Μια νέα τεχνική ηλεκτρονικού “ψαρέματος” που ονομάζεται “CoPhish” οπλίζει τους πράκτορες του Microsoft Copilot Studio για να παρέχουν δόλια αιτήματα συναίνεσης OAuth μέσω νόμιμων και αξιόπιστων τομέων της Microsoft.
Η τεχνική αναπτύχθηκε από ερευνητές στο Datadog Security Labs, οι οποίοι προειδοποίησαν σε μια αναφορά νωρίτερα αυτή την εβδομάδα ότι η ευελιξία του Copilot Studio εισάγει νέους, μη τεκμηριωμένους κινδύνους phishing.
Αν και το CoPhish βασίζεται στην κοινωνική μηχανική, η Microsoft επιβεβαίωσε στο BleepingComputer ότι σχεδιάζει να διορθώσει τις υποκείμενες αιτίες σε μια μελλοντική ενημέρωση.
“Ερευνήσαμε αυτήν την αναφορά και λαμβάνουμε μέτρα για να την αντιμετωπίσουμε μέσω μελλοντικών ενημερώσεων προϊόντων”, δήλωσε εκπρόσωπος της Microsoft στο BleepingComputer.
“Ενώ αυτή η τεχνική βασίζεται στην κοινωνική μηχανική, παραμένουμε δεσμευμένοι να σκληρύνουμε τις εμπειρίες διακυβέρνησης και συναίνεσης και αξιολογούμε πρόσθετες διασφαλίσεις για να βοηθήσουμε τους οργανισμούς να αποτρέψουν την κακή χρήση.”
Αντιπρόσωποι Copilot και phishing του OAuth
Οι πράκτορες του Copilot Studio είναι chatbot που φιλοξενούνται σε copilotstudio.microsoft.com που οι χρήστες μπορούν να δημιουργήσουν και να προσαρμόσουν μέσα από “θέματα”, τα οποία είναι ροές εργασίας που αυτοματοποιούν συγκεκριμένες εργασίες.
Οι πράκτορες μπορούν να κοινοποιηθούν στον τομέα της Microsoft, ενεργοποιώντας τη δυνατότητα “ιστότοπος επίδειξης”. Επειδή η διεύθυνση URL είναι νόμιμη, είναι πιο εύκολο για έναν χρήστη να παραμελήσει το κόλπο και να συνδεθεί.
Το θέμα Σύνδεση, το οποίο επαληθεύει την ταυτότητα του χρήστη κατά την έναρξη μιας συνομιλίας με το chatbot, μπορεί να διαμορφωθεί για συγκεκριμένες ενέργειες, όπως η αίτηση ενός κωδικού επαλήθευσης ή η ανακατεύθυνση σε άλλη τοποθεσία ή υπηρεσία.
πηγή: Datadog
Η Katie Knowles, ανώτερη ερευνήτρια ασφαλείας στο Datadog, λέει ότι ένας εισβολέας μπορεί να προσαρμόσει το κουμπί Είσοδος με μια κακόβουλη εφαρμογή που μπορεί να είναι “εσωτερική ή εξωτερική στο περιβάλλον στόχο” και θα μπορούσε να στοχεύσει έναν διαχειριστή εφαρμογής ακόμη και αν δεν έχει πρόσβαση στο περιβάλλον.
Η στόχευση ενός μη προνομιούχου χρήστη στον ενοικιαστή είναι επί του παρόντος δυνατή εάν ο παράγοντας απειλής είναι ήδη παρών στο περιβάλλον. Ωστόσο, όταν αλλάξει η προεπιλεγμένη πολιτική της Microsoft, η επίθεση θα περιορίζεται μόνο στα δικαιώματα ανάγνωσης/εγγραφής του OneNote και θα κλείνει το κενό για υπηρεσίες ηλεκτρονικού ταχυδρομείου, συνομιλίας και ημερολογίου.
Ο Knowles λέει ότι ακόμη και μετά την ενημέρωση της Microsoft, είναι ακόμα δυνατό για έναν εξωτερικό εισβολέα να “στοχεύσει έναν Διαχειριστή εφαρμογών με μια εξωτερικά καταχωρημένη εφαρμογή”, επειδή οι αλλαγές δεν ισχύουν για ρόλους υψηλού προνομίου.
Οι χρήστες με δικαιώματα διαχειριστή στον μισθωτή μπορούν να εγκρίνουν δικαιώματα που ζητούνται από εσωτερικές ή εξωτερικές εφαρμογές, ακόμη και αν δεν έχουν επαληθευτεί (π.χ. έχουν επισημανθεί ότι δεν δημοσιεύονται από τη Microsoft ή τον οργανισμό τους).
Ο ερευνητής του Datadog λέει ότι μια επίθεση CoPhish ξεκινά με τον παράγοντα απειλής που δημιουργεί μια κακόβουλη εφαρμογή πολλαπλών ενοικιαστών με το θέμα σύνδεσης ρυθμισμένο ώστε να κατευθύνεται στον πάροχο ελέγχου ταυτότητας και να συλλέγει το διακριτικό περιόδου λειτουργίας.
Η λήψη του διακριτικού περιόδου σύνδεσης είναι δυνατή διαμορφώνοντας ένα αίτημα HTTP σε μια διεύθυνση URL συνεργατών Burp και παραδίδοντας τη μεταβλητή διακριτικού πρόσβασης σε μια κεφαλίδα “token”.
Πηγή: Datadog
“Το αναγνωριστικό εφαρμογής (ή το αναγνωριστικό πελάτη), το μυστικό και οι διευθύνσεις URL παρόχου ελέγχου ταυτότητας χρησιμοποιούνται για τη διαμόρφωση των ρυθμίσεων σύνδεσης του πράκτορα”, λέει ο Knowles σε μια έκθεση αυτή την εβδομάδα.
Θα πρέπει να σημειωθεί ότι η ενέργεια ανακατεύθυνσης όταν ο χρήστης-θύμα κάνει κλικ στο κουμπί Είσοδος μπορεί να ρυθμιστεί ώστε να ανακατευθύνει σε οποιαδήποτε κακόβουλη διεύθυνση URL και η διεύθυνση URL ροής εργασίας συναίνεσης εφαρμογής είναι μόνο μία δυνατότητα για τον εισβολέα.
Επίθεση CoPhish στους διαχειριστές
Αφού ενεργοποιήσει τον ιστότοπο επίδειξης του κακόβουλου παράγοντα, ένας εισβολέας μπορεί να τον διανείμει σε στόχους σε καμπάνιες ηλεκτρονικού “ψαρέματος” ή μέσω μηνυμάτων ομάδας.
Δεδομένου ότι η διεύθυνση URL είναι νόμιμη και ο σχεδιασμός της σελίδας, οι χρήστες μπορεί να πιστεύουν ότι είναι απλώς μια άλλη υπηρεσία Microsoft Copilot. Ο Knowles λέει ότι μια ένδειξη που θα μπορούσε να προκαλέσει υποψίες είναι το εικονίδιο “Microsoft Power Platform”, το οποίο είναι εύκολο να χάσετε.
Πηγή: Datadog
Ένας διαχειριστής που παραβιάζει το κόλπο και αποδέχεται τις άδειες της κακόβουλης εφαρμογής, μεταφέρεται στη διεύθυνση URL ανακατεύθυνσης OAuth [token.botframework.com] για να επικυρώσετε τη σύνδεση bot.
“Αυτό μπορεί να φαίνεται άτυπο, αλλά είναι ένα τυπικό μέρος της διαδικασίας ελέγχου ταυτότητας του Copilot Studio χρησιμοποιώντας έναν έγκυρο τομέα”, λένε οι ερευνητές του Datadog.
Μετά την ολοκλήρωση της διαδικασίας ελέγχου ταυτότητας, ο χρήστης δεν θα λάβει καμία ειδοποίηση σχετικά με το διακριτικό περιόδου σύνδεσης που προωθήθηκε στο Burp Collaborator και την παραβίαση της συνεδρίας του, αλλά θα μπορεί να συνομιλήσει με τον πράκτορα.
Επιπλέον, επειδή το διακριτικό στάλθηκε από το Copilot χρησιμοποιώντας τις διευθύνσεις IP της Microsoft, η σύνδεση με τον εισβολέα δεν θα εμφανίζεται στην κίνηση ιστού του χρήστη.
Ακολουθεί μια οπτική επισκόπηση του τρόπου λειτουργίας της επίθεσης CoPhish και των βημάτων από την πρόσβαση του χρήστη θύματος στην κακόβουλη εφαρμογή έως τον εισβολέα που λαμβάνει το διακριτικό.
.jpg)
Πηγή: Datadog
Η Microsoft είπε στο BleepingComputer ότι οι πελάτες μπορούν να προστατεύονται από επιθέσεις CoPhish περιορίζοντας τα δικαιώματα διαχειριστή, μειώνοντας τα δικαιώματα εφαρμογών και επιβάλλοντας πολιτικές διακυβέρνησης.
Το Datadog παρέχει ένα σύνολο παραμέτρων ασφαλείας που περιλαμβάνουν την εφαρμογή μιας ισχυρής πολιτικής συναίνεσης εφαρμογών που θα κάλυπτε τυχόν κενά στην προεπιλεγμένη βασική διαμόρφωση της Microsoft.
Η εταιρεία παρακολούθησης και ασφάλειας cloud συμβουλεύει επίσης τους οργανισμούς να απενεργοποιήσουν τις προεπιλογές δημιουργίας εφαρμογών χρήστη και να παρακολουθούν στενά τη συναίνεση της εφαρμογής μέσω συμβάντων δημιουργίας πρακτόρων Entra ID και Copilot Studio.
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
