Hackeri ukradli certifikát Mimecast používaný na bezpečné pripojenie k Microsoft 365

Mimecast v utorok uviedol, že „sofistikovaný aktér hrozieb“ kompromitoval digitálny certifikát, ktorý poskytol určitým zákazníkom na bezpečné pripojenie svojich produktov k Microsoft 365 (M365) Exchange.

K objavu došlo po tom, čo spoločnosť Microsoft oznámila narušenie, uviedla spoločnosť so sídlom v Londýne vo varovaní zverejnenom na svojej webovej stránke a dodala, že sa obrátila na dotknuté organizácie, aby problém napravili.

Spoločnosť nešpecifikovala, aký typ certifikátu bol kompromitovaný, ale Mimecast ponúka sedem rôznych digitálnych certifikátov na základe geografickej polohy, ktoré je potrebné nahrať do M365, aby sa vytvorilo pripojenie k serveru v Mimecast.

„Toto pripojenie využíva približne 10 percent našich zákazníkov,“ uviedla spoločnosť. “Z tých, ktorí áno, existujú náznaky, že cieľom bol nízky jednociferný počet nájomníkov M365 našich zákazníkov.”

Mimecast je cloudová služba správy e-mailov pre Microsoft Exchange a Microsoft Office 365, ktorá používateľom ponúka zabezpečenie e-mailu a platformu kontinuity, ktorá ich chráni pred spamom, malvérom, phishingom a cielenými útokmi.

Kompromitovaný certifikát sa používa na overenie a overenie produktov Mimecast Sync and Recover, Continuity Monitor a Internal Email Protect (IEP) pre webové služby M365 Exchange.

Dôsledkom takéhoto narušenia by mohol byť útok typu man-in-the-middle (MitM), kedy by protivník mohol potenciálne prevziať spojenie a zachytiť e-mailovú komunikáciu a dokonca ukradnúť citlivé informácie.

Ako preventívne opatrenie, aby sa zabránilo budúcemu zneužitiu, spoločnosť uviedla, že požiadala svojich zákazníkov, aby s okamžitou platnosťou vymazali existujúce pripojenie v rámci svojho nájomcu M365 a obnovili nové pripojenie založené na certifikáte pomocou nového certifikátu, ktorý sprístupnila.

„Uskutočnenie tejto akcie neovplyvní tok prichádzajúcej alebo odchádzajúcej pošty ani súvisiace bezpečnostné skenovanie,“ uviedol Mimecast vo svojom odporúčaní.

Vyšetrovanie incidentu prebieha, pričom spoločnosť poznamenáva, že bude podľa potreby úzko spolupracovať so spoločnosťou Microsoft a orgánmi činnými v trestnom konaní.

Tento vývoj prichádza v čase, keď agentúra Reuters s odvolaním sa na zdroje uviedla, že hackeri, ktorí kompromitovali Mimecast, boli tou istou skupinou, ktorá napadla amerického výrobcu softvéru SolarWinds a množstvo citlivých amerických vládnych agentúr.

“Naše vyšetrovanie prebieha a momentálne nemáme nič, čo by sme mohli zdieľať,” povedal hovorca spoločnosti pre The Hacker News.

AKTUALIZÁCIA (26. januára 2021): Porušenie mimecastu prepojené s Hackom SolarWinds

Mimecast v utorok formálne potvrdil, že útočníci stojaci za hackom SolarWinds boli zodpovední za kompromitáciu digitálneho certifikátu, ktorý firma poskytla na zabezpečenie pripojení k Microsoft 365 (M365) Exchange.

“Naše vyšetrovanie teraz potvrdilo, že tento incident súvisí s kompromisom softvéru SolarWinds Orion a bol spáchaný tým istým sofistikovaným aktérom hrozby,” uviedla spoločnosť v aktualizácii.

„Aj keď si nie sme vedomí toho, že by niektoré zo zašifrovaných prihlasovacích údajov boli dešifrované alebo zneužité, odporúčame zákazníkom v Spojených štátoch a Spojenom kráľovstve, aby podnikli preventívne kroky na resetovanie svojich prihlasovacích údajov.“

Vyšetrovanie odhalilo, že aktér hrozby pristupoval k určitým zašifrovaným prihlasovacím údajom k účtu služby vytvoreným zákazníkmi v USA a Spojenom kráľovstve a potenciálne ich prenikol.

Prihlasovacie údaje sa používajú na vytvorenie pripojení od nájomníkov Mimecast k lokálnym a cloudovým službám, ako sú LDAP, Azure Active Directory, Exchange Web Services, žurnálovanie POP3 a trasy doručenia overené SMTP.

“Je jasné, že tento incident je súčasťou vysoko sofistikovaného rozsiahleho útoku a je zameraný na špecifické typy informácií a organizácií.”

Okrem Mimecast, Palo Alto Networks a Fidelis Cybersecurity tiež potvrdili trojanizované verzie softvéru SolarWinds Orion vo svojich prostrediach, čím sa počet predajcov kybernetickej bezpečnosti, na ktorých sa hackeri zamerali, zvýšil na sedem.