近日，微軟開源了用于調查SolarWinds攻擊木馬軟件(Sunburst/Solarigate)的代碼查詢工具——CodeQL(https://aka.ms/Solorigate-CodeQL-Queries)，其他企業也可以使用該工具自查相關產品代碼是否受到SolarWinds供應鏈攻擊惡意軟件的影響。

SolarWinds攻擊是美國遭遇的最嚴重的黑客事件之一，微軟安全團隊在博客中說：“ Solorigate攻擊是一種供應鏈攻擊，攻擊者能夠修改SolarWinds Orion產品中的二進制文件。這些經過修改的二進制文件是通過以前合法的更新渠道分發的，使攻擊者能夠遠程執行惡意活動，例如竊取憑據、提升權限和橫向移動，以竊取敏感信息。此事件提醒組織在安全防御方面不僅要為響應復雜攻擊做好準備，同時還要確保自己代碼庫的韌性。”

微軟使用CodeQL查詢來分析相關產品的源代碼，確保其中沒有與Solorigate/Sunburst惡意軟件相關的危害(IoC)和編碼模式。

微軟上個月早些時候承認，實施SolarWinds攻擊的黑客下載了一些Azure、Exchange和Intune產品的源代碼，但看似危害有限。

靜態和動態代碼分析是組織可以用來檢測軟件安全性的重要手段。但微軟同時警告說，由于在良性代碼中也有可能存在類似指標而被誤診，因此需要對查詢結果進行人工審查。

SolarWinds的開發流程也不是黑客利用的唯一弱點。據路透社報道，在上周美國參議院舉行的聽證會上，CrowdStrike首席執行官喬治·庫茲(George Kurtz)批評微軟“Windows身份驗證體系結構中存在系統缺陷(指的是Active Directory和Azure Active Directory)。一旦攻擊者入侵了網絡，就可以橫向移動。”

微軟新委任但GitHub首席安全官(CSO)邁克·漢利(Mike Hanley)則表示，CodeQL提供了“幫助開發人員避免安全事件和漏洞的關鍵護欄”。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文