Mimecast dijo el martes que «un actor de amenazas sofisticado» había comprometido un certificado digital que proporcionó a ciertos clientes para conectar de forma segura sus productos a Microsoft 365 (M365) Exchange.
El descubrimiento se realizó después de que Microsoft notificara la violación, dijo la compañía con sede en Londres en una alerta publicada en su sitio web, y agregó que se comunicó con las organizaciones afectadas para remediar el problema.
La empresa no dio más detalles sobre qué tipo de certificado se vio comprometido, pero Mimecast ofrece siete certificados digitales diferentes según la ubicación geográfica que se debe cargar en M365 para crear una conexión de servidor en Mimecast.
«Aproximadamente el 10 por ciento de nuestros clientes utilizan esta conexión», dijo la compañía. «De los que sí lo hacen, hay indicios de que se apuntó a un número bajo de un solo dígito de los inquilinos M365 de nuestros clientes».
Mimecast es un servicio de administración de correo electrónico basado en la nube para Microsoft Exchange y Microsoft Office 365 que ofrece a los usuarios una plataforma de continuidad y seguridad de correo electrónico para protegerlos del spam, el malware, el phishing y los ataques dirigidos.
El certificado comprometido se usa para verificar y autenticar los productos Mimecast Sync and Recover, Continuity Monitor e Internal Email Protect (IEP) en M365 Exchange Web Services.
Una consecuencia de tal violación podría resultar en un ataque de hombre en el medio (MitM), donde un adversario podría potencialmente tomar el control de la conexión e interceptar el tráfico de correo electrónico, e incluso robar información confidencial.
Como precaución para evitar futuros abusos, la compañía dijo que les pidió a sus clientes que eliminen la conexión existente dentro de su arrendatario M365 con efecto inmediato y que restablezcan una nueva conexión basada en certificados utilizando el nuevo certificado que ha puesto a disposición.
«Tomar esta acción no afecta el flujo de correo entrante o saliente ni el escaneo de seguridad asociado», declaró Mimecast en su aviso.
Se está llevando a cabo una investigación sobre el incidente, y la compañía señaló que trabajará en estrecha colaboración con Microsoft y las fuerzas del orden público, según corresponda.
El desarrollo se produce cuando Reuters, citando fuentes, dijo que los piratas informáticos que comprometieron a Mimecast eran el mismo grupo que violó al fabricante de software estadounidense SolarWinds y una serie de agencias gubernamentales sensibles de EE. UU.
«Nuestra investigación está en curso y no tenemos nada adicional para compartir en este momento», dijo un portavoz de la compañía a The Hacker News.
ACTUALIZACIÓN (26 de enero de 2021): Mimecast Breach vinculado a SolarWinds Hack
Mimecast confirmó formalmente el martes que los atacantes detrás del hackeo de SolarWinds fueron responsables de comprometer un certificado digital que la empresa proporcionó para proteger las conexiones a Microsoft 365 (M365) Exchange.
«Nuestra investigación ahora ha confirmado que este incidente está relacionado con el compromiso del software SolarWinds Orion y fue perpetrado por el mismo actor de amenazas sofisticado», dijo la compañía en una actualización.
«Aunque no tenemos conocimiento de que alguna de las credenciales cifradas haya sido descifrada o mal utilizada, recomendamos a los clientes alojados en los Estados Unidos y el Reino Unido que tomen medidas de precaución para restablecer sus credenciales».
La investigación reveló que el actor de amenazas accedió y potencialmente filtró ciertas credenciales de cuentas de servicios encriptadas creadas por clientes alojados en los EE. UU. y el Reino Unido.
Las credenciales se utilizan para establecer conexiones desde los inquilinos de Mimecast a los servicios locales y en la nube, como LDAP, Azure Active Directory, Exchange Web Services, POP3 journaling y rutas de entrega autenticadas por SMTP.
«Está claro que este incidente es parte de un ataque a gran escala altamente sofisticado y se centra en tipos específicos de información y organizaciones».
Además de Mimecast, Palo Alto Networks y Fidelis Cybersecurity también han confirmado versiones troyanizadas del software SolarWinds Orion en sus entornos, lo que eleva a siete el número de proveedores de ciberseguridad a los que apuntan los piratas informáticos.