Mimecast pourrait également être une victime potentielle du récent Piratage SolarWinds car la société a révélé que l'un de ses certificats était utilisé pour authentifier ses produits auprès de Microsoft 365 Exchange Les services Web ont été compromis par une menace sophistiquée.
L'entreprise de sécurité des e-mails et des données a déclaré que le certificat compromis est utilisé pour authentifier ses produits Sync and Recover, Continuity Monitor et Internal Email Protect (IEP). Cependant, ce n’est pas Mimecast qui a découvert le certificat compromis mais plutôt Microsoft .
Dans un article de blog informant ses utilisateurs du certificat compromis, Mimecast a expliqué que 10% de ses clients sont concernés, déclarant:
"Appr environ 10% de nos clients utilisent cette connexion. Parmi ceux qui le font, il semble qu'un faible nombre à un chiffre de locataires M365 de nos clients a été ciblé. Nous avons déjà contacté ces clients pour résoudre le problème. La sécurité de nos clients est toujours notre priorité absolue. Nous avons engagé un expert médico-légal tiers pour nous aiderons dans notre enquête et nous travaillerons en étroite collaboration avec Microsoft et les forces de l’ordre, le cas échéant. »
Certificat compromis
Mimecast conseille les 10% de sa base de clients utilisant le certificat compromis pour supprimer immédiatement la connexion existante dans leur Microsoft 365 locataire. Ces clients doivent ensuite rétablir une nouvelle connexion à l'aide d'un nouveau certificat mis à disposition par l'entreprise.
Dans un déclaration au CRN , un porte-parole de Microsoft a déclaré qu'il bloquerait le certificat compromis, en disant:
«Nous pouvons confirmer qu'un certificat fourni par Mimecast a été compromis par un acteur sophistiqué. Ce certificat permet à leurs clients de connecter certaines applications Mimecast à leur client M365. À la demande de Mimecast, nous bloquons ce certificat le lundi 18 janvier 2021. »
La raison pour laquelle Mimecast a pu être attaqué par le même acteur de la menace derrière le piratage SolarWinds est due au fait que ces pirates informatiques ajoutent souvent des jetons d'authentification et des informations d'identification aux comptes de domaine Microsoft Active Directory afin de maintenir la persistance sur un réseau et d'obtenir une élévation de privilèges. Selon CISA , ces jetons permettent d'accéder à la fois à une organisation. locaux et ressources hébergées.
Mimecast enquête actuellement plus avant sur la question et nous découvrirons probablement s'il existe une connexion au piratage SolarWinds une fois l'enquête de la société terminée.
Via CRN
