Microsoft publiceert tool om te checken op SolarWinds-kwetsbaarheden

Abonneer je gratis op Techzine!

Microsoft heeft de CodeQL-query’s van de SolarWinds-aanval open source gemaakt. Ontwikkelaars kunnen de query’s gebruiken om te controleren of hun software is aangetast door een aanval als degene waar SolarWinds door geraakt werd.

In een blogpost op zijn website beschrijft Microsoft hoe CodeQL werkt. De software is bedoeld om code van een ontwikkelaar te analyseren om zogenaamde indicators of compromise (IoC) te detecteren. Dit doet de software door te controleren op stukjes code die sterk lijken op de code die is toegepast bij de aanval op SolarWinds. Microsoft benadrukt echter dat het geen garantie kan bieden dat het alle malafide code kan opsporen. De aanvaller kan immers een andere programmeerstijl hebben gebruikt.

CodeQL

CodeQL werkt in twee stappen. Bij het compileren van de ingevoerde broncode maakt de software een database met een model van de te compileren code. Zodra die database is aangemaakt kunnen er net als bij andere databases query’s op worden uitgevoerd. Dit moet bijdragen aan het beter doorzoekbaar maken van de code. Deze query’s kunnen worden vergeleken met de SolarWinds-query’s die Microsoft heeft gedeeld op de GitHub-pagina van CodeQL. De software zelf is ook op GitHub te vinden.

Enorme hack

Begin december maakte FireEye bekend dat het bedrijf slachtoffer was geworden van een hack. Het bedrijf vertelde destijds dat de aanval van uitzonderlijk hoog niveau is en de hackers waarschijnlijk op zoek waren naar staatsgeheimen. Enkele dagen later bleek echter dat niet alleen FireEye, maar duizenden bedrijven door de aanval geraakt waren. Ook overheidsinstanties waren geraakt.

Na uitgebreid onderzoek bleek dat de aanval al vele maanden gaande was en vele grote bedrijven geraakt waren. Namen die voorbij kwamen, zijn Microsoft, Cisco, Intel, Nvidia, VMware, Deloitte, Malwarebytes en verschillende Amerikaanse overheidsinstanties. De NSA en FBI zijn er sterk van overtuigd dat Russische hackers achter de aanvallen zitten.

Backdoor in IT-beheersoftware

De hackers hebben de aanval uitgevoerd door eerst in te breken op de systemen van IT-bedrijf SolarWinds. Daar wisten de aanvallers eigen code toe te voegen aan de Orion-software die SolarWinds ontwikkelt. Deze software wordt op grote schaal gebruikt voor IT-beheer en staat daarom op veel bedrijfsnetwerken geïnstalleerd met veel machtigingen. De malafide code opende een backdoor die de aanvallers konden gebruiken om geraakte computers en netwerken verder te onderzoeken. Dit verdere onderzoek moest handmatig gebeuren, dus bij lang niet alle bedrijven waarbij Orion geïnstalleerd is, zijn daadwerkelijk gegevens gestolen. SolarWinds heeft na de ontdekking van de hack snel een update uitgebracht die de malafide code uit de software verwijdert.

‘Ga uit van een aanval’

Microsoft benadrukt dat het bedrijf zelf altijd een beleid heeft gehad om alle definitieve versies van software te controleren op malafide aanpassingen, voordat het naar servers en klanten uitgerold wordt. Het bedrijf houdt bovendien een houding aan dat het ten alle tijden ervan uit gaat dat iemand bij het bedrijf heeft weten in te breken. Daarbij werkt het bedrijf op de aanname dat hoe slim het bedrijf ook zijn beveiliging op orde heeft, een mogelijke aanvaller net zo slim en handig is.

Tip: ‘Meer dan 1000 mensen zaten achter SolarWinds-hack’