Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Un actor de amenazas compromete un certificado de Mimecast

Fecha de publicación 19/01/2021

El proveedor de software de gestión de correo electrónico, Mimecast, ha informado de que uno de sus certificados emitidos, destinado a autenticar sus productos Mimecast Sync and Recover, Continuity Monitor e IEP (Internal Email Protect) para conectarse a Microsoft 365 Exchange Web Services, ha sido comprometido por un actor de amenazas sofisticado.

Se confirma que sólo el 10% de sus clientes utilizan este tipo de conexión y de ellos, menos de 10 han sido de interés para el ciberdelincuente.

Como contramedidas, Mimecast ha pedido a sus clientes que eliminen la conexión dentro de su inquilino M360 y la reestablezcan con un certificado nuevo.

Actualmente, se continúa investigando el incidente de la mano de Microsoft y la policía.

[Actualización 16/03/2021]

Tras concluir la investigación forense, de la mano de la empresa Mandiant, Mimecast ha informado de que el autor del incidente de seguridad es el mismo que se identifica con los ciberataques a SolarWinds.

El vector de entrada a la red TI  fue la cadena de suministro del software SolarWinds Orion, utilizado por Mimecast, mediante el malware de tipo backdoor SUNBURST.

El ciberdelincuente, aprovechando el entorno de Windows, tuvo acceso a subconjuntos de direcciones de correo electrónico, información de contacto y credenciales cifradas (hash y salt) de cuentas de clientes alojados en los Estados Unidos y Reino Unido con las que se establecen conexiones desde los inquilinos de Mimecast a servicios locales y cloud (LDAP, Azure Active Directory, Exchange Web Services, etc.). También descargó un número limitado de repositorios de código fuente.

No se tienen evidencias de que el ciberdelincuente haya accedido al correo electrónico o contenido de archivos que están a nombre de clientes y tampoco de que el código fuente haya sido modificado o tenga algún impacto en los productos de la empresa.

Actualmente, todos los servidores comprometidos, que eran periféricos del núcleo de la infraestructura TI de Mimecast, han sido reemplazados, las credenciales hash y salt afectadas han sido restablecidas y se continúa analizando y monitorizando el código fuente para prevenir un uso indebido.