van SolarWinds. Zeker 18.000 organisaties gebruikten die software toen de aanval in december ontdekt werd. Microsoft was één van de slachtoffers, maar samen met beveiligingsbedrijf FireEye ook degene die de aanval ontdekte en onderzocht.

Microsoft vertelt nu in een blogbericht dat een belangrijk onderdeel van de zogeheten Solorigate-aanval het compromitteren van de leveringsketen is. Daardoor kan de aanvaller namelijk binaries in Orion aanpassen. "Deze gemodificeerde binaries werden via voorheen legitieme updatekanalen verspreid en lieten de aanvallers op afstand malafide activiteiten uitvoeren", aldus het bedrijf. 

Queries open source gemaakt

Om te onderzoeken hoe groot de impact van de aanval op de eigen broncode was, zette Microsoft CodeQL queries in om de broncode te analyseren. CodeQL is een tool waarmee kwetsbaarheden in een codebase opgespoord kunnen worden. Microsoft zette specifieke queries in binnen de tool om indicatoren dat de code gecompromitteerd is op te sporen. Daarnaast zocht het bedrijf via de CodeQL queries in zijn broncode naar programmeerpatronen die geassocieerd zijn met Solorigate. 

Microsoft heeft die queries nu op GitHub gedeeld, zodat andere organisaties ze kunnen gebruiken voor hun eigen onderzoek. Microsoft waarschuwt wel dat alle bevindingen die uit de queries komen goed bekeken moeten worden. Indicatoren van gecompromitteerde code kunnen namelijk "ook toevallig voorkomen" in code waar niets mee aan de hand is. Daarnaast kan niet gegarandeerd worden dat dezelfde code of programmeerstijl ingezet is bij andere acties. "De queries detecteren mogelijk dus geen andere implementaties die significant afwijken van de tactieken die we zagen bij Solorigate", aldus Microsoft. 

Gestolen broncode

Eerder deze maand werd bekend dat hackers via de SolarWinds-route broncode van drie Microsoft-diensten konden stelen. Het gaat om broncodebestanden van Azure, Intune en Exchange. De aanvallers hebben echter niet alle repositories van een enkele dienst of product bekeken.