Wegen Sunburst-Backdoor: Mimecast verabschiedet sich von Solarwinds

17. März 2021, 14:20
image

Beim grossen Solarwinds-Hack seien Source Code und Kundendaten kopiert worden. Nun ersetzt Mimecast Orion durch einen alten Bekannten.

Der E-Mail-Security-Anbieter Mimecast war eines der ersten Unternehmen, dass als Opfer des Solarwinds-Hacks bekannt geworden war. In einem nun veröffentlichten Untersuchungsbericht bestätigt die Firma, dass beim Angriff auch Source Code entwendet wurde.
Im "Incident Report" heisst es, die Angreifer hätten die Sunburst-Backdoor bei Solwarwinds Orion benutzt, um ins Netzwerk von Mimecast einzudringen. "Über diesen Einstiegspunkt hat der Bedrohungsakteur auf bestimmte von Mimecast ausgestellte Zertifikate und zugehörige Informationen zur Kundenserververbindung zugegriffen." Weiter sei auch "auf eine Teilmenge von E-Mail-Adressen und anderen Kontaktinformationen sowie auf verschlüsselte und / oder gehashte Anmeldeinformationen" zugegriffen worden.
Die Hacker hätten auch "eine begrenzte Anzahl unserer Quellcode-Repositories heruntergeladen", so Mimecast. "Wir haben jedoch keine Hinweise auf Änderungen an unserem Quellcode gefunden und glauben auch nicht, dass sich dies auf unsere Produkte ausgewirkt hat."
Die Solarwinds-Hacker hätten nur auf eine kleine Menge von Zertifikaten zugegriffen, welches das Unternehmen für den Zugriff auf Microsoft-365-Dienste seiner Kunden verwendet, hatte Mimecast bereits im Januar erklärt. Eine genaue Zahl der betroffenen Kunden wurde nicht genannt, aber ungefähr 10% der insgesamt 36'000 Mimecast-Kunden würden diese Verbindung nutzen.

Neue Authentifizierung in Vorbereitung

Nach Abschluss der Untersuchung mit Forensik-Experten von Mandiant habe Mimecast den Zugang der Bedrohungsakteure zu seinen Netzwerken erfolgreich gesperrt. Die Firma arbeite an einem neuen OAuth-basierten Authentifizierungsmechanismus, um Mimecast- und Microsoft-Serviceplattformen zu verbinden und Server-Verbindungen weiter zu sichern.
Als weitere Konsequenz gab Mimecast bekannt, ab sofort auf die Nutzung der Solwarwinds Orion-Software zu verzichten. Man habe diese durch ein Cisco Netflow-Überwachungssystem ersetzt.

Profitiert nun Cisco von Solarwinds-Abtrünnigen?

Laut 'CRN' ist Mimecast damit eines der ersten Opfer, das aus der Cyberattacke eine solche Konsequenz zieht. Branchenexperten hätten es aufgrund "der einzigartigen Sichtbarkeits- und Überwachungsfunktionen von Orion" zuvor für unwahrscheinlich gehalten, dass Solarwinds durch den Hack viele Kunden verlieren würde.
Mimecast erklärte gegenüber 'CRN', dass die überwiegende Mehrheit seiner Kunden die Orion-Plattform weiterhin betreiben würde, und man "alle geeigneten Massnahmen ergreifen" würde, um diese zu schützen. Den ankündigten Wechsel auf Netflow wollten weder Mimecast noch Cisco weiter kommentieren.
Kürzlich hatte auch Microsoft neue Erkenntnisse zum Hack veröffentlicht.

Loading

Mehr zum Thema

image

Polizei schiesst Kryptomessenger Exclu ab

Die App soll ein grosser Favorit von Kriminellen und Drogenschmugglern gewesen sein. Nun haben die Behörden die Dienste abgeschaltet, auch dank Hinweisen aus dem "Cyberbunker".

publiziert am 7.2.2023
image

EFK: Skyguide muss das Continuity Management verbessern

Im Rahmen des Programms "Virtual Center" kommt es zu grossen Veränderungen im IT-Betrieb von Skyguide. In einer zweiten Prüfung anerkennt die Finanzkontrolle zwar Fortschritte, aber beim IT Continuity Management gibt es noch viel zu tun.

publiziert am 7.2.2023
image

Uni Zürich blockiert ausländische Website-Zugriffe

Aus dem Ausland kann nicht mehr auf die Website und Mailboxen der Universität Zürich zugegriffen werden.

publiziert am 7.2.2023
image

Grossbritannien prüft Einführung des digitalen Pfunds

Die Digitalwährung würde frühestens in der zweiten Hälfte des Jahrzehnts eingeführt werden und sollte Bargeld nicht ersetzen.

publiziert am 7.2.2023