[English]Interessante Erkenntnis für Administratoren. In Microsoft Office 365 gibt es eine undokumentierte API, über die Administratoren die Aktivitäten von Outlook E-Mail-Konten auslesen können.
Anzeige
Solche Daten sind wichtig, wenn ein Einbruch in E-Mail-Konten erfolgt ist oder wenn es zu weiteren Ungereimtheiten gekommen ist. Eigentlich bieten (On Premise) E-Mail-Server solche Funktionen von Hause aus. Wird der Mail-Dienst Outlook in Microsoft Office 365 genutzt, liegt der Mail-Server aber bei Microsoft. Der Zugriff auf die Aktivitäten eines E-Mail-Kontos steht für Administratoren offiziell nicht zur Verfügung.
Bei stackoverflow.com ist bereits 2015 die Frage aufgekommen, ob es nicht eine API gebe, über welche man Aktivitäten eines Outlook-Postfachs abfragen könne. Viele Hinweise gab es nicht. Aber es gibt eine REST-API für den Zugriff auf Outlook.com.
Intern muss Microsoft allerdings weitergehende Möglichkeiten haben, wie zumindest der Blog-Beitrag Transform your organization with Microsoft Workplace Analytics des Office 365-Teams von July 2017 zeigt.
Undokumentiertes REST API Subset
Die Sicherheitsfirma CrowdStrike ist nun im Zuge von Ermittlungen eines Services-Teams zu BEC-Fällen (Business Email Compromise) auf eine interessante Funktion in Office 365 gestoßen. Offenbar gibt es innerhalb der REST-API ein undokumentiertes Subset Activties, über das man wesentlich feiner als über den Office 365 Unified Audit Log herausfinden kann, was mit einem Postfach getan wurde.
- Die entdeckte Funktion besteht aus einer Web-API, die Exchange Web Services (EWS) verwendet, um Office 365 Outlook-Postfachaktivitäten abzurufen.
- Auf die API kann jeder zugreifen, der den API-Endpunkt und einen bestimmten HTTP-Header kennt (und sich als Administrator authentifizieren kann, siehe diesen Kommentar).
- Die Aktivitäten werden für alle Benutzer erfasst und bis zu sechs Monate aufbewahrt.
- Es gibt viele Aktivitätsarten, darunter Logins, Nachrichtenlieferungen, Nachrichtenlesungen und Mailbox-Suchen.
- Es ist möglich, Mailbox-Aktivitäten für bestimmte Zeiträume und Leistungsarten zu erfassen.
Bei Microsoft Office 365 scheint diese Funktion aber niemals offen gelegt worden zu sein. CrowdStrike hat die Details im Blog-Beitrag Hiding in Plain Sight: Using the Office 365 Activities API to Investigate Business Email Compromises veröffentlicht. Dort schreibt man, dass es auch einige Nachteile der API gibt. Aufgeführt wird die offensichtliche Unfähigkeit, Aktivitäten direkt mit Client-Sitzungen zu verknüpfen. Trotzdem bietet die API immer noch genügend Details, um unter den meisten Umständen eine schnelle Identifizierung von Angreiferaktivitäten zu ermöglichen.
CrowdStrike hat zum Artikel ein Python-Modul veröffentlicht, das die grundlegende Funktionalität der Aktivitäten-API umfasst. Bei heise.de finden sich in diesem Artikel einige ergänzende Informationen in deutscher Sprache. So hat Microsoft gegenüber heise.de die Existenz dieser API bestätigt, rät aber von deren Benutzung ab.
So interessant das Ganze für forensische Untersuchungen sein mag, die spannende Frage ist, ob das Ganze in deutschen Firmen einsetzbar ist. Denn über die API könnten Aktivitäten von Mitarbeitern überwacht werden, so dass das Ganze nach meinem dafürhalten mitbestimmungspflichtig wird.
2015
