데이터독 보안 연구소의 연구자들은 'CoPhish'라는 새로운 피싱 기법을 개발하였습니다. 이 기법은 마이크로소프트의 Copilot Studio 에이전트를 악용하여, 신뢰할 수 있는 마이크로소프트 도메인을 통해 사기성 OAuth 동의 요청을 전달합니다. 이 기법은 사회 공학에 의존하지만, 마이크로소프트는 이를 해결하기 위한 계획을 세우고 있습니다. Copilot Studio 에이전트는 사용자가 특정 작업을 자동화하는 '토픽'을 통해 생성하고 커스터마이즈할 수 있는 챗봇입니다. 이 에이전트는 '데모 웹사이트' 기능을 활성화하여 마이크로소프트 도메인에서 공유될 수 있습니다.
데이터독의 시니어 보안 연구원인 케이티 노울스는 공격자가 로그인 버튼을 악의적인 애플리케이션으로 커스터마이즈할 수 있으며, 이는 대상 환경 내부 또는 외부에 있을 수 있다고 말했습니다. 그러나 마이크로소프트의 기본 정책이 변경되면, 공격은 OneNote 읽기/쓰기 권한에만 제한되며 이메일, 채팅, 캘린더 서비스에 대한 간극을 막을 것입니다. 노울스는 마이크로소프트의 업데이트 이후에도 외부 공격자가 '외부로 등록된 애플리케이션을 가진 애플리케이션 관리자를 대상으로 할 수 있다'고 말했습니다.
CoPhish 공격은 위협 요소가 악의적인 다중 테넌트 앱을 생성하고, 인증 제공자로 이동하도록 로그인 토픽을 설정하고 세션 토큰을 수집하는 것으로 시작됩니다. 세션 토큰을 얻는 것은 HTTP 요청을 Burp Collaborator URL로 설정하고 '토큰' 헤더에 액세스 토큰 변수를 전달함으로써 가능합니다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.