Un nou atac de phishing, denumit ‘CoPhish’, folosește agenți Microsoft Copilot Studio pentru a livra cereri frauduloase de consimțământ OAuth prin domenii Microsoft legitime și de încredere.
Tehnica a fost dezvoltată de cercetătorii de la Datadog Security Labs, care au avertizat într-un raport săptămâna aceasta că flexibilitatea Copilot Studio introduce noi riscuri de phishing nedocumentate.
Deși CoPhish se bazează pe inginerie socială, Microsoft a confirmat pentru BleepingComputer că are în plan să remedieze cauzele subiacente printr-o actualizare viitoare.
‘Am investigat acest raport și luăm măsuri pentru a-l aborda prin viitoarele actualizări de produs,’ a declarat un purtător de cuvânt al Microsoft pentru BleepingComputer.
‘Deși această tehnică se bazează pe inginerie socială, rămânem angajați în consolidarea guvernanței noastre și a experiențelor de consimțământ și evaluăm măsuri suplimentare pentru a ajuta organizațiile să prevină abuzurile.’
Agenții Copilot Studio sunt chatbot-uri găzduite pe copilotstudio.microsoft.com pe care utilizatorii le pot crea și personaliza prin ‘teme’, care sunt fluxuri de lucru care automatizează anumite sarcini.
Agenții pot fi partajați pe domeniul Microsoft prin activarea funcției ‘website demo’. Deoarece URL-ul este unul legitim, este mai ușor pentru un utilizator să cadă în capcană și să se autentifice.
Tema de autentificare, care autentifică utilizatorul la începerea unei conversații cu chatbot-ul, poate fi configurată pentru acțiuni specifice, cum ar fi solicitarea unui cod de verificare sau redirecționarea către o altă locație sau serviciu.
Katie Knowles, cercetător de securitate senior la Datadog, spune că un atacator poate personaliza butonul de autentificare cu o aplicație malițioasă care poate fi ‘fie internă, fie externă mediului țintă’ și ar putea viza un administrator de aplicații chiar dacă nu au acces la mediu.
Targetarea unui utilizator fără privilegii în chiriaș este posibilă în prezent dacă actorul amenințării este deja prezent în mediu. Cu toate acestea, când politica implicită a Microsoft se schimbă, atacul ar fi limitat doar la permisiunile de citire/scriere OneNote și ar închide decalajul pentru serviciile de e-mail, chat și calendar.
Knowles spune că chiar și după actualizarea Microsoft, este încă posibil ca un atacator extern să ‘vizeze un Administrator de aplicații cu o aplicație înregistrată extern’, deoarece modificările nu se aplică rolurilor cu privilegii ridicate.
Utilizatorii cu privilegii de administrator în chiriaș pot aproba permisiunile solicitate de aplicațiile interne sau externe, chiar dacă acestea nu sunt verificate (de exemplu, sunt marcate ca neavând publicare de către Microsoft sau organizația lor).
Cercetătorul Datadog spune că un atac CoPhish începe cu amenințarea actorului creând o aplicație malițioasă multi-tenant cu tema de autentificare configurată pentru a redirecționa către furnizorul de autentificare și pentru a colecta token-ul de sesiune.
Obținerea token-ului de sesiune este posibilă prin configurarea unei cereri HTTP către un URL Burp Collaborator și livrarea variabilei de acces token într-un antet ‘token’.
‘ID-ul aplicației (sau ID-ul clientului), secretul și URL-urile furnizorului de autentificare sunt folosite pentru a configura setările de autentificare ale agentului,’ spune Knowles într-un raport săptămâna aceasta.
Este de remarcat că acțiunea de redirecționare atunci când utilizatorul victimă face clic pe butonul de autentificare poate fi configurată pentru a redirecționa către orice URL malițios, iar URL-ul fluxului de lucru al consimțământului aplicației este doar o posibilitate pentru atacator.
După activarea website-ului demo al agentului malițios, un atacator îl poate distribui către ținte în campanii de phishing prin e-mail sau peste mesaje de echipă.
Deoarece URL-ul este legitim și designul paginii, utilizatorii pot crede că este doar un alt serviciu Microsoft Copilot. Knowles spune că un indiciu care ar putea ridica suspiciuni este iconița ‘Microsoft Power Platform’, care este ușor de ratat.
Un administrator care pică în capcană și acceptă permisiunile aplicației malițioase, este redirecționat către URL-ul de redirecționare OAuth [token.botframework.com] pentru a valida conexiunea botului.
‘Acest lucru poate părea atipic, dar face parte din procesul standard de autentificare Copilot Studio folosind un domeniu valid,’ spune cercetătorul Datadog.
După finalizarea procesului de autentificare, utilizatorul nu va primi nicio notificare cu privire la faptul că token-ul lor de sesiune a fost trimis către Burp Collaborator și sesiunea lor a fost preluată, dar ei vor putea conversa cu agentul.
Mai mult, deoarece token-ul a fost trimis de la Copilot folosind adresele IP Microsoft, conexiunea la atacator nu va apărea în traficul web al utilizatorului.
Mai jos este o prezentare vizuală a modului în care funcționează atacul CoPhish și pașii de la utilizatorul victimă care accesează aplicația malițioasă la atacatorul care primește token-ul.
Microsoft a declarat pentru BleepingComputer că clienții se pot proteja împotriva atacurilor CoPhish prin limitarea privilegiilor administrative, reducerea permisiunilor aplicațiilor și impunerea politicilor de guvernanță.
Datadog oferă un set de considerații de securitate care includ implementarea unei politici puternice de consimțământ pentru aplicații, care ar acoperi orice lacune în configurația de bază implicită a Microsoft.
Compania de monitorizare a norilor și de securitate sfătuiește, de asemenea, organizațiile să dezactiveze setările implicite de creare a aplicațiilor pentru utilizatori și să monitorizeze îndeaproape consimțământul aplicațiilor prin evenimentele de creare Entra ID și agenți Copilot Studio.
Leave a Reply