- CoPhish utiliza el agente Copilot Studio para suplantar tokens OAuth a través de flujos de inicio de sesión falsos
- Los atacantes explotan los dominios de Microsoft para parecer legítimos y acceder a datos confidenciales de los usuarios.
- La mitigación incluye restringir el consentimiento de las aplicaciones, implementar MFA y monitorear la actividad de OAuth.
Los investigadores de seguridad de Datadog Security Labs advierten sobre una nueva técnica de phishing para robar tokens OAuth de los agentes de Microsoft Copilot Studio y brindar a los atacantes acceso a información confidencial en correos electrónicos, chats, calendarios y más.
La táctica se llamó CoPhish y Microsoft confirmó que es una táctica de ingeniería social, admitiéndola y diciendo que funcionará para solucionarla.
Así es como funciona: un atacante es un agente de Copilot Studio (conocido como “sujeto”), cuya interfaz de usuario incluye un “inicio de sesión” o flujo de consentimiento. Si una víctima hace clic en el botón, el flujo solicitará permiso de Microsoft Entra/OAuth. Al aprobar la solicitud, la víctima básicamente entrega el token de OAuth al atacante, quien puede usarlo para acceder al correo, el chat, el calendario, los archivos y las capacidades de automatización del inquilino de la víctima.
Abordado a través de actualizaciones de productos
La táctica es particularmente peligrosa, enfatizó Datadog, porque los agentes utilizan dominios legítimos de Microsoft (copilotstudio.microsoft.com). Esto, junto con la interfaz de usuario del agente, puede convencer a la víctima de su autenticidad y bajar la guardia.
Microsoft reconoció el potencial de abuso y confirmó que trabajaría para solucionarlo: “Hemos investigado este informe y estamos tomando medidas para solucionarlo mediante futuras actualizaciones del producto”, dijo un portavoz.
“Si bien esta estrategia se basa en la ingeniería social, estamos comprometidos a reforzar nuestras prácticas de gobernanza y cumplimiento y estamos evaluando salvaguardas adicionales para ayudar a las organizaciones a prevenir abusos”.
Si le preocupa ser atacado de esta manera, existen medidas de mitigación inmediatas que pueden reducir el riesgo. Estos incluyen restringir el consentimiento de aplicaciones de terceros (requiere consentimiento del administrador), hacer cumplir el acceso condicional y MFA, bloquear (o revisar de cerca) los agentes publicados y compartidos de Copilot Studio, monitorear registros de aplicaciones inusuales y tokens OAuth otorgados, y revocar tokens y aplicaciones sospechosas.
a través de Computadora pitando
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
El mejor antivirus para todos los bolsillos
