Este posibil ca Mimecastul să fi fost și victima campaniei de hack-uri SolarWinds
Mimecast ar putea fi, de asemenea, o potențială victimă a recentului SolarWinds hack deoarece compania a dezvăluit că unul dintre certificatele sale utilizate pentru a-și autentifica produsele la Microsoft 365 Exchange Web Services a fost compromis de un actor sofisticat de amenințări.
Compania de securitate a e-mailurilor și datelor a declarat că certificatul compromis este utilizat pentru autentificarea produselor sale Sincronizare și recuperare, monitorizare continuitate și protecție internă prin e-mail (IEP). Cu toate acestea, nu Mimecast a descoperit certificatul compromis, ci mai degrabă Microsoft.
Într-o postare pe blog informându-și utilizatorii despre certificatul compromis, Mimecast a explicat că 10% dintre clienții săi sunt afectați, spunând:
„Aproximativ 10% dintre clienții noștri folosesc această conexiune. Dintre aceia care fac acest lucru, există indicii că un număr redus dintr-o singură cifră a chiriașilor M365 ai clienților noștri a fost vizat. Am contactat deja acești clienți pentru a remedia problema. Securitatea clienților noștri este întotdeauna prioritatea noastră principală. Am angajat un terț expert criminalistic pentru a ne ajuta în anchetă și vom lucra îndeaproape cu Microsoft și cu organele de drept, după caz. ”
Certificat compromis
Mimecast recomandă celor 10 procente din baza sa de clienți, utilizând certificatul compromis, să șteargă imediat conexiunea de ieșire din cadrul acestora Microsoft 365 chiriaş. Acești clienți ar trebui apoi să restabilească o nouă conexiune folosind un nou certificat pe care compania l-a pus la dispoziție.
Într-o afirmație la CRN, un purtător de cuvânt de la Microsoft a spus că va bloca certificatul compromis, spunând:
„Putem confirma că un certificat furnizat de Mimecast a fost compromis de un actor sofisticat. Acest certificat le permite clienților să conecteze anumite aplicații Mimecast la chiriașul lor M365. La cererea Mimecastului, blocăm acest certificat luni, 18 ianuarie 2021 ".
Motivul pentru care Mimecast ar fi putut fi atacat de același actor de amenințare din spatele hack-ului SolarWinds se datorează faptului că acești hackeri adaugă adesea jetoane de autentificare și acreditări conturilor de domeniu Microsoft Active Directory pentru a menține persistența într-o rețea și pentru a obține escaladarea privilegiilor. . Conform CISA, aceste jetoane permit accesul atât la resursele locale, cât și la cele găzduite.
În prezent, Mimecast investighează problema în continuare și vom afla probabil dacă există o legătură cu hack-ul SolarWinds odată ce ancheta companiei este încheiată.
Prin intermediul CRN