Mimecast dice que los atacantes de SolarWinds accedieron a su …



Pero la cantidad de código descargado es demasiado pequeña para ser de alguna utilidad, dice el proveedor de seguridad de correo electrónico en su última actualización.

Los piratas informáticos que obtuvieron acceso a los sistemas de Mimecast a través de una actualización de software de SolarWind envenenada a fines del año pasado parecen haber causado más daño de lo que se pensaba originalmente.

La investigación continua del proveedor de seguridad de correo electrónico sobre la violación ha revelado que los atacantes accedieron y descargaron al menos algunos de sus repositorios de código fuente y también direcciones de correo electrónico, información de contacto y credenciales hash y saladas que pertenecen a algunos clientes.

En una actualización de esta semana, al menos la tercera desde que se conoció por primera vez la violación, Mimecast describió el robo del código fuente como de alcance limitado y poco possible que tenga consecuencias negativas para los clientes.

«Creemos que el código fuente descargado por el actor de amenazas estaba incompleto y sería insuficiente para construir y ejecutar cualquier aspecto del servicio Mimecast», dijo la compañía.

Tampoco hay evidencia de que el actor de la amenaza haya usado su acceso para modificar el código fuente de Mimecast o impactar los productos de alguna manera, el proveedor de seguridad señalado.

Mimecast es una de las muchas organizaciones de todo el mundo que se vio afectada cuando un actor de amenazas respaldado por un estado nacional que se cree instaló un malware llamado SUNBURST en sus redes al ocultar silenciosamente el código malicioso en actualizaciones de program legítimas de SolarWinds. Unos 18.000 clientes de SolarWinds, como Mimecast, recibieron y descargaron las actualizaciones envenenadas. Pero relativamente pocos de ellos fueron posteriormente objeto de nuevas hazañas.

Mimecast descubrió el ataque en enero cuando Microsoft notificó a la compañía sobre un compromiso que involucraba certificados utilizados para autenticar los productos de seguridad de Mimecast en los entornos de Microsoft 365 Exchange World wide web Companies. Junto con los certificados, los atacantes también accedieron a información relacionada con la conexión del servidor del cliente.

Mimecast dijo que Microsoft había descubierto al actor de amenazas usando los certificados comprometidos para acceder ilegalmente a redes que pertenecían a un puñado de sus clientes mutuos. En su asesoramiento inicial, Mimecast dijo que alrededor del 10% de sus clientes utilizaron los certificados comprometidos. Pero dijo que menos de 10 de esos clientes tenían acceso ilegal a sus entornos de Microsoft 365 a través de la conexión comprometida basada en certificados. Mimecast pidió a todos los clientes que eliminaran su conexión existente con su inquilino de M365 y restablecieran una nueva con las claves recientemente emitidas por la compañía.

La investigación posterior de Mimecast, con la ayuda de FireEye Mandiant, mostró que los atacantes habían utilizado su punto de apoyo inicial para moverse lateralmente al entorno de producción de la empresa, que contenía «una pequeña cantidad» de servidores Home windows. Luego, los atacantes consultaron y probablemente extrajeron las credenciales de la cuenta de servicio encriptadas de los servidores que potencialmente les dieron acceso a los sistemas locales y alojados en la nube que pertenecen a clientes mutuos de Microsoft y Mimecast en los EE. UU. Y el Reino Unido.

Según Mimecast, no encontró ninguna evidencia que sugiera que las credenciales encriptadas fueron luego desencriptadas y mal utilizadas de alguna manera.

«La actualización de Mimecast reitera el hecho de que el ataque reciente no se detuvo con el objetivo inicial», dice John Morgan, CEO de Confluera. Los actores de amenazas utilizaron su acceso a la crimson de Mimecast para robar certificados y claves que les permitieron expandir aún más los ataques. más allá del propio entorno de Mimecast y los sistemas afiliados, dice. Este fue un escenario que se desarrolló en muchas de las organizaciones que se vieron afectadas por el ataque a la cadena de suministro de SolarWinds.

«Otra conclusión del informe Mimecast es lo crítico que fue el movimiento lateral para el ataque common», señala Morgan. «Al igual que con muchos ataques modernos, después de obtener el acceso inicial, el atacante se movió desde el punto de acceso a los servidores objetivo a través de un movimiento lateral».

Una de las razones por las que muchos ataques modernos son tan efectivos es porque las organizaciones a menudo no pueden detectar tal movimiento lateral, dice.

Mimecast reitera una recomendación anterior
En su aviso de esta semana, Mimecast reiteró su recomendación de que todos sus clientes restablezcan las credenciales de conexión del servidor que se utilizan en la plataforma Mimecast. La compañía dijo que restableció las credenciales hash y saladas a las que se accedió, cambió todos los certificados y claves de cifrado afectados e implementó un monitoreo más cercano de todos sus certificados y claves de cifrado.

Además, la compañía ha dado de baja la plataforma SolarWinds Orion, ha cambiado las credenciales de todos los empleados e implementó la autenticación de dos factores para los empleados que requieren acceso a los sistemas de producción. También ha implementado medidas para garantizar que su código fuente sea seguro y no pueda ser manipulado y actualmente está trabajando en el desarrollo de un nuevo mecanismo de conexión y autenticación basado en OAuth entre los entornos de Microsoft y Mimecast.

Un portavoz de Mimecast se negó a decir cuándo estaría disponible el nuevo mecanismo.

Dirk Schrader, vicepresidente world-wide de investigación de seguridad en New Net Systems, dice que la respuesta y las medidas de remediación de Mimecast han sido loables, pero su falla en detectar la brecha en primer lugar es preocupante. Medidas como la supervisión del host, las comprobaciones de la integridad del sistema y de los archivos y el control de cambios son esenciales y deberían haberse implementado, afirma. Habrían ayudado a Mimecast a detectar la intrusión, en lugar de tener que ser alertados por Microsoft días después, agrega.

El hecho de que las credenciales robadas del entorno de Mimecast les dieran a los actores de amenazas una forma de atacar potencialmente los sistemas tanto en la nube como en las instalaciones también es preocupante, dice Morgan de Confluera.

«Esta debería ser una llamada de atención para cualquier organización que tenga nociones preconcebidas sobre la seguridad de los servidores en función de sus modelos de implementación», dice. «Reitera la necesidad de que las organizaciones adopten un modelo de seguridad que pueda detectar y responder a las amenazas en tiempo true en todo su entorno».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original