Hogyan működik a CoPhish-támadás?
A Copilot Studio ügynökei eredetileg arra szolgálnak, hogy chatbotok automatizált feladatokat lássanak el a copilotstudio.microsoft.com oldalon, egyedi munkafolyamatok („témák”) szerint. Mivel ezek az ügynökök könnyen testre szabhatók, és a Microsoft legitim domainjén futnak, épp ez az ismertség segíti a támadót abban, hogy könnyebben becsapja a gyanútlan felhasználót.
A támadó például létrehoz egy olyan botot, amelyet kifejezetten úgy konfigurál, hogy amikor a felhasználó bejelentkezik, egy ártalmatlannak tűnő, ám valójában veszélyes alkalmazásnak adjon engedélyt. Ez az alkalmazás lehet akár a cégen kívül regisztrált, vagy belső környezetben is működhet, így adminisztrátori jogosultsággal rendelkező felhasználókat is célba vehet — még akkor is, ha maga a támadó nincs a szervezeti környezetben.
A támadás során a belépés gomb bármilyen rosszindulatú oldalra átirányíthat, nem csak az OAuth engedélyezési folyamatára. A végén a jogosulatlanul megszerzett munkamenet-tokeneket egy Burp Collaborator URL-re továbbítják, így a támadó teljes hozzáférést szerezhet.
Adminisztrátorok és felhasználók veszélyben
Különösen veszélyeztetettek az adminisztrátori szerepkört betöltők: ha egy admin tévedésből engedélyezi a rosszindulatú alkalmazást, a támadó azonnal hozzájut a teljes jogosultságot biztosító adatokhoz. Ráadásul a Microsoft Copilot Studio belső hitelesítési folyamatai miatt a böngészőben nem jelenik meg semmilyen figyelmeztető jel, és a token továbbítása is a Microsoft IP-címeiről történik, így a megtévesztés szinte észrevétlen marad.
Bár a Microsoft hamarosan szigorítja alapértelmezett beállításait — például korlátozza a OneNote olvasási/írási jogait —, a magasabb szintű (például admin) jogosultságok továbbra sincsenek teljes körű védelem alatt.
Milyen védekezési stratégiák léteznek?
Az első védelmi vonalat az jelenti, ha csökkentjük az adminisztratív jogosultságok számát, minimalizáljuk az alkalmazások által kért hozzáféréseket, és szigorúbb szabályokat vezetünk be. Ajánlott továbbá, hogy a szervezetek alapértelmezés szerint tiltsák a felhasználói alkalmazáslétrehozást, és folyamatosan figyeljék a Copilot Studio ügynökök aktivitását.
A Datadog biztonsági szakértői kiemelik: érdemes egyedi engedélyezési politikát bevezetni, amely lefedi a Microsoft alapértelmezett konfigurációjában esetlegesen jelentkező réseket is.
Jövőbeli kilátások és tanulságok
Fontos, hogy a Microsoft már dolgozik a kapcsolódó biztonsági hibák javításán, de a CoPhish-támadások ismét rámutattak: a megbízható külső felületek sem nyújtanak automatikus védelmet. Az adathalász módszerek egyre kifinomultabbak, ezért a felhasználók tudatosságán és a szervezeti kontrollon is sok múlik.
