首页 云计算 > 内容

黑客破坏用于Microsoft身份验证的Mimecast证书

时间:2021-01-24 01:33:09 来源:

Mimecast周二披露,一名老练的威胁者破坏了Mimecast证书,该证书用于向Microsoft 365 Exchange Web服务验证该公司的几种产品。

这家总部位于马萨诸塞州列克星敦的电子邮件安全厂商表示,用于向Microsoft 365验证其同步和恢复,连续性监视器和内部电子邮件保护(IEP)产品的证书已受到威胁。Mimecast表示,它最近已被Microsoft告知已妥协。

Mimecast的股票在星期二盘前交易中下跌了每股2.40美元(4.67%)至每股49美元,这是该公司股票自12月15日以来的最低交易价。Mimecast拒绝回答有关是否对其证书进行妥协的问题由相同的威胁参与者清除,该威胁参与者连续几个月将恶意代码注入到SolarWinds Orion网络监控工具中。

据该公司称,大约有10%的Mimecast客户使用了受到破坏的连接。Mimecast表示,在目前的情况中,有迹象表明,实际上只有少数几位Mimecast客户的Microsoft 365租户成为了目标。Mimecast说,它已经与目标客户Microsoft 365租户联系,以解决此问题。

“客户的安全始终是我们的首要任务,” Mimecast在周二上午发表的一份声明中表示。“我们聘请了第三方法证专家来协助我们的调查,我们将酌情与Microsoft和执法部门密切合作。”

Mimecast表示,正在要求使用此基于证书的Microsoft 365连接的10%的客户群立即删除其Microsoft 365租户中的现有连接。然后,客户应使用Mimecast提供的新证书重新建立基于证书的新连接。

微软发言人在一份声明中对CRN表示:“我们可以确定Mimecast提供的证书受到了老练演员的侵害。” “该证书使他们的客户能够将某些Mimecast应用程序连接到其M365租户。应Mimecast的要求,我们将于2021年1月18日星期一屏蔽此证书。” 微软表示,未使用Mimecast的Microsoft 365客户不受此妥协的影响。

美国网络安全和基础设施安全局(CISA)于12月17日表示,SolarWinds黑客的主要持久性和升级机制之一是向高度特权的Microsoft Active Directory域帐户中添加身份验证令牌和凭证。在许多情况下,CISA都说令牌启用对本地资源和托管资源的访问。

CISA说,俄罗斯黑客收集受害者信息的主要方式之一是通过使用其升级的Active Directory特权破坏安全声明标记语言(SAML)签名证书。据CISA称,托管电子邮件服务,托管商业智能应用程序,旅行系统,考勤卡系统和文件存储服务(例如SharePoint)通常使用SAML。

但是,微软在12月31日表示,尚未找到任何证据证明SolarWinds黑客滥用伪造的SAML令牌攻击了公司自己的公司域。巨大的SolarWinds骇客活动据信是由俄罗斯外国情报部门(APT29)进行的。

微软在12月31日披露,一个被可疑的俄罗斯黑客入侵的帐户已被用来查看许多源代码存储库中的源代码,但代码本身均未更改。微软当时表示,遭到入侵的微软帐户无权修改任何代码或工程系统,并且调查确认未进行任何更改。

一周前,CrowdStrike透露,SolarWinds攻击背后的黑客曾试图通过Microsoft转销商的Azure帐户对公司进行黑客入侵,但最终未成功。转售商的Azure帐户用于管理CrowdStrike的Microsoft Office许可证,并且由于CrowdStrike不使用Office 365电子邮件,黑客未能读取公司的电子邮件。