Een recent ontdekte aanval waarbij een certificaat van e-mailbeveiligingsbedrijf Mimecast werd misbruikt is uitgevoerd door de SolarWinds-aanvallers, zo stelt het bedrijf na onderzoek. Het gecompromitteerde certificaat werd gebruikt om Microsoft 365-omgevingen van Mimecast-klanten aan te vallen.

Dat maakte Mimecast op 12 januari bekend. "Ons onderzoek heeft bevestigd dat dit incident verband houdt met de aanval op de SolarWinds Orion-software en is uitgevoerd door dezelfde aanvaller", aldus Mimecast in een vandaag verschenen update over het incident. Tevens meldt de e-mailbeveiliger dat de aanvaller mogelijk ook versleutelde service-account credentials van klanten in de Verenigde Staten en het Verenigd Koninkrijk heeft gestolen.

Deze credentials worden door klanten gebruikt voor het opzetten van verbindingen van de Mimecast-omgeving naar zowel lokale als clouddiensten van de organisatie, zoals LDAP, Azure Active Directory, Exchange Web Services, POP3 journaling en 'SMTP-authenticated delivery routes'. Mimecast zegt niet bekend te zijn met gevallen waarbij de versleutelde inloggegevens zijn ontsleuteld en misbruikt. Toch krijgen alle klanten in de Verenigde Staten en het Verenigd Koninkrijk het advies om uit voorzorg hun credentials te resetten.

Mimecast biedt verschillende diensten voor het synchroniseren, monitoren en beveiligen van e-mailaccounts. Organisaties installeren een door Mimecast uitgegeven certificaat op hun server om zo een verbinding tussen de Mimecast-diensten en Microsoft 365 Exchange mogelijk te maken. Een dergelijk certificaat werd door de aanvallers gecompromitteerd. Microsoft ontdekte dit en waarschuwde het securitybedrijf.

Het gecompromitteerde certificaat is vervolgens gebruikt om toegang tot de Microsoft 365-omgevingen van klanten te krijgen. Zo'n tien procent van de Mimecast-klanten maakt gebruik van een certificaat-gebaseerde verbinding. De getroffen klanten waarbij er aanvallen plaatsvonden, het zijn er volgens Mimecast minder dan tien, zijn inmiddels ingelicht.