Hogyan működik a CoPhish-támadás?
A Copilot Studio lehetőséget ad egyéni chatbotok létrehozására, amelyek akár automatizált munkafolyamatokat is kezelnek. Ezek az agentek megoszthatók a Microsoft domainjén keresztül, a felhasználók pedig könnyen eshetnek áldozatul, hiszen a hivatkozás és a felület ismerősnek és megbízhatónak tűnik.
Fontos elem, hogy a bejelentkezési folyamat testreszabható: akár olyan műveletekre is beállítható, mint egy ellenőrzőkód bekérése vagy egy új oldalra irányítás. Ha egy támadó rosszindulatú alkalmazást rendel a bejelentkezéshez, azzal már támadhatóvá válik akár a környezet adminisztrátora is – még akkor is, ha a támadónak nincs rendszerszintű hozzáférése.
Nem elhanyagolható tényező, hogy a támadó látókörébe került felhasználót (akit a környezetbe már bejutott támadó céloz) jelenleg viszonylag könnyű elérni. Noha a Microsoft hamarosan módosítja az alapértelmezett beállításokat, ez csak részben zárja le a kiskapukat: a nagyobb jogosultságokkal rendelkező adminisztrátorok továbbra is sérülékenyek.
Így lopják el a tokeneket
A CoPhish-támadás lényege, hogy a rosszindulatú agent egy többlépcsős, több bérlőt kiszolgáló (multi-tenant) alkalmazást használ. A bejelentkezési folyamat során a munkamenet-token egy speciális HTTP-kéréssel – akár egy Burp Collaborator-címre – továbbítható, ahol a támadó már hozzáférhet hozzá.
A támadó az alkalmazásazonosítót, a titkos kulcsot és az hitelesítési szolgáltató URL-jét konfigurálja, majd elindítja az agent demóverzióját. Ezután e-mailben vagy Teams-üzenetben küldi el a hitelesnek tűnő Microsoft-hivatkozást. Mivel a link valóban a Microsoft oldalára mutat, a felhasználó – különösen egy adminisztrátor – könnyen bedőlhet. Egyedül egy apró részlet, például a Microsoft Power Platform ikon jelenléte utalhat a gyanús működésre, ezt azonban kevesen veszik észre.
Miután az áldozat elfogadja az adathalász alkalmazás jogosultságait, a folyamat átirányít az OAuth engedélyezési oldalra, és a munkamenet-token – minden értesítés nélkül – eljut a támadóhoz. Mindezt ráadásul a Microsoft IP-címeiről bonyolítják le, így a gyanú legkisebb jele nélkül, a felhasználó saját webforgalmában nyoma sincs a jogosulatlan adattovábbításnak.
Mit tehetnek a szervezetek?
Összességében elmondható, hogy a CoPhish-támadás rámutat: a vállalatoknak érdemes erősen korlátozniuk az adminisztrátori jogosultságokat, minimalizálniuk az alkalmazások engedélyeit, és szigorítaniuk a jóváhagyási szabályokat. A Datadog szakértői külön javasolják, hogy kapcsolják ki az alapértelmezett új alkalmazáslétrehozási lehetőségeket, valamint folyamatosan monitorozzák az Entra ID és a Copilot Studio eseményeit, hogy időben kiszűrhessék a gyanús próbálkozásokat. Az ilyen támadások gyors terjedése és fejlettsége miatt nem elhanyagolható szempont, hogy a legjobb védelem az elővigyázatosság és a naprakész biztonsági protokoll.
