Новата CoPhish кибернапад техника краде OAuth токени преку Copilot Studio агенти

Нова фишинг техника наречена „CoPhish“ ги злоупотребува агенти од Microsoft Copilot Studio за испраќање лажни OAuth барања за согласност преку легитимни и доверливи домени на Microsoft.
Техниката е развиена од истражувачите на Datadog Security Labs, кои предупредија во извештај оваа недела дека флексибилноста на Copilot Studio носи нови, непријавени фишинг ризици.

Иако CoPhish се потпира на социјален инженеринг, Microsoft потврди за BleepingComputer дека планира да ги поправи основните причини во идно ажурирање.

„Го истраживме овој извештај и преземаме мерки за решавање на проблемот преку идни ажурирања на производот,“ изјави портпарол на Microsoft за BleepingComputer.
„Иако оваа техника се потпира на социјален инженеринг, остануваме посветени на зајакнување на нашите системи за управување и согласност, и разгледуваме дополнителни мерки за заштита што ќе им помогнат на организациите да спречат злоупотреба.“

Copilot агенти и OAuth фишинг

Copilot Studio агентите се чат-ботови кои се хостирани на copilotstudio.microsoft.com, и корисниците можат да ги создаваат и прилагодуваат преку т.н. „теми“ (topics) – работни процеси што автоматизираат одредени задачи.

Агентите може да се споделат на Microsoft доменот со вклучување на функцијата „demo website“.
Бидејќи URL-то изгледа легитимно, корисниците полесно се заведуваат и се најавуваат.

„Login“ темата, која го автентицира корисникот при започнување разговор со чат-ботот, може да се конфигурира да извршува специфични дејства – како барање верификациски код или пренасочување кон друга локација или сервис.

Кејти Ноулс, старша истражувачка за безбедност во Datadog, вели дека напаѓач може да го прилагоди копчето Login со злонамерна апликација која може да биде „внатрешна или надворешна на целното опкружување“, и може да го таргетира администраторот на апликацијата дури и ако тој/таа нема пристап до опкружувањето.

Таргетирање на корисник без привилегии во тенантот е моментално можно ако актерот на заканата веќе присуствува во опкружувањето. Сепак, кога Microsoft ќе ја промени својата подразбана политика, нападот ќе се ограничи само на OneNote дозволи за читање/запишување и ќе го затвори овој јаз за услуги како е-пошта, чет и календар.

Ноулс вели дека дури и по ажурирањето на Microsoft, сè уште е можно надворешен напаѓач да „таргетира Администратор на апликации со надворешно регистрирана апликација“, бидејќи промените не се применуваат на улоги со високи привилегии.

Корисници со администраторски привилегии во тенантот можат да одобрaт дозволи кои ги бараат внатрешни или надворешни апликации, дури и ако тие не се верификувани (на пр. означени како непубликувани од Microsoft или од нивната организација).

Истражувачката од Datadog вели дека CoPhish нападот започнува со тоа што напаѓачот создава злонамерна мулти-тенант апликација со конфигурирана тема за најавување која го упатува корисникот кон провајдерот за автентикација и собира сесиониот токен.

Добиeњето на сесиониот токен е можно со конфигурирање на HTTP барање до URL на Burp Collaborator и испраќање на променливата за пристапниот токен во заглавие наречено „token“.

ID-то на апликацијата (или client ID), тајната и URL-адресите на провајдерот за автентикација се користат за да се конфигурираат поставките за најавување на агентот“, вели Ноулс во извештај оваа недела.

Треба да се напомене дека акцијата за пренасочување кога погодениот корисник ќе кликне на копчето „Login“ може да се конфигурира да пренасочува кон која било злонамерна URL-адреса, а URL-адресата за работниот тек на согласноста на апликацијата е само една од можностите за напаѓачот.

CoPhish напад на администратори

Откако ќе ја активира демонстративната веб-страница на злонамерниот агент, напаѓачот може да ја дистрибуира до целните лица преку е-пошта во фишинг-кампањи или преку пораки во Teams.

Бидејќи URL-адресата е легитимна и изгледот на страницата наликува на вистинска услуга, корисниците може да помислат дека тоа е само уште една Microsoft Copilot услуга. Ноулс вели дека еден показател што може да предизвика сомнеж е иконата „Microsoft Power Platform“, која е лесно да се пропушти.“

Ако еден администратор падне на трикот и ги прифати дозволите на злонамерната апликација, тој/таа ќе биде пренасочен(а) на OAuth redirect URL-то [token.botframework.com] за да се верифицира врската на ботовите.

Ова може да изгледа нетипично, но е стандардна постапка во процесот на автентикација на Copilot Studio користејќи валиден домен“, велат истражувачите од Datadog.

Откако ќе заврши процесот на автентикација, корисникот нема да добие никаква известување дека нивниот сесијски токен бил пренасочен кон Burp Collaborator и дека нивната сесија била „покрадена“, но сепак ќе може да комуницира со агентот.

Дополнително, бидејќи токенот бил испратен од Copilot користејќи ги IP-адресите на Microsoft, поврзувањето со напаѓачот нема да биде видливо во веб-трафикот на корисникот.

Подолу е визуелен преглед на тоа како функционира CoPhish нападот и чекорите — од пристапувањето на погодениот корисник до злонамерната апликација до примањето на токенот од страна на напаѓачот.“

Microsoft изјави за BleepingComputer дека корисниците можат да се заштитат од CoPhish напади со ограничување на административните привилегии, намалување на дозволите на апликациите и спроведување на политики за управување.

Datadog обезбедува сет на безбедносни препораки кои вклучуваат имплементација на силна политика за согласност на апликации, со што би се покриле сите празнини во основната конфигурација на Microsoft.

Компанијата за мониторинг и безбедност на облак-сервиси исто така им советува на организациите да ја оневозможат стандардната можност за корисници да креираат апликации и внимателно да го следат процесот на согласност на апликации преку Entra ID и настаните за креирање на агенти во Copilot Studio.

Извори:

• Bleeping Computer  – „New CoPhish attack steals OAuth tokens via Copilot Studio agents“ .Bleeping Computer