Microsoft macht CodeQL zu Open Source

Microsoft stellt die CodeQL-Abfragen auf Github der Allgemeinheit zur Verfügung, die es zur Untersuchung der Auswirkungen von Sunburst- oder Solorigate-Malware verwendet hat. Andere Unternehmen können die Abfragen verwenden, um eine ähnliche Analyse durchzuführen.

CodeQL ist eine leistungsstarke semantische Code-Analyse-Engine, die jetzt Teil von GitHub ist. Anders als viele Analyselösungen arbeitet es in zwei verschiedenen Stufen. Zunächst baut CodeQL als Teil der Kompilierung von Quellcode in Binärdateien eine Datenbank auf, die das Modell des kompilierten Codes erfasst. Für interpretierte Sprachen parst es den Quellcode und baut sein eigenes abstraktes Syntaxbaummodell auf, da es keinen Compiler gibt. Zweitens kann diese Datenbank, sobald sie aufgebaut ist, wie jede andere Datenbank wiederholt abgefragt werden. Die Sprache CodeQL wurde speziell dafür entwickelt, die einfache Auswahl komplexer Codebedingungen aus der Datenbank zu ermöglichen.

Microsoft hat die Abfragen als Teil seiner Reaktion auf den Angriff auf die Netzwerküberwachungssoftware SolarWinds Orion veröffentlicht, die zur gezielten Kompromittierung von neun US-Bundesbehörden und 100 Firmen des privaten Sektors verwendet wurde, von denen viele aus dem Technologiesektor stammten.

„Ein Schlüsselaspekt des Solorigate-Angriffs ist die Kompromittierung der Lieferkette, die es dem Angreifer ermöglichte, Binärdateien in SolarWinds Orion zu modifizieren“, so das Microsoft-Sicherheitsteam in einem Blogpost.

!Diese modifizierten Binärdateien wurden über zuvor legitime Update-Kanäle verteilt und ermöglichten es dem Angreifer, aus der Ferne bösartige Aktivitäten durchzuführen, wie z. B. Diebstahl von Anmeldeinformationen, Privilegienerweiterung und laterale Bewegungen, um sensible Informationen zu stehlen. Der Vorfall hat Unternehmen daran erinnert, nicht nur über ihre Bereitschaft, auf ausgeklügelte Angriffe zu reagieren, nachzudenken, sondern auch über die Widerstandsfähigkeit ihrer eigenen Codebases.“

Microsoft nutzte CodeQL-Abfragen, um seinen Quellcode zu analysieren und zu bestätigen, dass sich im Quellcode keine Indikatoren für eine Kompromittierung (IoCs) und Codierungsmuster befanden, die mit der Malware Solorigate alias Sunburst in Verbindung gebracht werden.

Microsoft hat Anfang des Monats zugegeben, dass die Hacker von SolarWinds in einem scheinbar begrenzten Angriff einige Azure-, Exchange- und Intune-Quellcodes heruntergeladen haben. Auch FireEye wurden durch das verdorbene Orion-Update kompromittiert.

Statische und dynamische Code-Analysen sind Teil der Verteidigungsmaßnahmen, die Unternehmen einsetzen können, um einen softwarebasierten Angriff zu erkennen.

Microsoft warnt, dass die Ergebnisse der Abfragen überprüft werden müssen, da Indikatoren „zufällig in gutartigem Code auftreten können.“

Weiter heißt es: „Außerdem gibt es keine Garantie, dass der böswillige Akteur bei anderen Operationen auf die gleiche Funktionalität oder den gleichen Codierungsstil beschränkt ist, so dass diese Abfragen möglicherweise andere Implantate nicht erkennen, die erheblich von der Taktik abweichen, die im Solorigate-Implantat zu sehen ist.“

Das Unternehmen erklärte seine Sicherheitsphilosophie: „Microsoft verfügt seit langem über Integritätskontrollen, um sicherzustellen, dass die endgültigen kompilierten Binärdateien, die auf unsere Server und an unsere Kunden verteilt werden, zu keinem Zeitpunkt des Entwicklungs- und Veröffentlichungszyklus böswillig verändert wurden. Zum Beispiel überprüfen wir, dass die vom Compiler generierten Hashes der Quelldateien mit den ursprünglichen Quelldateien übereinstimmen. Dennoch leben wir bei Microsoft nach der „assume breach“-Philosophie, die uns sagt, dass unabhängig davon, wie sorgfältig und weitreichend unsere Sicherheitspraktiken sind, potenzielle Angreifer genauso clever sein können und über die gleichen Ressourcen verfügen.“

SolarWinds Build-Prozesse waren nicht die einzige Schwachstelle, die die Angreifer ausnutzten. Bei einer Anhörung im US-Senat in dieser Woche kritisierte CrowdStrike-CEO George Kurtz Microsoft für „systemische Schwächen in der Windows-Authentifizierungsarchitektur“ und bezog sich dabei auf Active Directory und Azure Active Directory, berichtet Reuters. Diese erlaubten es den Angreifern, sich lateral zu bewegen, sobald sie ein Netzwerk kompromittiert haben. CrowdStrike war eine von mehreren US-Cybersecurity-Firmen, die bei diesem Angriff auf die Lieferkette kompromittiert wurden.

Mike Hanley, der neu ernannte Chief Security Officer (CSO) von GitHub, das sich im Besitz von Microsoft befindet, sagte, CodeQL biete „wichtige Elemente, die Entwicklern helfen, Vorfälle und Schwachstellen zu vermeiden“.