Mimecast pourrait également être une victime potentielle du récent piratage de SolarWinds, car la société a révélé que l’un de ses certificats utilisés pour authentifier ses produits auprès des services Web Microsoft 365 Exchange a été compromis par un acteur de menace sophistiqué.
La société de sécurité des e-mails et des données a déclaré que le certificat compromis était utilisé pour authentifier ses produits Sync and Recover, Continuity Monitor et Internal Email Protect (IEP). Cependant, ce n’est pas Mimecast qui a découvert le certificat compromis mais plutôt Microsoft.
Dans un article de blog informant ses utilisateurs du certificat compromis, Mimecast a expliqué que 10% de ses clients sont concernés, en disant:
«Environ 10% de nos clients utilisent cette connexion. Parmi ceux qui le font, il semble qu’un faible nombre à un chiffre de locataires M365 de nos clients ait été ciblé. Nous avons déjà contacté ces clients pour résoudre le problème. La sécurité de nos clients est toujours notre priorité absolue. Nous avons engagé un expert médico-légal tiers pour nous aider dans notre enquête, et nous travaillerons en étroite collaboration avec Microsoft et les forces de l’ordre, le cas échéant. »
Sommaire
Certificat compromis
Mimecast conseille aux 10% de sa base de clients utilisant le certificat compromis de supprimer immédiatement la connexion existante au sein de leur client Microsoft 365. Ces clients doivent ensuite rétablir une nouvelle connexion à l’aide d’un nouveau certificat que l’entreprise a mis à disposition.
Dans une déclaration à CRN, un porte-parole de Microsoft a déclaré qu’il bloquerait le certificat compromis, en disant:
«Nous pouvons confirmer qu’un certificat fourni par Mimecast a été compromis par un acteur sophistiqué. Ce certificat permet à leurs clients de connecter certaines applications Mimecast à leur client M365. À la demande de Mimecast, nous bloquons ce certificat le lundi 18 janvier 2021. »
La raison pour laquelle Mimecast a pu être attaqué par le même acteur de la menace derrière le piratage SolarWinds est due au fait que ces pirates ajoutent souvent des jetons d’authentification et des informations d’identification aux comptes de domaine Microsoft Active Directory afin de maintenir la persistance sur un réseau et d’obtenir une élévation de privilèges. . Selon CISA, ces jetons permettent d’accéder aux ressources locales et hébergées d’une organisation.
Mimecast étudie actuellement la question plus en détail et nous découvrirons probablement s’il existe une connexion avec le piratage SolarWinds une fois l’enquête de l’entreprise terminée.
Via CRN
