В Office 365 Outlook обнаружены скрытые API для логирования активности

Олег Иванов 02 Июля 2018 - 11:58

...

В Office 365 Outlook обнаружены скрытые API для логирования активности

Слухи о встроенных в Office 365 возможностях скрытой записи активности пользователей недавно подтвердились. О скрытых API стало известно благодаря отчету, который опубликовали исследователи CrowdSrtike.

Так называемые Activities API корпорация Microsoft внедрила в помощь цифровой криминалистики, предполагается, что они помогут расследовать взломы корпоративной почты и другие утечки данных.

Скрытые API отвечают за ведение подробного логирования активности пользователя за шесть месяцев. Причем отключение журналирования никак не повлияет на работу этой функции.

Со стороны внедрение таких скрытых возможностей смахивает на типичные приемы спецслужб, однако такая связь пока не доказана. На данный момент непонятно, кто именно имел доступ к Activities API, есть основания полагать, что некоторые компании, специализирующиеся на цифровой криминалистике, знали о наличии этого инструмента в Office 365.

Специалисты окрестили скрытые возможности Office 365 Magic Unicorn («Волшебный единорог»). Эксперты даже создали специальный инструмент для парсинга логов, собранных Activities API — он получил имя Magic-Unicorn-Tool и доступен на GitHub.

Как описывают исследователи в своем отчете, API получает информацию об активности Office 365 Outlook через Exchange Web Services (EWS). Доступ к нему может получить любой, кто знает конечную точку и специфический HTTP-заголовок.

CrowdStrike перечислила 30 видов логируемых активностей (однако на деле их может быть куда больше):

Delete: удаление письма
Forward: перенаправление письма
LinkClicked: нажатие на ссылку в письме
MarkAsRead: сообщение помечено как прочтённое
MarkAsUnread: сообщение помечено как непрочтённое
MessageDelivered: письмо доставлено в почтовый ящик
MessageSent: письмо отправлено из почтового ящика
Move: письмо перенесено
OpenedAnAttachment: открыто приложение
ReadingPaneDisplayEnd: отмена выделения для письма в панели просмотра
ReadingPaneDisplayStart: выбор выделения для письма в панели просмотра
Reply: ответ на письмо
SearchResult: генерация результатов поиска
ServerLogon: событие авторизации

Следующая главная новость »

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 04 Февраля 2026 - 19:49

Windows Домашние пользователи Корпорации Microsoft

Microsoft встраивает Sysmon прямо в Windows 11, пока для бета-тестеров

Microsoft начала постепенно включать встроенную поддержку Sysmon в Windows 11, пока только для части пользователей программы Windows Insider. О планах интегрировать Sysmon напрямую в Windows компания рассказывала ещё в ноябре, а теперь первые элементы этой функциональности добрались до тестовых сборок.

Речь идёт о нативной реализации System Monitor — известного инструмента из набора Sysinternals, который давно используется ИБ-специалистами и администраторами для мониторинга подозрительной активности в системе.

Sysmon умеет отслеживать базовые события вроде запуска и завершения процессов, а при дополнительной настройке — фиксировать создание исполняемых файлов, попытки подмены процессов, изменения в буфере обмена и другие нетривиальные действия. Все события пишутся в журнал Windows Event Log и могут использоваться системами безопасности и SIEM-решениями.

До сих пор Sysmon приходилось устанавливать вручную на каждую машину, что заметно усложняло его использование в крупных инфраструктурах. Теперь Microsoft решила встроить этот механизм прямо в ОС.

«Windows теперь нативно включает функциональность Sysmon. Она позволяет собирать системные события для задач детектирования угроз и использовать собственные конфигурации для фильтрации нужных данных», — сообщили в команде Windows Insider.

При этом встроенный Sysmon по умолчанию отключён. Чтобы им воспользоваться, функцию нужно явно включить в настройках Windows или через PowerShell. Важно учитывать, что если Sysmon ранее устанавливался вручную, его придётся удалить перед активацией встроенной версии.

Новая возможность уже доступна участникам Windows Insider в каналах Beta и Dev, которые установили сборки Windows 11 Preview Build 26220.7752 и 26300.7733 соответственно.

В Microsoft подчёркивают, что события Sysmon по-прежнему пишутся в стандартный журнал Windows, поэтому их можно использовать в существующих цепочках мониторинга и реагирования.

Напомним, что в прошлом месяце компания также начала тестировать отдельную политику, позволяющую администраторам полностью удалять ИИ-ассистента Copilot с управляемых устройств.

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »