Nauja sukčiavimo technika, pavadinta „CoPhish“, įgalina „Microsoft Copilot Studio“ agentus pateikti nesąžiningas „OAuth“ sutikimo užklausas per teisėtus ir patikimus „Microsoft“ domenus.
Šią techniką sukūrė „Datadog Security Labs“ mokslininkai, kurie anksčiau šią savaitę paskelbtoje ataskaitoje perspėjo, kad „Copilot Studio“ lankstumas kelia naujų, nedokumentuotų sukčiavimo pavojų.
Nors „CoPhish“ remiasi socialine inžinerija, „Microsoft“ patvirtino „BleepingComputer“, kad būsimame atnaujinime planuoja pašalinti pagrindines priežastis.
„Ištyrėme šią ataskaitą ir imamės veiksmų, kad ją išspręstume atnaujindami gaminius“, – „BleepingComputer“ sakė „Microsoft“ atstovas.
„Nors ši technika remiasi socialine inžinerija, mes ir toliau esame įsipareigoję sustiprinti savo valdymo ir sutikimo patirtį ir vertiname papildomas apsaugos priemones, kurios padėtų organizacijoms užkirsti kelią piktnaudžiavimui.
Antrojo piloto agentai ir OAuth sukčiavimas
„Copilot Studio“ agentai yra pokalbių robotai, priglobti copilotstudio.microsoft.com kurias vartotojai gali kurti ir tinkinti naudodami „temas“, kurios yra darbo eigos, automatizuojančios konkrečias užduotis.
Agentai gali būti bendrinami „Microsoft“ domene, įjungus „demo svetainės“ funkciją. Kadangi URL yra teisėtas, vartotojui lengviau apsigauti ir prisijungti.
Prisijungimo temą, kuri autentifikuoja vartotoją, kai pradeda pokalbį su pokalbių robotu, galima sukonfigūruoti atlikti konkrečius veiksmus, pvz., prašyti patvirtinimo kodo arba nukreipti į kitą vietą ar paslaugą.
šaltinis: Datadog
Katie Knowles, vyresnioji „Datadog“ saugos tyrėja, teigia, kad užpuolikas gali pritaikyti prisijungimo mygtuką naudodamas kenkėjišką programą, kuri gali būti „vidinė arba išorinė tikslinėje aplinkoje“ ir gali būti nukreipta į programos administratorių, net ir neturi prieigos prie aplinkos.
Nukreipti į neprivilegijuotą nuomininko naudotoją šiuo metu galima, jei grėsmės veikėjas jau yra aplinkoje. Tačiau pasikeitus numatytajai „Microsoft“ strategijai, ataka bus apribota tik „OneNote“ skaitymo / rašymo leidimais ir panaikintų el. pašto, pokalbių ir kalendoriaus paslaugų spragą.
Knowlesas teigia, kad net ir po „Microsoft“ atnaujinimo išorinis užpuolikas vis dar gali „nukreipti į programos administratorių iš išorės registruotos programos“, nes pakeitimai netaikomi aukštų privilegijų vaidmenims.
Nuomotojo administratoriaus teises turintys vartotojai gali patvirtinti vidinių ar išorinių programų prašomus leidimus, net jei jie nėra patvirtinti (pvz., yra pažymėti kaip nepaskelbti Microsoft ar jų organizacijos).
„Datadog“ tyrėjas teigia, kad „CoPhish“ ataka prasideda grėsmės veikėjui sukuriant kenkėjišką kelių nuomininkų programą, kurios prisijungimo tema sukonfigūruota taip, kad būtų nukreipta į autentifikavimo teikėją ir surinktų seanso prieigos raktą.
Gauti seanso prieigos raktą galima sukonfigūravus HTTP užklausą „Burp“ bendradarbio URL ir pateikus prieigos prieigos rakto kintamąjį „žetono“ antraštėje.
Šaltinis: Datadog
„Programos ID (arba kliento ID), slaptasis ir autentifikavimo teikėjo URL yra naudojami agento prisijungimo nustatymams konfigūruoti“, – šią savaitę pranešime sako Knowles.
Reikėtų pažymėti, kad peradresavimo veiksmas, kai nukentėjusysis vartotojas spusteli mygtuką Prisijungti, gali būti sukonfigūruotas taip, kad nukreiptų į bet kokį kenkėjišką URL, o programos sutikimo darbo eigos URL yra tik viena galimybė užpuolikui.
„CoPhish“ ataka prieš administratorius
Suaktyvinęs kenkėjiško agento demonstracinę svetainę, užpuolikas gali platinti ją tikslams el. pašto sukčiavimo kampanijose arba komandos pranešimais.
Kadangi URL yra teisėtas ir puslapio dizainas, vartotojai gali manyti, kad tai tik dar viena „Microsoft Copilot“ paslauga. Knowlesas teigia, kad vienas įtarimų gali sukelti „Microsoft Power Platform“ piktograma, kurią lengva nepastebėti.
Šaltinis: Datadog
Administratorius, patyręs triuką ir sutinkantis su kenkėjiškos programos leidimais, nukreipiamas į OAuth peradresavimo URL (token.botframework.com), kad patvirtintų roboto ryšį.
„Tai gali atrodyti netipiška, tačiau tai yra standartinė Copilot Studio autentifikavimo proceso dalis, naudojant galiojantį domeną“, – teigia „Datadog“ tyrėjai.
Baigęs autentifikavimo procesą, vartotojas negaus jokio pranešimo apie jo seanso prieigos rakto persiuntimą „Burp“ bendradarbiui ir seanso užgrobimą, bet galės kalbėtis su agentu.
Be to, kadangi prieigos raktas buvo išsiųstas iš „Copilot“ naudojant „Microsoft“ IP adresus, ryšys su užpuoliku nebus rodomas vartotojo žiniatinklio sraute.
Toliau pateikiama vaizdinė CoPhish atakos veikimo apžvalga ir veiksmai nuo nukentėjusio naudotojo, pasiekiančio kenkėjišką programą, iki užpuoliko, gaunančio prieigos raktą.
.jpg)
Šaltinis: Datadog
„Microsoft“ pranešė „BleepingComputer“, kad klientai gali apsisaugoti nuo „CoPhish“ atakų apribodami administravimo teises, sumažindami programų leidimus ir vykdydami valdymo politiką.
„Datadog“ pateikia saugumo sumetimų rinkinį, įskaitant griežtos programos sutikimo politikos įgyvendinimą, kuri apimtų visas „Microsoft“ numatytosios bazinės konfigūracijos spragas.
Debesų stebėjimo ir saugos įmonė taip pat pataria organizacijoms išjungti numatytuosius vartotojų programų kūrimo nustatymus ir atidžiai stebėti programos sutikimą naudojant „Entra ID“ ir „Copilot Studio“ agento kūrimo įvykius.
46 % aplinkų slaptažodžiai buvo nulaužti, beveik dvigubai daugiau nei 25 % praėjusiais metais.
Gaukite „Picus Blue Report 2025“ dabar, kad išsamiai apžvelgtumėte daugiau išvadų apie prevencijos, aptikimo ir duomenų išfiltravimo tendencijas.
