Undokumentierte Office 365 REST-API für Mail-Aktivitäten

Publiziert am 9. Juli 2018 von Günter Born

[English]Interessante Erkenntnis für Administratoren. In Microsoft Office 365 gibt es eine undokumentierte API, über die Administratoren die Aktivitäten von Outlook E-Mail-Konten auslesen können.

Anzeige

Solche Daten sind wichtig, wenn ein Einbruch in E-Mail-Konten erfolgt ist oder wenn es zu weiteren Ungereimtheiten gekommen ist. Eigentlich bieten (On Premise) E-Mail-Server solche Funktionen von Hause aus. Wird der Mail-Dienst Outlook in Microsoft Office 365 genutzt, liegt der Mail-Server aber bei Microsoft. Der Zugriff auf die Aktivitäten eines E-Mail-Kontos steht für Administratoren offiziell nicht zur Verfügung.

Bei stackoverflow.com ist bereits 2015 die Frage aufgekommen, ob es nicht eine API gebe, über welche man Aktivitäten eines Outlook-Postfachs abfragen könne. Viele Hinweise gab es nicht. Aber es gibt eine REST-API für den Zugriff auf Outlook.com.

Intern muss Microsoft allerdings weitergehende Möglichkeiten haben, wie zumindest der Blog-Beitrag Transform your organization with Microsoft Workplace Analytics des Office 365-Teams von July 2017 zeigt.

Undokumentiertes REST API Subset

Die Sicherheitsfirma CrowdStrike ist nun im Zuge von Ermittlungen eines Services-Teams zu BEC-Fällen (Business Email Compromise) auf eine interessante Funktion in Office 365 gestoßen. Offenbar gibt es innerhalb der REST-API ein undokumentiertes Subset Activties, über das man wesentlich feiner als über den Office 365 Unified Audit Log herausfinden kann, was mit einem Postfach getan wurde.

Anzeige
  • Die entdeckte Funktion besteht aus einer Web-API, die Exchange Web Services (EWS) verwendet, um Office 365 Outlook-Postfachaktivitäten abzurufen.
  • Auf die API kann jeder zugreifen, der den API-Endpunkt und einen bestimmten HTTP-Header kennt (und sich als Administrator authentifizieren kann, siehe diesen Kommentar).
  • Die Aktivitäten werden für alle Benutzer erfasst und bis zu sechs Monate aufbewahrt.
  • Es gibt viele Aktivitätsarten, darunter Logins, Nachrichtenlieferungen, Nachrichtenlesungen und Mailbox-Suchen.
  • Es ist möglich, Mailbox-Aktivitäten für bestimmte Zeiträume und Leistungsarten zu erfassen.

Bei Microsoft Office 365 scheint diese Funktion aber niemals offen gelegt worden zu sein. CrowdStrike hat die Details im Blog-Beitrag Hiding in Plain Sight: Using the Office 365 Activities API to Investigate Business Email Compromises veröffentlicht. Dort schreibt man, dass es auch einige Nachteile der API gibt. Aufgeführt wird die offensichtliche Unfähigkeit, Aktivitäten direkt mit Client-Sitzungen zu verknüpfen. Trotzdem bietet die API immer noch genügend Details, um unter den meisten Umständen eine schnelle Identifizierung von Angreiferaktivitäten zu ermöglichen.

CrowdStrike hat zum Artikel ein Python-Modul veröffentlicht, das die grundlegende Funktionalität der Aktivitäten-API umfasst. Bei heise.de finden sich in diesem Artikel einige ergänzende Informationen in deutscher Sprache. So hat Microsoft gegenüber heise.de die Existenz dieser API bestätigt, rät aber von deren Benutzung ab.

So interessant das Ganze für forensische Untersuchungen sein mag, die spannende Frage ist, ob das Ganze in deutschen Firmen einsetzbar ist. Denn über die API könnten Aktivitäten von Mitarbeitern überwacht werden, so dass das Ganze nach meinem dafürhalten mitbestimmungspflichtig wird.

Anzeige
Dieser Beitrag wurde unter Office, Tipps abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.