Microsoft partage des requêtes CodeQL pour scanner le code de SolarWinds

0

Microsoft partage des requêtes CodeQL que les développeurs peuvent utiliser pour scanner le code source et détecter le code malveillant correspondant à l’attaque de la chaîne d’approvisionnement de SolarWinds.

En Décembre, il a été révélé que des pirates informatiques ont piraté SolarWinds pour modifier la plate-forme légitime SolarWinds Orion lors d’une attaque de chaîne d’approvisionnement. Cette attaque a permis aux hackers d’accéder à distance aux systèmes des clients qui utilisent la plate-forme de gestion de réseau SolarWinds Orion.

Microsoft a révélé que leurs systèmes ont été compromis par cette attaque de la chaîne d’approvisionnement et a permis aux attaquants d’accéder à des quantités limitées de code source pour Azure, Exchange et Intune.

Pour s’assurer que les pirates n’ont pas modifié leur code, Microsoft a créé des requêtes CodeQL qui ont été utilisées pour scanner le code pour détecter les implants malveillants correspondant aux indicateurs de compromis de SolarWinds.

Le 25 Février, Microsoft a partagé leurs requêtes CodeQL pour SolarWinds afin que les utilisateurs puissent scanner leur code source pour trouver de potentiels implants malveillants.

« Dans ce blog, nous partagerons notre parcours dans l’examen de nos codes, en mettant en évidence une technique spécifique : l’utilisation des requêtes CodeQL pour analyser notre code source et exclure la présence des indicateurs de compromis au niveau du code (CCI) et des modèles de codage associés à Solorigate. »

« Nous partagons les requêtes CodeQL que nous avons utilisé dans cette enquête afin que d’autres organisations puissent effectuer une analyse similaire », a annoncé Microsoft dans un nouveau billet de blog.

À l’aide de ces requêtes, les développeurs peuvent scanner leurs logiciels pour trouver des modifications malveillantes similaires à celles utilisées dans l’attaque de la chaîne d’approvisionnement de SolarWinds.

Les requêtes CodeQL détecte le code malveillant qui a impacté SolarWinds

CodeQL est un moteur d’analyse de code sémantique qui permet aux développeurs d’interroger leur code pour des données syntaxiques ou un comportement similaire à des fonctionnalités spécifiques.

L’analyse sémantique du code ne vérifie pas si le code source est syntactiquement correct, mais correspond plutôt au « sens » du code.

À l’aide de CodeQL, les développeurs peuvent créer une base de données de fonctionnalités et d’éléments syntaxiques à partir de leur base de code et l’interroger pour détecter un comportement particulier.

Les développeurs peuvent ensuite partager les requêtes CodeQL publiquement pour permettre à d’autres développeurs de scanner leur code pour trouver des fonctionnalités similaires.

Avec la publication par Microsoft des requêtes CodeQL pour SolarWinds, les développeurs peuvent scanner leur base de code source pour trouver des fonctionnalités ou des éléments de code syntaxiques qui correspondent à ceux utilisés par les infections malveillantes de l’attaque SolarWinds.

microsoft codeql solarwinds

Les requêtes CodeQL de Microsoft scannent un large éventail de comportements utilisés par les implants SolarWinds, y compris la communication de commande et de contrôle, une fonction de hachage FNV-1A modifiée, l’utilisation d’API Windows trouvées dans les fonctionnalités de porte dérobée et la fonctionnalité « bombe à retardement ».

Microsoft avertit que certaines de ces requêtes CodeQL peuvent trouver un comportement similaire dans du code bénin, il est donc essentiel d’examiner manuellement toutes les détections pour s’assurer qu’il n’y a pas de faux positifs.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.