Por Mid 
CoPhish: cómo se emplea Copilot Studio para la sustracción de tokens OAuth en dominios de Microsoft
Tiempo de lectura estimado: 5 minutos
Dificultad técnica: Alta
Conclusiones clave
- CoPhish utiliza Microsoft Copilot Studio para implementar ataques de phishing OAuth.
- El uso de URLs legítimas de Microsoft dificulta la detección del ataque.
- Los tokens OAuth robados permiten acceso a datos y servicios corporativos.
- Las políticas de consentimiento de aplicaciones deben reforzarse para prevenir estos ataques.
- La educación continua y el control riguroso son esenciales para mitigar riesgos.
Índice
- La técnica CoPhish
- Funcionamiento de CoPhish
- Riesgo Principal
- Dificultad para detectar el engaño
- Recomendaciones de seguridad
La técnica CoPhish
Investigadores han identificado una nueva técnica de phishing denominada ‘CoPhish’, que utiliza agentes de Microsoft Copilot Studio para robar tokens OAuth a través de dominios legítimos de Microsoft. Esta amenaza se caracteriza por el uso de URLs que generan confianza en las víctimas, lo que complica la detección del ataque. El desarrollo de plataformas automatizadas, como Microsoft Copilot Studio, ha facilitado la aparición de nuevas y poco documentadas amenazas.
Funcionamiento de CoPhish
La técnica CoPhish, revelada por Datadog Security Labs, muestra cómo las funcionalidades genuinas pueden ser explotadas para llevar a cabo ataques de phishing OAuth altamente efectivos, aprovechando la credibilidad que generan las plataformas oficiales. El funcionamiento de CoPhish se basa en el uso indebido de agentes personalizados de Copilot Studio, que pueden operar en dominios auténticos de Microsoft.
Los atacantes, a través de la función ‘demo website’, crean chatbots diseñados con temas manipulados para iniciar flujos de autenticación. Al vincular el botón de inicio de sesión del bot a una aplicación fraudulenta, el atacante puede recopilar el token de sesión mediante una redirección a un recurso que controlan, como, por ejemplo, una URL de Burp Collaborator. De esta forma, se obtiene el access token OAuth del usuario autenticado sin que este reciba ninguna advertencia, pues las acciones se llevan a cabo bajo la infraestructura de Microsoft, incluso utilizando direcciones IP legítimas.
Riesgo Principal
El riesgo principal radica en el robo de tokens OAuth, que otorgan a los atacantes acceso a servicios y datos corporativos como si fueran el usuario afectado. Este tipo de ataque se vuelve especialmente crítico cuando impacta a Administradores de Aplicaciones, quienes tienen la capacidad de conceder permisos a aplicaciones tanto internas como externas, lo que puede facilitar movimientos laterales y escaladas de privilegio en el entorno.
Dificultad para detectar el engaño
La dificultad para detectar el engaño se ve exacerbada por la utilización de URLs auténticas de Microsoft, dificultando la capacidad de supervisión y respuesta ante este tipo de incidentes. Por ello, Microsoft y Datadog sugieren reforzar las políticas de consentimiento de aplicaciones, restringir privilegios administrativos y deshabilitar la creación predeterminada de aplicaciones para usuarios. También es crucial monitorizar los eventos de consentimiento en Entra ID y la creación de agentes de Copilot Studio.
Recomendaciones de seguridad
De igual manera, establecer una gobernanza rigurosa y educación para la identificación de símbolos inusuales, como iconos poco comunes, puede ayudar a disminuir el riesgo. La complejidad de CoPhish subraya la necesidad de vigilancia continua sobre las integraciones y permisos en entornos en la nube. La implementación de controles de gobernanza, políticas restrictivas de consentimiento y formación continua resultan esenciales para mitigar vectores de phishing no convencionales que utilizan infraestructuras de confianza.
Referencias
- Blog de Datadog Security Labs
- Centro de Seguridad de Microsoft
- CISA (Cybersecurity and Infrastructure Security Agency)