SolarWinds-Bedrohungsakteur verschafft sich Zugang zur Produktionsnetzumgebung von Mimecast

Cyber Security News

Der für den SolarWinds-Angriff verantwortliche Bedrohungsakteur hat sich Zugang zu bestimmten von Mimecast ausgestellten Zertifikaten und damit verbundenen Verbindungsinformationen von Kundenservern verschafft. (“Social Media Breakfast bei Mimecast #SMB32” von stevegarfield ist lizenziert unter CC BY-NC-SA 2.0)

Mimecast bestätigte am Mittwoch, dass der für den SolarWinds-Angriff verantwortliche Bedrohungsakteur die Kompromittierung der Lieferkette nutzte, um sich Zugang zu einem Teil der Produktionsnetzumgebung von Mimecast zu verschaffen und auf bestimmte von Mimecast ausgestellte Zertifikate und damit verbundene Verbindungsinformationen von Kundenservern zuzugreifen.

In einem Bericht über den Vorfall gaben die Forscher von Mimecast an, dass der Angreifer auch auf eine Untergruppe von E-Mail-Adressen und andere Kontaktinformationen sowie auf verschlüsselte und/oder gehashte und gesalzene Anmeldedaten zugriff. Das Unternehmen gab an, dass der Angreifer auch auf eine begrenzte Anzahl seiner Quellcode-Repositories zugegriffen und diese heruntergeladen hat, aber Mimecast fand keine Beweise für Modifikationen an seinem Quellcode und glaubt nicht, dass es eine signifikante Auswirkung auf Mimecast-Produkte gab.

“Wir haben keine Beweise dafür, dass der Bedrohungsakteur auf E-Mail- oder Archivinhalte zugegriffen hat, die wir im Namen unserer Kunden aufbewahren”, heißt es in dem Vorfallsbericht.

Mimecast sagte, dass das Unternehmen nach einer Untersuchung, bei der es mit FireEye und den Strafverfolgungsbehörden zusammengearbeitet hat, den Zugriff des Bedrohungsakteurs auf seine Umgebung eliminiert hat. Mimecast empfiehlt Kunden, die in den USA und Großbritannien gehostet werden, als Vorsichtsmaßnahme alle auf der Mimecast-Plattform verwendeten Server-Verbindungsanmeldeinformationen zurückzusetzen.

“Dieses Update von Mimecast bekräftigt, dass der jüngste Angriff nicht bei dem ursprünglichen Ziel stehen geblieben ist”, sagte John Morgan, CEO von Confluera. Morgan sagte, dass die Verletzung dazu führte, dass die Hacker Zertifikate und Schlüssel verwendeten, die es ihnen ermöglichten, sich als gültige Dritte auszugeben und den Angriff über die Mimecast-Umgebung und die angeschlossenen Systeme hinaus fortzusetzen.

Der Mimecast-Bericht zeigt auch, wie wichtig laterale Bewegungen für den gesamten Angriff waren, so Morgan. Wie bei vielen modernen Angriffen bewegte sich der Angreifer nach dem anfänglichen Zugriff über laterale Bewegungen vom Zugriffspunkt zu den Zielservern. Morgan fügte hinzu, dass viele Unternehmen diese seitlichen Bewegungen nicht erkennen können, die eine entscheidende Rolle für die Effektivität moderner Angriffe spielen.

“Mimecast hat Licht in den Umfang des Angriffs gebracht, der sowohl On-Premises- als auch Cloud-Server umfasste”, sagte Morgan. “Dies sollte ein Weckruf für alle Organisationen sein, die vorgefasste Meinungen über die Sicherheit der Server auf der Grundlage ihrer Bereitstellungsmodelle haben. Es unterstreicht die Notwendigkeit für Unternehmen, ein Sicherheitsmodell einzuführen, das Bedrohungen in Echtzeit in ihrer gesamten Umgebung erkennen und darauf reagieren kann.”

Für die Sicherheitsbranche im Allgemeinen bedeutet das detaillierte Niveau der Zusammenarbeit und des Informationsaustauschs zwischen zwei Giganten im Markt ein gutes Zeichen für die Kunden und ihre Sicherheit, sagte Dirk Schrader, Global Vice President of Security Research bei New Net Technologies. Er sagte, dass die zusätzlichen Abhilfemaßnahmen von Mimecast zeigen, dass sie über den ursprünglichen Vorfall hinausgeschaut haben und versuchen, jede zusätzliche Backdoor auszuschließen, die möglicherweise während dieses Angriffs installiert wurde.

“Die getroffenen Maßnahmen werden die Cyber-Resilienz von Mimecast erhöhen”, sagte Schrader. “Die Aufgabe wird sein, diese Widerstandsfähigkeit aufrechtzuerhalten oder sogar zu erhöhen, und die Überwachung auf bösartige Aktivitäten von diesem bestimmten Bedrohungsakteur bleibt nur ein Teil in den nächsten Monaten.”

Der Bericht von Mimecast enthält alle Merkmale einer guten Reaktion des Unternehmens, sagte Chad Anderson, Senior Security Researcher bei DomainTools. Er wies darauf hin, dass der Bericht eine vollständige öffentliche Offenlegung, Abhilfemaßnahmen und einen Bericht über die Nachbereitung der Untersuchung und die unternommenen Schritte enthält.

“Ich applaudiere ihnen für ihre Schritte, die Sichtbarkeit in ihrer Infrastruktur durch zusätzliche Überwachung zu erhöhen und für den Abschluss des zweifellos großen Aufwands, alle Benutzer- und Mitarbeiteranmeldedaten netzwerkweit zu ersetzen”, sagte Anderson. “Sicherheitsteams und Anbieter sollten auf Berichte wie diesen von Mimecast achten und sich Notizen machen, wie man auf einen Vorfall richtig reagiert. Ich persönlich hätte mir gewünscht, dass mehr Unternehmen, die an SolarWinds beteiligt sind, so reaktionsschnell und zuvorkommend bei der öffentlichen Meldung von Vorfällen sind.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com