Questa tecnica si basa su un uso improprio della piattaforma di Microsoft, concepita per creare agenti conversazionali personalizzati, trasformata però in uno strumento di attacco. I ricercatori di Datadog Security Labs hanno scoperto che i criminali informatici utilizzano Copilot Studio come “contenitore legittimo” per campagne di “OAuth consent phishing”, una tecnica che induce gli utenti a concedere, in modo inconsapevole, permessi a un’applicazione controllata dall’attaccante.
L’elemento che rende CoPhish particolarmente insidioso è la sua apparenza di legittimità, poiché tutto avviene all’interno di un dominio autentico Microsoft, “copilotstudio.microsoft.com”.
Gli aggressori creano agenti che imitano le interfacce dei chatbot di Copilot, inserendo pulsanti o schermate di login simili a quelle ufficiali e quando la vittima clicca su “Login” e autorizza l’app, viene attivato il normale flusso di autenticazione OAuth di Entra ID, che rilascia un token di accesso. Questo token, capace di aprire la strada a e-mail, file e dati aziendali, viene poi trasmesso in modo invisibile a un server remoto, camuffato da traffico proveniente dall’infrastruttura Microsoft.
Il pericolo non riguarda solo gli utenti comuni ma anche gli amministratori di sistema. Mentre i primi rischiano di concedere inconsapevolmente l’accesso a informazioni personali, come la posta elettronica o i documenti su OneNote, i secondi, dotati di privilegi elevati, possono autorizzare applicazioni che permettono agli attaccanti di ottenere accessi estesi e duraturi all’interno di intere organizzazioni.
Contrastare CoPhish richiede dunque un approccio coordinato e multilivello, per il quale risulta necessaria, da parte delle aziende, l’adozione di politiche di consenso più rigide, la limitazione della possibilità di registrare o approvare nuove applicazioni e la riduzione dei privilegi amministrativi al minimo indispensabile.
È inoltre altrettanto importante monitorare costantemente la creazione e la modifica degli agenti in Copilot Studio, rilevare richieste sospette di token e mantenere aggiornato l’inventario dei consensi attivi. Un ruolo centrale spetta infine alla formazione del personale, al fine di riconoscere segnali di attività anomale.
Il caso CoPhish mette in luce come strumenti progettati per semplificare il lavoro e migliorare la produttività possono, se mal gestiti, diventare veicoli di furto di identità digitali. Come ricordano i ricercatori di Datadog, le recenti modifiche di Microsoft alle politiche di consenso non eliminano del tutto il rischio: configurazioni errate, eccezioni e privilegi eccessivi restano varchi aperti che solo una governance attenta e una vigilanza costante possono chiudere.
S.B.
Diritto dell’informazione
“Diritto dell’informazione: la bussola per orientarsi tra notizie e giurisprudenza.”
Continua a seguirci!
