Mimecast a révélé en janvier que les acteurs de la menace derrière l’attaque SolarWinds d’origine avaient obtenu l’accès et avaient peut-être divulgué certaines informations concernat l’identification de compte de service cryptées qui établissaient des informations d’identification entre les locataires de Mimecast et de nombreux services locaux ainsi que celui du cloud.
Mimecast a découvert que les attaquants avaient obtenu plus que de simples certificats numériques. Dans le rapport d’incident mis à jour le mardi 16 mars, l’expert en sécurité de la messagerie a déclaré que l’enquête sur la vulnérabilité menée était terminée et que de nouveaux détails avaient été déterminés et refait surface, notamment le vol de certains codes sources de ses produits.
Heureusement, l’enquête a révélé que seul un petit nombre de clients avait été attaqué par le certificat infecté: « Microsoft nous a informés que des acteurs malveillants utilisaient le certificat pour se connecter à un petit nombre de clients M365, à un chiffre, parmi nos clients communs, à partir de plages d’adresses IP hors Mimecast ».
D’autant plus, Mimecast a confirmé que l’attaquant avait utilisé une “porte dérobée” sur la plate-forme SolarWinds Orion. L’entreprise a également découvert que le certificat infecté était lié à plusieurs attaques SolarWinds dans d’autres organisations dans notre environnement.
Le décalage latéral du point d’accès initial vers ces serveurs est conforme au mécanisme décrit par Microsoft et d’autres organisations qui ont documenté les schémas d’attaque de cet acteur malveillant. « Mimecast est spécialisé dans la protection des clients qui utilisent Microsoft Office 365, qui représente environ la moitié de l’activité globale de l’entreprise, soit plus de 20 000 clients ».
Mimecast se consacre à la protection des clients qui utilisent Microsoft Office 365; et Microsoft Office 365 représente environ la moitié de l’activité globale de l’entreprise, soit plus de 20 000 clients.
La décision de quitter SolarWinds Orion est l’un des plus grands départements de SolarWinds dans les attaques de la chaîne d’approvisionnement, mais SolarWinds a averti qu’il discutait activement de l’impact de l’attaque avec certains clients du secteur privé et du gouvernement.
Selon Peter Firstbrook, vice-président de la recherche de Gartner, pour certains clients de SolarWinds Orion, l’élimination et le remplacement des logiciels sont leur première réaction. Cependant, jusqu’à présent,SolarWinds Orion n’a pas vu une grosse vague se déplacer dans cette direction.
Il a déclaré : “Il n’y avait aucune garantie et que peu importe comment vous remplacez SolarWinds, vous ne serez pas la prochaine victime d’une attaque de la chaîne d’approvisionnement. Cependant, pour des clients comme Mimecast et d’autres victimes bien connues, le remplacement de SolarWinds sera considéré comme une étape raisonnable pour instaurer la confiance. »
Alla Valente, analyste senior chez Forrester en matière de sécurité et de risque, a déclaré qu’en dépit de cette décision, changer de fournisseur ne peut à lui seul restaurer la confiance dans les relations avec les fournisseurs.
En outre, l’enquête finale a révélé que les attaquants avaient volé le code source.
Le 31 décembre, Microsoft a confirmé que le pirate avait vu mais n’avait pas modifié ni obtenu de code source. Mimecast a déclaré que dans son cas, les attaquants avaient consulté et téléchargé un nombre limité de bibliothèques de code source, mais l’enquête n’a révélé aucun signe de modification du produit.
Enfin, Mimecast a déclaré qu’il n’y avait aucune preuve que l’attaquant ait accédé au contenu de l’e-mail ou de l’archive du client.
À la lumière de l’enquête, la société a déclaré mardi que Mimecast avait cessé d’utiliser SolarWinds Orion après avoir mené une enquête médico-légale sur une attaque causée par une personne menacée et impliquée dans l’attaque initiale contre la chaîne d’approvisionnement de SolarWinds.
Mimecast, un expert en sécurité de messagerie pour les utilisateurs de Microsoft Office 365, a finit par migrer de SolarWinds Orion vers NetFlow (un système de surveillance développé par Cisco).
L’éditeur a également déclaré avoir ajouté des capacités supplémentaires de surveillance de la sécurité de l’hôte à son environnement, remplacé tous les serveurs compromis et modifié toutes les informations d’identification de ses employés, systèmes et comptes administratifs.