Certificado Mimecast comprometido durante el ataque a la cadena de suministro de correo electrónico de Microsoft - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Certificado Mimecast comprometido durante el ataque a la cadena de suministro de correo electrónico de Microsoft

Hola, un placer verte por aquí. Te habla Eduardo Arroyo y hoy hablaremos sobre Certificado Mimecast comprometido durante el ataque a la cadena de suministro de correo electrónico de Microsoft

Certificado Mimecast comprometido durante el ataque a la cadena de suministro de correo electrónico de Microsoft

Un sofisticado actor de amenazas secuestró las conexiones de seguridad del correo electrónico para espiar a los objetivos.

La empresa anunció que un certificado emitido por Mimecast que se utiliza para autenticar algunos de los productos de la empresa en Microsoft 365 Exchange Web Services ha sido «comprometido por un sofisticado actor de amenazas».

Mimecast proporciona servicios de seguridad de correo electrónico que los clientes pueden aplicar a sus cuentas de Microsoft 365 al conectarse a los servidores de Mimecast. El certificado en cuestión se utiliza para verificar y autenticar las conexiones realizadas a Sync and Recover de Mimecast (copia de seguridad de la estructura de carpetas del buzón, contenido del calendario y contactos de Exchange On-Premises o buzones de correo de Microsoft 365), Continuity Monitor ( busca interrupciones en el tráfico de correo electrónico) y Internal Email Protect (IEP) (inspecciona los mensajes de correo electrónico generados internamente en busca de enlaces maliciosos, archivos adjuntos o contenido sensible).

Una compensación significa que los ciberataques podrían tomar el control de la conexión, aunque el correo entrante y saliente está fluyendo, dijeron los investigadores. Sería posible interceptar ese tráfico o posiblemente infiltrarse en los servicios web Microsoft 365 Exchange de los clientes y robar información.

«Los certificados comprometidos han sido utilizados por productos de seguridad de correo electrónico de Mimecast», dijo a Threatpost Terence Jackson, CISO de Thycotic. “Estos productos tendrían acceso a los servidores de intercambio de Microsoft 365 de los clientes para permitirles brindar servicios de seguridad (respaldo, protección contra correo no deseado y phishing). Dado que estos certificados eran legítimos, un adversario habría podido conectarse sin levantar sospechas de interceptar y filtrar comunicaciones por correo electrónico «.

Cuando lo contactaron para hacer comentarios, un portavoz de Mimecast solo dijo: «Nuestra investigación está en curso y no tenemos nada más que compartir en este momento. Todas las actualizaciones de Mimecast se enviarán a través de nuestro blog. «

Mimecast, en un breve mensaje Online el martes, dijo que alrededor del 10% de sus clientes están usando las conexiones afectadas. En su sitio web señala que tiene alrededor de 36.000 clientes, por lo que 3.600 podrían verse potencialmente comprometidos. La compañía continuó diciendo que, entre estos, «hay indicios de que se ha apuntado a un número bajo de un solo dígito de los inquilinos de Microsoft 365 de nuestros clientes. Ya nos hemos puesto en contacto con estos clientes para solucionar el problema».

El hack fue puesto en conocimiento de Mimecast por Microsoft, que planea deshabilitar el uso del certificado para Microsoft 365 a partir del 18 de enero. Mientras tanto, Mimecast ha emitido un nuevo certificado e invita a los usuarios a restablecer las conexiones con la nueva autenticación.

El ataque recuerda a los hacks de SolarWinds descubiertos recientemente, debido al uso de software de terceros para lograr los objetivos. Y, de hecho, los investigadores hablan de forma anónima a Reuters sobre el incidente de Mimecast, le dijo a la tienda que sospecha que la misma amenaza persistente avanzada responsable del ataque a la cadena de suministro de SolarWinds está funcionando aquí.

Mimecast se negó a comentar sobre esa calificación.

«El ataque contra Mimecast y su conexión segura a la infraestructura de Microsoft Office 365 parece ser el trabajo de los mismos atacantes sofisticados que han violado SolarWinds y múltiples agencias gubernamentales», dijo el CEO de Gurucul, Saryu Nayyar, en un correo electrónico. “Esto demuestra la habilidad y tenacidad que el estado y los actores patrocinados por el estado pueden aplicar cuando persiguen sus objetivos. Contra este tipo de oponentes, las organizaciones civiles tendrán que mejorar su juego si no quieren convertirse en el próximo título. La ciberseguridad básica no es suficiente. Las organizaciones deben utilizar las mejores prácticas de la industria, luego ir más allá con la capacitación de los usuarios, los programas para revisar y actualizar su seguridad y la implementación de las mejores soluciones de seguridad … El beneficio a largo plazo es que las defensas diseñadas para resistir un ataque a un nivel más que suficiente para frustrar al ciberdelincuente más común. «

¿Está la cadena de suministro de software de su empresa lista para un ataque? El miércoles 20 de enero a las 2 p.m. ET, comience a identificar los puntos débiles en su cadena de suministro con el asesoramiento práctico de un experto, como parte de un seminario web de participación limitada y LIVE Threatpost. Se invita a CISO, AppDev y SysAdmin a preguntar a un grupo de expertos en ciberseguridad de primer nivel cómo pueden evitar quedar atrapados en un mundo posterior al hack de SolarWinds. La asistencia es limitada: y reserve un asiento para este seminario web exclusivo de Threatpost Supply Chain Security: 20 de enero a las 2 p.m. ET.

.

Deberías compartir en una historia de tu Instagram para que tus colegas lo vean

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *