Malwarebytes: SolarWinds-aanvallers hadden toegang tot interne e-mails

[Captain Kirk]

De aanvallers achter de wereldwijde SolarWinds-aanval hebben toegang gekregen tot interne bedrijfsmails van Malwarebytes, zo heeft het securitybedrijf zelf bekendgemaakt. Malwarebytes maakt geen gebruik van de software van SolarWinds. De aanvallers die voor de SolarWinds-aanval verantwoordelijk worden gehouden wisten echter de Microsoft Office 365- en Azure-omgevingen van het securitybedrijf te compromitteren.

Dat liet Microsoft op 15 december aan Malwarebytes weten. Op dezelfde dag werd ook securitybedrijf CrowdStrike door Microsoft geïnformeerd dat het door de SolarWinds-aanvallers was aangevallen. Het onderzoek dat Malwarebytes na de melding uitvoerde liet zien dat de aanvallers een "e-mailbeveiligingsproduct" binnen de Office 365-omgeving hadden gebruikt waarmee er toegang tot een beperkte hoeveelheid interne bedrijfsmails werd verkregen. Om welk beveiligingsproduct het gaat is niet bekendgemaakt.

Vorige week maakte e-mailbeveiliger Mimecast nog bekend dat aanvallers een certificaat van het bedrijf hadden gebruikt voor aanvallen op Microsoft 365-accounts bij klanten. Organisaties installeren een door Mimecast uitgegeven certificaat op hun server om zo een verbinding tussen de Mimecast-diensten en Microsoft 365 Exchange mogelijk te maken. Een dergelijk certificaat is door aanvallers gecompromitteerd. Microsoft ontdekte dit en waarschuwde het securitybedrijf. Het gecompromitteerde certificaat is vervolgens gebruikt om toegang tot de Microsoft 365-accounts van klanten te krijgen.

Hoe de aanval bij Malwarebytes precies in zijn werk is gegaan is niet bekendgemaakt. Malwarebytes meldt dat de aanvaller toegang tot de Office 365-omgeving wist te krijgen en vervolgens een zelf gesigneerd certificaat toevoegde aan het "principal account". Vervolgens konden de aanvallers zich via het certificaat authenticeren en toegang tot de e-mails van Malwarebytes krijgen. "Voor veel organisaties is het beveiligen van Azure-omgevingen een uitdagende taak, zeker wanneer er met third-party applicaties of resellers wordt gewerkt", zegt Marcin Kleczynski van Malwarebytes. De interne en productiesystemen van het securitybedrijf zijn niet gecompromitteerd.

 

bron: https://www.security.nl