Microsoft maakt CodeQL-queries open source om SolarWinds-hacks op te sporen

Microsoft heeft een methodiek op internet gezet waarmee bedrijven onderzoek kunnen doen naar de SolarWinds-kwetsbaarheid. Het bedrijf maakt een tool die CodeQL-queries doet, inclusief die queries zelf, open source beschikbaar.

Microsoft zet de queries online naar aanleiding van de SolarWinds-supplychainaanval die in december plaatsvond op bedrijven en Amerikaanse overheidsinstellingen. Microsoft was zelf een van de bedrijven die werden getroffen door een besmette binary in netwerkmonitoringtool Orion. Het bedrijf heeft lange tijd onderzoek gedaan naar de impact van het lek. Nu zegt Microsoft ook andere bedrijven te willen helpen met zelf onderzoek doen binnen hun eigen netwerken.

Voor het onderzoek gebruikte Microsoft CodeQL-queries om de eigen broncode te kunnen scannen op indicators-of-compromise. CodeQL-queries zijn zoekopdrachten die kunnen worden losgelaten op GitHub-repositories om structuur- en leesbaarheidsinconsistenties, maar ook beveiligingsproblemen op te sporen. Daarvoor zijn specifieke .ql-zoekopdrachten nodig. Microsoft heeft nu de queries op GitHub gezet die het zelf gebruikte om besmette Orion-software op te sporen.

Andere bedrijven kunnen die queries gebruiken om te zien of ze overeenkomsten met Solorigate, zoals het lek heet, in hun eigen code terugzien. Het gaat dan bijvoorbeeld om overeenkomsten in syntaxis, maar ook in functionaliteit van code snippets. Microsoft waarschuwt dat de CodeQL-queries altijd onderdeel moeten zijn van een breder onderzoek. "Er is geen garantie dat een aanvaller dezelfde functionaliteit of programmeerstijl bij andere operaties heeft gebruikt", schrijft het bedrijf.