Mimecast mógł również paść ofiarą kampanii hakerskiej SolarWinds

Mimecast mógł również paść ofiarą kampanii hakerskiej SolarWinds

Mimecast może być również potencjalną ofiarą niedawnego włamania do SolarWinds, ponieważ firma ujawniła, że ​​jeden z jej certyfikatów używanych do uwierzytelniania jej produktów w usługach internetowych Microsoft 365 Exchange został naruszony przez wyrafinowanego atakującego. Firma zajmująca się bezpieczeństwem poczty elektronicznej i danych stwierdziła, że ​​zhakowany certyfikat był używany do uwierzytelniania produktów Sync and Recover, Continuity Monitor i Internal Email Protect (IEP). Jednak to nie Mimecast odkrył zhakowany certyfikat, ale Microsoft. W poście na blogu informującym użytkowników o złamanym certyfikacie firma Mimecast wyjaśniła, że ​​problem dotyczy 10% jej klientów, mówiąc: „Około 10% naszych klientów korzysta z tego połączenia. Spośród tych, które to zrobiły, wydaje się, że celem była niewielka, jednocyfrowa liczba najemców M365 naszych klientów. Skontaktowaliśmy się już z tymi klientami, aby rozwiązać problem. Bezpieczeństwo naszych klientów jest zawsze naszym najwyższym priorytetem. Zatrudniliśmy zewnętrznego eksperta z zakresu medycyny sądowej, który ma pomóc nam w dochodzeniu i w stosownych przypadkach będzie ściśle współpracować z firmą Microsoft i organami ścigania. "

skompromitowany certyfikat

Mimecast doradza 10% swojej bazy klientów korzystającej z przejętego certyfikatu, aby natychmiast usunęło istniejące połączenie w ramach dzierżawy Microsoft 365. Ci klienci powinni ponownie nawiązać nowe połączenie przy użyciu nowego certyfikatu posiadanego przez firmę. Udostępnione. W oświadczeniu dla CRN rzecznik Microsoftu oświadczył, że zablokuje zhakowany certyfikat, mówiąc: „Możemy potwierdzić, że certyfikat dostarczony przez Mimecast został naruszony przez wyrafinowaną osobę. Ten certyfikat umożliwia Twoim klientom łączenie określonych aplikacji Mimecast z klientem M365. Na prośbę Mimecast zablokujemy ten certyfikat w poniedziałek, 18 stycznia 2021 r.” Powodem, dla którego Mimecast mógł zostać zaatakowany przez tego samego ugrupowania odpowiedzialnego za włamanie do SolarWinds, jest to, że hakerzy często dodają tokeny uwierzytelniające i dane uwierzytelniające do domeny Microsoft Active Directory kont w celu utrzymania trwałości w sieci i uzyskania podwyższenia uprawnień. Według CISA tokeny te zapewniają dostęp do lokalnych i hostowanych zasobów organizacji. Mimecast obecnie bada problem bardziej szczegółowo i jest prawdopodobne. Dowiedzmy się, czy istnieje połączenie do włamania do SolarWinds po zakończeniu dochodzenia w firmie. Za pośrednictwem CRN