Posté le janvier 13, 2021 à 17:16
UN CERTIFICAT DE MIMECAST COMPROMIS DANS UNE ATTAQUE DE LA CHAÎNE LOGISTIQUE
Mimecast, le fournisseur de gestion de courrier électronique, a révélé que des hackers ont piraté et utilisé un certificat numérique émis pour cibler certains clients.
L’entreprise a fourni des détails dans un rapport et a déclaré que le certificat concerné était utilisé par 10 % de l’ensemble de sa clientèle, soit environ 36 100 clients.
Les hackers ont utilisé des outils sophistiqués lors de l’attaque
Selon le communiqué, les hackers ont utilisé des outils sophistiqués lors de la violation, et ils ciblent probablement un groupe de clients qui pourraient utiliser le certificat compromis pour crypter les données de Microsoft 365. La société a déclaré avoir été informée de l’incident de piratage par Microsoft.
Lorsque les acteurs malveillants piratent les certificats, ils peuvent lire et modifier les données cryptées au fur et à mesure qu’elles circulent sur Internet.
Mais d’abord, l’acteur malveillant doit avoir accès à la surveillance des connexions se déplaçant sur le réseau de la cible pour que cela se produise. En général, la violation de certificat nécessite l’accès à des dispositifs de stockage hautement sécurisés qui stockent les clés de cryptage de données. Ce type d’accès nécessite généralement un accès d’initié ou un piratage en profondeur.
Mimecast offre des services de sécurité du courrier électronique que les clients peuvent utiliser sur leurs comptes Microsoft 365 pour leur permettre d’établir des connexions aux serveurs de Mimecast.
Le certificat est important pour la vérification et l’authentification des connexions dirigées vers le service Sync and Recover de Mimecast. Il s’agit notamment du contenu des boîtes de messagerie de Microsoft 365 ou d’Exchange sur site, du contenu du calendrier et de la sauvegarde de la structure des dossiers des boîtes de messagerie.
Lexicon, un fournisseur de sécurité de masse pour le courrier électronique, a déclaré que le certificat d’authentification de son projet de courrier électronique interne (IEP) a également été piraté.
Le cours de l’action de Mimecast chute légèrement
Et il semble que la nouvelle de la violation ait affecté le cours de l’action de Mimecast, qui est passé de 51,40 dollars par action à 49 dollars par action hier, soit une chute de 4,67 %. Les données montrent que le cours actuel est le plus bas qu’il ait jamais atteint depuis le 15 décembre.
Lorsqu’elle a été contactée pour obtenir plus d’informations sur la violation et savoir si les acteurs malveillants sont le même groupe d’attaque de SolarWinds, Mimecast a refusé de répondre aux questions.
Cependant, le CISO de Thycotic Terence Jackson a révélé que les certificats violés étaient utilisés par les produits de sécurité de messagerie électronique de Mimecast.
Il a ajouté que ces produits fournissent généralement des services de sécurité en accédant aux serveurs de Microsoft Exchange des clients.
Et comme les certificats étaient authentiques, il serait plus facile pour un acteur malveillant de se connecter sans que la cible ne s’en doute.
Chris Clements, vice-président de l’architecture des solutions chez Cerberus Sentinel, a déclaré que des mesures supplémentaires seraient nécessaires pour permettre à l’acteur malveillant d’accéder à des informations sensibles.
Il a déclaré que les acteurs malveillants n’ont peut-être pas identifié le cas d’utilisation exact et la nature du certificat compromis. Il a également déclaré que le certificat était utilisé pour s’authentifier des serveurs Mimecast directement à Microsoft 365.
Les acteurs malveillants pourraient avoir désactivé Office 365
Kevin Bocek, vice-président du service de renseignements sur les menaces chez Venafi, a déclaré que les acteurs malveillants ont peut-être désactivé complètement la sécurité Mimecast d’Office 36 pour s’assurer que l’attaque par e-mail soit plus puissante.
Cela permettra aux hackers d’avoir accès aux mails hébergés sur Office 365, ce qui pourrait bloquer certains services comme les alertes et la protection contre les menaces.
Une enquête sur l’incident est en cours
« La sécurité de nos clients est toujours notre priorité absolue », a souligné Mimecast dans sa déclaration publiée hier. La société a également révélé qu’elle avait fait appel aux services d’un tiers pour mener une enquête sérieuse sur l’incident. Elle a également déclaré qu’elle travaillait en étroite collaboration avec les forces de l’ordre et Microsoft pour découvrir tout ce qui est possible sur la violation et les futures méthodes de prévention.
Un porte-parole de Microsoft a déclaré que le certificat compromis permet aux clients de Mimecast de relier certaines applications de Mimecast à leur locataire M365. Microsoft a déclaré que la société a demandé que les applications Mimecast soient bloquées le lundi 18 janvier, en attendant que les problèmes soient résolus.
Mais les clients de Microsoft 365 qui n’utilisent pas Mimecast ne sont pas concernés par cette violation. L’attaque est similaire à celle menée sur le réseau SolarWinds il y a quelques semaines, car les deux attaques impliquaient l’utilisation de logiciels tiers pour localiser la cible. Cependant, il n’est pas clair si l’attaque a un lien avec les attaques de SolarWinds.
