美国情报机构拥有的黑客说可能来自俄罗斯,利用SolarWinds猎户座软件的后门更新来瞄准Mimecast的一小部分客户。利用Sunburst恶意软件潜入更新,攻击者首先获得了Mimecast生产网格环境的一部分。然后,他们访问了一个mimecast颁发的证书,一些客户使用该证书对各种Microsoft 365 Exchange web服务进行身份验证。
点击微软365连接
微软首先发现了该漏洞,并将其报告给了Mimecast,公司调查人员与微软合作发现,威胁行为者随后使用该证书“从非Mimecast IP地址范围连接到我们共同客户的M365租户的一个低个位数。”
黑客还访问了电子邮件地址、联系信息以及“加密和/或散列和加盐凭证”。有限数量的源代码库也被下载,但Mimecast表示,没有证据表明有修改或对公司产品造成影响。该公司接着表示,没有证据表明黑客访问了Mimecast代表客户持有的电子邮件或存档内容。
在一个帖子周二发表的声明中,Mimecast官员写道:
虽然有证据表明该证书只针对少数客户,但我们很快制定了一个计划,以减轻使用该证书的所有客户的潜在风险。我们提供了一个新的证书连接,并通过电子邮件、应用程序内通知和外呼,建议这些客户和相关支持合作伙伴采取预防措施,切换到新的连接。我们的公共博客提供了事件这一阶段的可见性。
我们与微软协调,确认没有进一步未经授权使用受损害的Mimecast证书,并与我们的客户和合作伙伴一起迁移到新的证书连接。一旦我们的大多数客户实现了新的证书连接,微软就应我们的要求禁用了受损的证书。
选择几个
太阳风公司的供应链遭到攻击曝光12月。攻击者通过感染这家位于德克萨斯州奥斯汀的公司的软件构建和分发系统,并利用该系统发布一个更新,该更新由该公司下载和安装18000 SolarWinds客户.Mimecast是少数收到后续恶意软件的客户之一,这些恶意软件允许攻击者深入受感染的网络,获取特定的感兴趣的内容。白宫官员表示,至少有9家联邦机构和100家私营公司在这次攻击中受到了攻击,而这次攻击几个月来都没有被发现。
证书妥协允许黑客读取和修改通过Internet传输的加密数据。要做到这一点,黑客必须首先获得监视进出目标网络的连接的能力。通常,证书妥协需要访问存储私有加密密钥的高度强化存储设备。这种访问通常需要深层次的黑客攻击或内部访问。
Mimecast是小部分受到后续攻击的SolarWinds客户之一,这突显出供应链攻击的严重程度。反过来,在据信使用了被泄露证书的数千名Mimecast客户中,只有不到10人真正受到了攻击。限制接收后续恶意软件的目标数量,以及通过位于美国的服务发起攻击,是黑客防止其操作被发现的两种方法。
今年1月,当Mimecast首次披露证书泄露事件时,与SolarWinds部分攻击事件的相似之处引发了人们对这两起事件之间存在关联的猜测。周二的Mimecast发布的消息首次正式证实了这一联系。
你必须登录或创建帐户置评。