{"id":206336,"date":"2018-07-09T00:05:00","date_gmt":"2018-07-08T22:05:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=206336"},"modified":"2018-07-08T23:36:17","modified_gmt":"2018-07-08T21:36:17","slug":"office-365-undokumentierte-rest-api-fr-mail-aktivitten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/07\/09\/office-365-undokumentierte-rest-api-fr-mail-aktivitten\/","title":{"rendered":"Undokumentierte Office 365 REST-API f&uuml;r Mail-Aktivit&auml;ten"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/Office1.jpg\" width=\"55\" align=\"left\" height=\"60\"\/>[English]Interessante Erkenntnis f\u00fcr Administratoren. In Microsoft Office 365 gibt es eine undokumentierte API, \u00fcber die Administratoren die Aktivit\u00e4ten von Outlook E-Mail-Konten auslesen k\u00f6nnen. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/73a0ed9c41644e458d777ee57c8be6f5\" width=\"1\" height=\"1\"\/>Solche Daten sind wichtig, wenn ein Einbruch in E-Mail-Konten erfolgt ist oder wenn es zu weiteren Ungereimtheiten gekommen ist. Eigentlich bieten (On Premise) E-Mail-Server solche Funktionen von Hause aus. Wird der Mail-Dienst Outlook in Microsoft Office 365 genutzt, liegt der Mail-Server aber bei Microsoft. Der Zugriff auf die Aktivit\u00e4ten eines E-Mail-Kontos steht f\u00fcr Administratoren offiziell nicht zur Verf\u00fcgung. <\/p>\n<p>Bei stackoverflow.com ist bereits 2015 <a href=\"https:\/\/stackoverflow.com\/questions\/32494876\/office-365-activity-logs-api\" target=\"_blank\">die Frage aufgekommen<\/a>, ob es nicht eine API gebe, \u00fcber welche man Aktivit\u00e4ten eines Outlook-Postfachs abfragen k\u00f6nne. Viele Hinweise gab es nicht. Aber es gibt eine <a href=\"https:\/\/msdn.microsoft.com\/en-us\/office\/office365\/api\/use-outlook-rest-api\" target=\"_blank\">REST-API f\u00fcr den Zugriff auf Outlook.com<\/a>. <\/p>\n<p>Intern muss Microsoft allerdings weitergehende M\u00f6glichkeiten haben, wie zumindest der Blog-Beitrag <a href=\"https:\/\/www.microsoft.com\/en-us\/microsoft-365\/blog\/2017\/07\/05\/transform-your-organization-with-microsoft-workplace-analytics\/\" target=\"_blank\">Transform your organization with Microsoft Workplace Analytics<\/a> des Office 365-Teams von July 2017 zeigt. <\/p>\n<h2>Undokumentiertes REST API Subset<\/h2>\n<p>Die Sicherheitsfirma CrowdStrike ist nun im Zuge von Ermittlungen eines Services-Teams zu BEC-F\u00e4llen (Business Email Compromise) auf eine interessante Funktion in Office 365 gesto\u00dfen. Offenbar gibt es innerhalb der REST-API ein undokumentiertes Subset <em>Activties<\/em>, \u00fcber das man wesentlich feiner als \u00fcber den Office 365 <a href=\"https:\/\/support.office.com\/en-us\/article\/Search-the-audit-log-in-the-Office-365-Security-Compliance-Center-0d4d0f35-390b-4518-800e-0c7ec95e946c\" target=\"_blank\">Unified Audit Log<\/a> herausfinden kann, was mit einem Postfach getan wurde. <\/p>\n<ul>\n<li>Die entdeckte Funktion besteht aus einer Web-API, die Exchange Web Services (EWS) verwendet, um Office 365 Outlook-Postfachaktivit\u00e4ten abzurufen.  <\/li>\n<li>Auf die API kann jeder zugreifen, der den API-Endpunkt und einen bestimmten HTTP-Header kennt (und sich als Administrator authentifizieren kann, siehe <a href=\"https:\/\/www.heise.de\/forum\/heise-online\/News-Kommentare\/Office-365-Undokumentierte-Funktion-ermoeglicht-Nutzer-Ueberwachung\/Zur-Nutzung-Vollzugriff-noetig\/posting-32640358\/show\/\" target=\"_blank\">diesen Kommentar<\/a>).  <\/li>\n<li>Die Aktivit\u00e4ten werden f\u00fcr alle Benutzer erfasst und bis zu sechs Monate aufbewahrt.  <\/li>\n<li>Es gibt viele Aktivit\u00e4tsarten, darunter Logins, Nachrichtenlieferungen, Nachrichtenlesungen und Mailbox-Suchen.  <\/li>\n<li>Es ist m\u00f6glich, Mailbox-Aktivit\u00e4ten f\u00fcr bestimmte Zeitr\u00e4ume und Leistungsarten zu erfassen. <\/li>\n<\/ul>\n<p>Bei Microsoft Office 365 scheint diese Funktion aber niemals offen gelegt worden zu sein. CrowdStrike hat die Details im Blog-Beitrag <a href=\"https:\/\/www.crowdstrike.com\/blog\/hiding-in-plain-sight-using-the-office-365-activities-api-to-investigate-business-email-compromises\/\" target=\"_blank\">Hiding in Plain Sight: Using the Office 365 Activities API to Investigate Business Email Compromises<\/a> ver\u00f6ffentlicht. Dort schreibt man, dass es auch einige Nachteile der API gibt. Aufgef\u00fchrt wird die offensichtliche Unf\u00e4higkeit, Aktivit\u00e4ten direkt mit Client-Sitzungen zu verkn\u00fcpfen. Trotzdem bietet die API immer noch gen\u00fcgend Details, um unter den meisten Umst\u00e4nden eine schnelle Identifizierung von Angreiferaktivit\u00e4ten zu erm\u00f6glichen. <\/p>\n<p>CrowdStrike hat zum Artikel ein Python-Modul ver\u00f6ffentlicht, das die grundlegende Funktionalit\u00e4t der Aktivit\u00e4ten-API umfasst. Bei heise.de finden sich in <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Office-365-Undokumentierte-Funktion-ermoeglicht-Nutzer-Ueberwachung-4098743.html\" target=\"_blank\">diesem Artikel<\/a> einige erg\u00e4nzende Informationen in deutscher Sprache. So hat Microsoft gegen\u00fcber heise.de die Existenz dieser API best\u00e4tigt, r\u00e4t aber von deren Benutzung ab. <\/p>\n<p>So interessant das Ganze f\u00fcr forensische Untersuchungen sein mag, die spannende Frage ist, ob das Ganze in deutschen Firmen einsetzbar ist. Denn \u00fcber die API k\u00f6nnten Aktivit\u00e4ten von Mitarbeitern \u00fcberwacht werden, so dass das Ganze nach meinem daf\u00fcrhalten mitbestimmungspflichtig wird. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Interessante Erkenntnis f\u00fcr Administratoren. In Microsoft Office 365 gibt es eine undokumentierte API, \u00fcber die Administratoren die Aktivit\u00e4ten von Outlook E-Mail-Konten auslesen k\u00f6nnen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,143],"tags":[823,215,4351],"class_list":["post-206336","post","type-post","status-publish","format-standard","hentry","category-office","category-tipps","tag-office-365","tag-outlook","tag-tipp"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/206336","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=206336"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/206336\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=206336"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=206336"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=206336"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}