Un actor de amenazas compromete un certificado de Mimecast
El proveedor de software de gestión de correo electrónico, Mimecast, ha informado de que uno de sus certificados emitidos, destinado a autenticar sus productos Mimecast Sync and Recover, Continuity Monitor e IEP (Internal Email Protect) para conectarse a Microsoft 365 Exchange Web Services, ha sido comprometido por un actor de amenazas sofisticado.
Se confirma que sólo el 10% de sus clientes utilizan este tipo de conexión y de ellos, menos de 10 han sido de interés para el ciberdelincuente.
Como contramedidas, Mimecast ha pedido a sus clientes que eliminen la conexión dentro de su inquilino M360 y la reestablezcan con un certificado nuevo.
Actualmente, se continúa investigando el incidente de la mano de Microsoft y la policía.
[Actualización 16/03/2021]
Tras concluir la investigación forense, de la mano de la empresa Mandiant, Mimecast ha informado de que el autor del incidente de seguridad es el mismo que se identifica con los ciberataques a SolarWinds.
El vector de entrada a la red TI fue la cadena de suministro del software SolarWinds Orion, utilizado por Mimecast, mediante el malware de tipo backdoor SUNBURST.
El ciberdelincuente, aprovechando el entorno de Windows, tuvo acceso a subconjuntos de direcciones de correo electrónico, información de contacto y credenciales cifradas (hash y salt) de cuentas de clientes alojados en los Estados Unidos y Reino Unido con las que se establecen conexiones desde los inquilinos de Mimecast a servicios locales y cloud (LDAP, Azure Active Directory, Exchange Web Services, etc.). También descargó un número limitado de repositorios de código fuente.
No se tienen evidencias de que el ciberdelincuente haya accedido al correo electrónico o contenido de archivos que están a nombre de clientes y tampoco de que el código fuente haya sido modificado o tenga algún impacto en los productos de la empresa.
Actualmente, todos los servidores comprometidos, que eran periféricos del núcleo de la infraestructura TI de Mimecast, han sido reemplazados, las credenciales hash y salt afectadas han sido restablecidas y se continúa analizando y monitorizando el código fuente para prevenir un uso indebido.
Referencias:
- 12/01/2021 mimecast.com Important update from mimecast
- 12/01/2021 sec.gov Public statement
- 12/01/2021 bleepingcomputer.com Mimecast discloses Microsoft 365 SSL certificate compromise
- 12/01/2021 zdnet.com Mimecast says hackers abused one of its certificates to access Microsoft accounts
- 12/01/2021 threatpost.com A sophisticated threat actor has hijacked email security connections to spy on targets
- 13/01/2021 blogs.masterhacks.net Hackers roban certificado de Mimecast para conectarse de forma segura con Microsoft 365
- 16/03/2021 mimecast.com [Actualización 16/03/2021] Incident Report