‘CoPhish’ olarak adlandırılan yeni bir kimlik avı tekniği, Microsoft Copilot Studio aracılarını meşru ve güvenilir Microsoft etki alanları aracılığıyla sahte OAuth izin istekleri iletmek üzere silah haline getiriyor.
Bu teknik, Datadog Security Labs’taki araştırmacılar tarafından geliştirildi ve bu hafta başında bir raporda Copilot Studio’nun esnekliğinin yeni, belgelenmemiş kimlik avı riskleri getirdiği konusunda uyarıda bulunuldu.
CoPhish sosyal mühendisliğe dayanmasına rağmen Microsoft, BleepingComputer’a gelecekteki bir güncellemede altta yatan nedenleri düzeltmeyi planladığını doğruladı.
Bir Microsoft sözcüsü BleepingComputer’a “Bu raporu araştırdık ve gelecekteki ürün güncellemeleriyle sorunu çözmek için harekete geçiyoruz” dedi.
“Bu teknik sosyal mühendisliğe dayansa da, yönetişim ve izin deneyimlerimizi güçlendirmeye kararlıyız ve kuruluşların kötüye kullanımı önlemesine yardımcı olacak ek önlemleri değerlendiriyoruz.”
Yardımcı pilot aracıları ve OAuth kimlik avı
Copilot Studio aracıları, üzerinde barındırılan sohbet robotlarıdır. copilotstudio.microsoft.com kullanıcıların belirli görevleri otomatikleştiren iş akışları olan “konular” aracılığıyla oluşturup özelleştirebilecekleri.
Aracılar, “demo web sitesi” özelliği etkinleştirilerek Microsoft’un etki alanında paylaşılabilir. URL yasal olduğundan, kullanıcının hileye kanması ve oturum açması daha kolaydır.
Sohbet robotuyla görüşme başlatırken kullanıcının kimliğini doğrulayan Oturum Açma konusu, doğrulama kodu istemek veya başka bir konuma veya hizmete yönlendirmek gibi belirli eylemler için yapılandırılabilir.
kaynak: Datadog
Datadog’un kıdemli güvenlik araştırmacısı Katie Knowles, bir saldırganın Giriş düğmesini “hedef ortamın içinde veya dışında” olabilecek kötü amaçlı bir uygulamayla özelleştirebileceğini ve ortama erişimi olmasa bile bir uygulama yöneticisini hedef alabileceğini söylüyor.
Kiracıda ayrıcalığı olmayan bir kullanıcıyı hedeflemek, tehdit aktörünün ortamda zaten mevcut olması durumunda şu anda mümkündür. Ancak Microsoft’un varsayılan ilkesi değiştiğinde saldırı yalnızca OneNote okuma/yazma izinleriyle sınırlı kalacak ve e-posta, sohbet ve takvim hizmetlerine yönelik açığı kapatacaktır.
Knowles, Microsoft’un güncellemesinden sonra bile harici bir saldırganın “harici olarak kayıtlı bir uygulamaya sahip bir Uygulama Yöneticisini hedeflemesinin” mümkün olduğunu, çünkü değişikliklerin yüksek ayrıcalıklı roller için geçerli olmadığını söylüyor.
Kiracıda yönetici ayrıcalıklarına sahip kullanıcılar, doğrulanmamış olsalar (örneğin Microsoft veya kuruluşları tarafından yayınlanmıyor olarak işaretlenmiş olsalar bile) dahili veya harici uygulamalar tarafından talep edilen izinleri onaylayabilirler.
Datadog araştırmacısı, bir CoPhish saldırısının, tehdit aktörünün, oturum açma konusunun kimlik doğrulama sağlayıcısına yönlendirilecek ve oturum belirtecini toplayacak şekilde yapılandırılmış, kötü amaçlı, çok kiracılı bir uygulama oluşturmasıyla başladığını söylüyor.
Oturum belirtecini almak, Burp Collaborator URL’sine bir HTTP isteği yapılandırarak ve erişim belirteci değişkenini bir “belirteç” başlığında teslim ederek mümkündür.
Kaynak: Datadog
Knowles bu haftaki bir raporda, “Uygulama kimliği (veya istemci kimliği), sır ve kimlik doğrulama sağlayıcı URL’leri, aracının oturum açma ayarlarını yapılandırmak için kullanılıyor” diyor.
Kurban kullanıcı Giriş düğmesine tıkladığında yapılan yönlendirme eyleminin herhangi bir kötü amaçlı URL’ye yönlendirme yapacak şekilde yapılandırılabileceği ve uygulama izin iş akışı URL’sinin saldırgan için yalnızca bir olasılık olduğu unutulmamalıdır.
Yöneticilere CoPhish saldırısı
Saldırgan, kötü amaçlı aracının demo web sitesini etkinleştirdikten sonra, bunu e-posta kimlik avı kampanyalarındaki veya Ekip mesajları üzerindeki hedeflere dağıtabilir.
URL yasal olduğundan ve sayfanın tasarımından dolayı kullanıcılar bunun yalnızca bir Microsoft Copilot hizmeti olduğunu düşünebilirler. Knowles, şüphe uyandırabilecek bir ipucunun “Microsoft Power Platform” simgesi olduğunu ve bunun gözden kaçırılması kolay olduğunu söylüyor.
Kaynak: Datadog
Bu oyuna kanan ve kötü amaçlı uygulamanın izinlerini kabul eden bir yönetici, OAuth yönlendirme URL’sine yönlendirilir [token.botframework.com] Bot bağlantısını doğrulamak için.
Datadog araştırmacıları, “Bu alışılmadık görünebilir, ancak geçerli bir alan adı kullanan Copilot Studio kimlik doğrulama sürecinin standart bir parçasıdır” diyor.
Kimlik doğrulama sürecini tamamladıktan sonra kullanıcı, oturum belirtecinin Burp Collaborator’a iletildiği ve oturumunun ele geçirildiği konusunda herhangi bir bildirim almayacaktır ancak temsilciyle sohbet edebilecektir.
Ayrıca token, Microsoft’un IP adresleri kullanılarak Copilot’tan gönderildiğinden, saldırganla olan bağlantı kullanıcının web trafiğinde gösterilmeyecektir.
Aşağıda CoPhish saldırısının nasıl çalıştığına ve kurban kullanıcının kötü amaçlı uygulamaya erişmesinden saldırganın jetonu almasına kadar geçen adımlara ilişkin görsel bir genel bakış yer almaktadır.
.jpg)
Kaynak: Datadog
Microsoft, BleepingComputer’a müşterilerin yönetici ayrıcalıklarını sınırlayarak, uygulama izinlerini azaltarak ve yönetişim ilkelerini uygulayarak CoPhish saldırılarına karşı koruma sağlayabileceğini söyledi.
Datadog, Microsoft’un varsayılan temel yapılandırmasındaki tüm boşlukları kapatacak güçlü bir uygulama izin ilkesinin uygulanmasını da içeren bir dizi güvenlik hususu sağlar.
Bulut izleme ve güvenlik şirketi ayrıca kuruluşlara, kullanıcı uygulaması oluşturma varsayılanlarını devre dışı bırakmalarını ve Entra ID ve Copilot Studio aracı oluşturma etkinlikleri aracılığıyla uygulama onayını yakından izlemelerini tavsiye ediyor.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.