Aproximadamente el 10% de los clientes de Mimecast, especialista en seguridad web y correo electrónico, pueden estar en riesgo de ser comprometidos por actores malintencionados, después de que un certificado de la empresa utilizado para autenticar varios servicios en Microsoft Office 365 Exchange Web Services haya sido comprometido por «un actor de amenazas sofisticado».
Mimecast reveló el incidente hoy después de que Microsoft le informara del problema. Los productos afectados son Mimecast Sync and Recover, Continuity Monitor e IEP (Internal Email Protect).
La firma dijo que había visto indicios de que un número bajo de un solo dígito de los inquilinos de Office 365 de sus clientes fueron el objetivo de la intrusión.
En un comunicado que detalla el incidente, Mimecast dijo: “La seguridad de nuestros clientes es siempre nuestra principal prioridad. Hemos contratado a un experto forense externo para que nos ayude en nuestra investigación y trabajaremos en estrecha colaboración con Microsoft y las fuerzas del orden, según corresponda «.
Un portavoz de Mimecast declinó hacer más comentarios a la agencia de noticias Reuters, pero como precaución, la compañía ha dicho que ahora está pidiendo al subconjunto de sus clientes que usan esta conexión basada en certificados que dejen de usarla de inmediato y restablezcan un nuevo certificado. conexión basada en un nuevo certificado que está poniendo a disposición.
Agregó que tomar esta acción no afectará ningún flujo de correo electrónico entrante o saliente, ni el análisis de correo electrónico asociado.
Citando fuentes anónimas familiarizadas con la investigación en curso, el informe de Reuters continuó afirmando que era posible que este compromiso se relacione de alguna manera con el ataque SolarWinds Orion Solorigate / Sunburst, o puede ser el trabajo del mismo grupo, que probablemente esté respaldado por el estado ruso.
El ataque Solorigate, cuyas consecuencias aún se están desarrollando, apuntó a numerosos organismos gubernamentales de EE. UU. A través de actualizaciones de software de SolarWinds contaminadas.
La puerta trasera utilizada, que comparte similitudes de codificación con otra puerta trasera utilizada por actores de amenazas persistentes avanzadas (APT) vinculadas a Rusia, también se utilizó para atacar a FireEye, que perdió el control de una serie de herramientas de piratería del equipo rojo que utiliza para realizar ejercicios de pruebas de penetración en los sistemas de sus clientes.
Varias otras empresas de TI, incluidas Cisco, Intel, Nvidia y VMware, también recibieron la actualización de software malicioso.