Office 365 API kan email inzien
Beheerders in Office 365 kunnen of konden de acties van e-mailgebruikers lezen zo meldt Crowstrike. Eigenlijk is de bijbehorende geheime API voor beveiliging en forensische redenen geïntegreerd om hackaanvallen op te sporen. Hoewel het niet mogelijk is om teksten te lezen, maakt de analyse van de metadata de koers van communicatie begrijpelijk. Microsoft heeft het bestaan van de API bevestigd en heeft deze functie uitgeschakeld vanaf vrijdag 6 juni 2018. Er zijn echter nog steeds gegevensbronnen beschikbaar binnen Office 365 om zakelijke e-mailcompromissen (BEC's) te onderzoeken zo beweert Crowstrike.
Het beveiligingsbedrijf CrowdStrike heeft ontdekt dat Office 365-beheerders de activiteiten van gebruikers kunnen bespioneren. De mogelijkheid van Office 365 om Outlook-mailboxactiviteitslogboeken op te halen ver buiten de gedetailleerdheid van bestaande gedocumenteerde Office 365-logbestandsbronnen, zoals het Unified Audit Log, werd ontdekt tijdens een beveiligingsonderzoek.
Crowstrike meldt in zijn blog:
Zakelijke e-mailcompromissen (BEC's) vormen een groot probleem in een groot aantal sectoren. Vorige week nam de FBI deel aan een internationale BEC-terugtrekking en arresteerde 74 personen in de Verenigde Staten, Nigeria, Canada, Mauritius en Polen. In 2016 noemde het Internet Crime Complaint Centre (IC3) BEC "the $ 3.1 Billion Scam ", waarbij sommige voorspellende verliezen in 2009 de $ 9 miljard zouden overschrijden. In mei 2018 arresteerde de Ghanese politie-inlichtingeneenheid 42 Nigerianen en twee Ghanezen wegens het plegen van "cyber". fraude en diefstal "met betrekking tot BEC-activiteiten. Natuurlijk eindigt het overgrote deel van de BEC-incidenten niet in arrestaties en veroordelingen. In feite zijn de barrières voor vervolging grotendeels te wijten aan de ongebreidelde groei van BEC-misdaden.
In de loop van het onderzoekswerk van het CrowdStrike Services-team dat reageert op BEC-zaken, hebben we onlangs een mogelijkheid in Office 365 ontdekt die het ophalen van Outlook-mailboxactiviteitenlogboeken mogelijk maakt die de granulariteit van bestaande, gedocumenteerde Office 365-logbestanden, zoals als het Unified Audit Log . Deze mogelijkheid biedt toegang tot een altijd actief mailboxopnamesysteem dat standaard voor alle gebruikers actief is. Deze blog beschrijft CrowdStrike's kennis van en ervaring met deze opmerkelijke Office 365-logging-mogelijkheid.
Deze mogelijkheid bestaat uit een web-API die Exchange Web Services (EWS) gebruikt om Office 365 Outlook-postvakactiviteiten op te halen. De API is toegankelijk voor iedereen met kennis van het API-eindpunt en een specifieke HTTP-header. Activiteiten worden voor alle gebruikers vastgelegd en worden maximaal zes maanden bewaard. Er zijn veel soorten activiteiten, waaronder logins, leveringen van berichten, berichtmeldingen en zoekopdrachten in postvakken. Het is mogelijk om postvakactiviteiten te verwerven voor specifieke tijdreeksen en activiteitstypes. Er zijn ook enkele nadelen aan de API, zoals het schijnbare onvermogen om activiteiten direct te koppelen aan clientsessies. Desondanks biedt de API nog steeds voldoende details om een snelle identificatie van de activiteit van aanvallers mogelijk te maken, onder de meeste omstandigheden. (OPMERKING: in samenhang met dit artikel geeft CrowdStrike een aPython-module die de basisfunctionaliteit van de activiteiten-API omsluit. Zie het gedeelte Python-module hieronder voor meer informatie.)
Dreigingsactoren, zoals Nigeriaanse broederschappen , houden zich vaak aan gestandaardiseerde playbooks bij het binnendringen van zakelijke e-mail. De aanvankelijke toegangsroutes bestaan vaak uit phishing-e-mails die koppelingen bevatten naar webgebaseerde legitimatiegelddieven die voor slachtoffers verschijnen als legitieme Office 365-aanmeldingsformulieren, maar die soms gebruikmaken van keyloggers om inloggegevens vast te leggen. Deze bedreigingsactoren gebruiken de gestolen gegevens om in te loggen in de postvakken van de slachtoffers en beginnen met het verzamelen van informatie door zoekopdrachten uit te voeren en e-mails te lezen. De bedreigingsactoren identificeren key-executives en werknemers die betrokken zijn bij financiële transacties, zoals bankoverschrijvingen, en houden hun activiteiten in de gaten voor perioden van weken tot maanden.
Zodra de bedreigere zich op hun gemak voelen, voegen ze zich in e-mailconversaties om fraude te plegen. Ze starten vaak met het initiëren van aanvragen voor overboekingen, te beginnen met kleinere bedragen en hun weg omhoog. CrowdStrike heeft ongeoorloofde pogingen tot overboeking geobserveerd variërend van duizenden dollars tot bijna vijftien miljoen dollar. We hebben ook gezien dat deze bedreigingsactoren dezelfde toegang gebruiken om andere vormen van BEC-fraude uit te voeren, zoals het omleiden van payroll, het legen van 401k-accounts en het opruimen van medische spaarrekeningen. Zoals u zult zien, kunnen de technieken, tactieken en procedures (TTP's) die door deze bedreigingsactoren worden gebruikt, worden ontdekt door de gegevens te analyseren die worden geretourneerd door deze krachtige Office 365-API.
Toegang tot de API
Binnen de Outlook REST API is er een ongedocumenteerde API-subset bekend als Activiteiten. Deze API-subset is opgenomen in alle drie de versies (v1.0, v2.0 en bèta) van de Outlook REST API. Dit artikel richt zich primair op de v2.0-implementatie. Net als bij andere subsets moeten oproepen naar de activiteiten-API worden geverifieerd met behulp van een ondersteunde methode - OAuth 2.0 of basisverificatie. (Merk op dat Microsoft Basic Authentication niet langer zal ondersteunen in de Outlook REST API vanaf 1 november 2018.)
