黑客窃取用于安全连接Microsoft 365的Mimecast证书

Mimecast周二表示，“一名老练的威胁参与者”泄露了其提供给某些客户的数字证书，以将其产品安全连接到Microsoft 365（M365）Exchange。

这家总部位于伦敦的公司在其网站上发布的警告中说，这一发现是在微软通知违规行为后发现的，并补充说，该公司已联系受影响的组织，以纠正该问题。

该公司没有详细说明什么类型的证书被泄露，但Mimecast根据地理位置提供了七种不同的数字证书，必须上传到M365才能在Mimecast中创建服务器连接。

“大约10%的客户使用这种连接，”该公司说。“有迹象表明，我们的客户的M365租户中有一小部分是被锁定的。”

Mimecast是针对Microsoft Exchange和Microsoft Office 365的基于云的电子邮件管理服务，为用户提供电子邮件安全和连续性平台，以保护他们免受垃圾邮件、恶意软件、网络钓鱼和有针对性的攻击。

被泄露的证书用于验证和验证Mimecast同步和恢复、连续性监视器以及M365 Exchange Web服务的内部电子邮件保护（IEP）产品。

这种破坏行为的后果可能会导致中间人（MitM）攻击，对手可能会接管连接并拦截电子邮件流量，甚至窃取敏感信息。

为了防止将来滥用，该公司表示，已要求其客户立即删除M365租户内的现有连接，并使用其提供的新证书重新建立基于证书的新连接。

“采取这一行动不会影响入站或出站邮件流或相关的安全扫描，”Mimecast在其公告中表示。

对这起事件的调查正在进行中，该公司表示将与微软和执法部门密切合作。

路透社援引消息人士的话说，这一事态发展之际，入侵Mimecast的黑客正是入侵美国软件制造商SolarWinds和许多敏感的美国政府机构的同一个组织。

“我们的调查正在进行中，目前我们没有任何额外的信息可供分享，”该公司的一名发言人告诉《黑客新闻》。

更新（2021年1月26日）：Mimecast漏洞与SolarWinds黑客有关

Mimecast周二正式确认，SolarWinds黑客背后的攻击者对该公司提供的一份数字证书的泄露负有责任，该证书用于保护与Microsoft 365（M365）Exchange的连接。

该公司在最新消息中称：“我们的调查现已证实，这起事件与SolarWinds Orion软件泄露有关，是同一个复杂的威胁行为人所为。”。

“虽然我们不知道任何加密的凭证已被解密或滥用，但我们建议美国和英国的客户采取预防措施重置其凭证。”

调查显示，威胁行为人访问并可能过滤了美国和英国客户创建的某些加密服务帐户凭据。

这些凭据用于建立Mimecast租户到本地和云服务的连接，如LDAP、Azure Active Directory、Exchange Web服务、POP3日志记录和SMTP认证的传递路由。

“很明显，这起事件是一次高度复杂的大规模攻击的一部分，主要针对特定类型的信息和组织。”

除了Mimecast，Palo Alto Networks和Fidelis Cybersecurity还确认了其环境中的SolarWinds Orion软件的特洛伊木马版本，使黑客攻击的网络安全供应商数量增至7家。