Uma nova e perigosa técnica de phishing, batizada de 'CoPhish', está a transformar uma ferramenta legítima da Microsoft numa arma para hackers. O método utiliza agentes do Copilot Studio para criar pedidos fraudulentos de consentimento OAuth, alojados em domínios fidedignos da própria Microsoft, tornando o engano muito mais difícil de detetar.
A técnica foi descoberta e detalhada pelos investigadores da Datadog Security Labs, que alertaram para os riscos de segurança que a flexibilidade do Copilot Studio pode introduzir. Embora o ataque dependa de engenharia social, a Microsoft já confirmou que planeia corrigir as causas subjacentes numa futura atualização.
Como funciona o ataque CoPhish
O Copilot Studio permite que os utilizadores criem chatbots personalizados (agentes) que podem ser partilhados através de um "site de demonstração". O problema é que este site fica alojado num domínio legítimo da Microsoft (copilotstudio.microsoft.com), o que lhe confere um ar de autenticidade que pode facilmente iludir uma vítima.
Os atacantes criam um agente malicioso e personalizam o tópico de "Login". Em vez de um processo de autenticação normal, o botão de início de sessão é configurado para solicitar permissões OAuth para uma aplicação fraudulenta. Quando o utilizador clica, pensando estar a interagir com um serviço oficial, está na verdade a abrir a porta da sua conta ao atacante, que consegue roubar o token de sessão e sequestrá-la.
O perigo é particularmente elevado para administradores de sistemas, que possuem privilégios para aprovar permissões de aplicações internas ou externas, mesmo que não sejam verificadas, podendo comprometer toda a organização.
A resposta da Microsoft e como proteger-se
Um porta-voz da Microsoft afirmou que, embora a técnica dependa de engenharia social, a empresa está "empenhada em robustecer as experiências de governação e consentimento" e está a avaliar "salvaguardas adicionais para ajudar as organizações a prevenir o uso indevido".
Até que as correções sejam implementadas, tanto a Microsoft como a Datadog recomendam várias medidas de segurança para mitigar o risco:
Limitar privilégios administrativos: Reduza o número de utilizadores com permissões de administrador.
Políticas de consentimento de aplicações: Implemente uma política forte que restrinja quais as aplicações que podem ser autorizadas e por quem.
Desativar a criação de aplicações por utilizadores: Altere as definições padrão para impedir que utilizadores normais possam registar novas aplicações.
Monitorização ativa: Vigie de perto a criação de novos agentes no Copilot Studio e os eventos de consentimento de aplicações no Entra ID para detetar atividades suspeitas.
Um dos poucos indícios de que algo pode estar errado é o ícone da "Microsoft Power Platform" na página, um pormenor que facilmente passa despercebido à maioria dos utilizadores, tornando a vigilância e as políticas de segurança a principal linha de defesa contra esta nova ameaça.
Nenhum comentário
Seja o primeiro!