Microsoft comparte una herramienta para detectar las brechas de “Solorigate”

Microsoft est谩 publicando sus queries CodeQL para rastrear los posibles indicadores de vulnerabilidad en la profunda brecha de SolarWinds.

Microsoft est谩 ofreciendo la herramienta que utiliz贸 para investigar la brecha, en un esfuerzo por ayudar a otras organizaciones a mitigar el riesgo de la campa帽a de ciberespionaje en cascada resultante de una vulnerabilidad en el contratista federal estadounidense SolarWinds. Microsoft pretende ayudar a las empresas a identificar los indicadores de compromiso a nivel de c贸digo (IoC), seg煤n ha declarado el equipo de seguridad de Microsoft en su blog.

Al indagar en su propio c贸digo, las organizaciones pueden evaluar si se han visto comprometidas por el ataque, en el que presuntos hackers rusos introdujeron software malicioso en la actualizaci贸n de un producto de SolarWinds, dijo Microsoft. La compa帽铆a ha descrito la campa帽a como “Solorigate”.

“Un aspecto clave del ataque Solorigate es el compromiso de la cadena de suministro que permiti贸 al atacante modificar el c贸digo binario del producto Orion de SolarWinds”, se帽ala el blog. “Estos binarios modificados se distribuyeron a trav茅s de canales de actualizaci贸n previamente leg铆timos y permitieron al atacante realizar remotamente actividades maliciosas, como el robo de credenciales, la escalada de privilegios y el movimiento lateral, para robar informaci贸n sensible”. El incidente ha recordado a las organizaciones que deben reflexionar no s贸lo sobre su preparaci贸n para responder a ataques sofisticados, sino tambi茅n sobre la resistencia de sus propias bases de c贸digo.”

El equipo de seguridad de Microsoft tambi茅n ha detallado en el blog dos enfoques diferentes para analizar los IoC a nivel de c贸digo relacionados con la brecha de SolarWinds utilizando CodeQL, una herramienta para desarrolladores que puede utilizarse para automatizar el an谩lisis de seguridad.

La publicaci贸n de las consultas CodeQL es el 煤ltimo indicio de que el esfuerzo del sector privado seguir谩 siendo una parte crucial del esfuerzo de reparaci贸n y recuperaci贸n de la naci贸n tras la brecha de SolarWinds. Nueve agencias federales y unas 100 empresas se han visto afectadas, seg煤n inform贸 previamente la Casa Blanca.

Desde entonces, varias empresas de seguridad han publicado herramientas para ayudar a las organizaciones potencialmente afectadas a evaluar los da帽os. FireEye, la empresa de seguridad que descubri贸 inicialmente la brecha, fue la primera en desarrollar y publicar contramedidas que podr铆an ser utilizadas por otras organizaciones para tratar de frustrar cualquier consecuencia potencial de la brecha de SolarWinds. En diciembre, Microsoft, FireEye y el registrador de dominios GoDaddy lanzaron un “killswitch” para dificultar que los piratas inform谩ticos continuaran con su campa帽a.

La investigaci贸n de la presunta operaci贸n de espionaje, que seg煤n la comunidad de inteligencia estadounidense fue “probablemente” llevada a cabo por actores rusos, llevar谩 alg煤n tiempo -posiblemente varios meses-, advirti贸 Anne Neuberger, asesora adjunta de seguridad nacional de la administraci贸n Biden para tecnolog铆as cibern茅ticas y emergentes en el NSC, en una rueda de prensa en la Casa Blanca a principios de este mes.




Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.