ระวัง! แฮกเกอร์ใช้ Copilot Studio หลอกขโมย OAuth Token ผ่านหน้าล็อกอินปลอม
นักวิจัยจาก Datadog Security Labs เตือนถึงเทคนิคใหม่ที่ชื่อว่า “CoPhish” ซึ่งใช้ Microsoft Copilot Studio agents เป็นเครื่องมือหลอกขโมย OAuth token จากผู้ใช้ โดยสร้างหน้าล็อกอินหรือหน้าขอสิทธิ์ที่ดูเหมือนจริงผ่านโดเมนของ Microsoft เอง ทำให้เหยื่อหลงเชื่อและอนุญาตการเข้าถึงข้อมูลสำคัญโดยไม่รู้ตัว
วิธีการโจมตีของ CoPhish
แฮกเกอร์สร้างหรือแชร์ agent ใน Copilot Studio ที่มีหน้าตาเหมือนระบบขอสิทธิ์ของ Microsoft Entra/OAuth
เมื่อเหยื่อคลิก “Login” หรือ “Consent” ระบบจะขอสิทธิ์เข้าถึงข้อมูล เช่น อีเมล, แชท, ปฏิทิน, ไฟล์ และระบบอัตโนมัติ
หากเหยื่ออนุญาต แฮกเกอร์จะได้รับ OAuth token ที่สามารถใช้เข้าถึงข้อมูลภายในองค์กรได้ทันที
โดเมนที่ใช้คือ copilotstudio.microsoft.com ซึ่งเป็นของจริง ทำให้ยากต่อการตรวจจับ
Microsoft ยืนยันว่าเป็นการโจมตีแบบ social engineering และกำลังดำเนินการปรับปรุงระบบเพื่อป้องกันการใช้งานในลักษณะนี้
ข้อมูลสำคัญจากข่าว
CoPhish เป็นเทคนิค phishing ที่ใช้ Copilot Studio agents หลอกขอสิทธิ์ OAuth
ใช้โดเมนจริงของ Microsoft ทำให้ดูน่าเชื่อถือ
หากเหยื่ออนุญาต แฮกเกอร์สามารถเข้าถึงข้อมูลสำคัญได้ทันที
Microsoft ยืนยันปัญหาและกำลังปรับปรุงระบบผ่านการอัปเดตในอนาคต
การโจมตีนี้เน้นการหลอกลวงผ่าน UI ที่ดูเหมือนจริง
วิธีลดความเสี่ยง
จำกัดการอนุญาตแอปจากบุคคลที่สาม (ต้องใช้ admin consent)
บังคับใช้ MFA และ conditional access
ตรวจสอบ agent ที่ถูกแชร์หรือเผยแพร่ใน Copilot Studio อย่างละเอียด
เฝ้าระวังการลงทะเบียนแอปใหม่และ token ที่ถูกอนุญาต
ยกเลิก token และแอปที่น่าสงสัยทันที
https://www.techradar.com/pro/security/experts-warn-microsoft-copilot-studio-agents-are-being-hijacked-to-steal-oauth-tokens
นักวิจัยจาก Datadog Security Labs เตือนถึงเทคนิคใหม่ที่ชื่อว่า “CoPhish” ซึ่งใช้ Microsoft Copilot Studio agents เป็นเครื่องมือหลอกขโมย OAuth token จากผู้ใช้ โดยสร้างหน้าล็อกอินหรือหน้าขอสิทธิ์ที่ดูเหมือนจริงผ่านโดเมนของ Microsoft เอง ทำให้เหยื่อหลงเชื่อและอนุญาตการเข้าถึงข้อมูลสำคัญโดยไม่รู้ตัว
วิธีการโจมตีของ CoPhish
แฮกเกอร์สร้างหรือแชร์ agent ใน Copilot Studio ที่มีหน้าตาเหมือนระบบขอสิทธิ์ของ Microsoft Entra/OAuth
เมื่อเหยื่อคลิก “Login” หรือ “Consent” ระบบจะขอสิทธิ์เข้าถึงข้อมูล เช่น อีเมล, แชท, ปฏิทิน, ไฟล์ และระบบอัตโนมัติ
หากเหยื่ออนุญาต แฮกเกอร์จะได้รับ OAuth token ที่สามารถใช้เข้าถึงข้อมูลภายในองค์กรได้ทันที
โดเมนที่ใช้คือ copilotstudio.microsoft.com ซึ่งเป็นของจริง ทำให้ยากต่อการตรวจจับ
Microsoft ยืนยันว่าเป็นการโจมตีแบบ social engineering และกำลังดำเนินการปรับปรุงระบบเพื่อป้องกันการใช้งานในลักษณะนี้
ข้อมูลสำคัญจากข่าว
CoPhish เป็นเทคนิค phishing ที่ใช้ Copilot Studio agents หลอกขอสิทธิ์ OAuth
ใช้โดเมนจริงของ Microsoft ทำให้ดูน่าเชื่อถือ
หากเหยื่ออนุญาต แฮกเกอร์สามารถเข้าถึงข้อมูลสำคัญได้ทันที
Microsoft ยืนยันปัญหาและกำลังปรับปรุงระบบผ่านการอัปเดตในอนาคต
การโจมตีนี้เน้นการหลอกลวงผ่าน UI ที่ดูเหมือนจริง
วิธีลดความเสี่ยง
จำกัดการอนุญาตแอปจากบุคคลที่สาม (ต้องใช้ admin consent)
บังคับใช้ MFA และ conditional access
ตรวจสอบ agent ที่ถูกแชร์หรือเผยแพร่ใน Copilot Studio อย่างละเอียด
เฝ้าระวังการลงทะเบียนแอปใหม่และ token ที่ถูกอนุญาต
ยกเลิก token และแอปที่น่าสงสัยทันที
https://www.techradar.com/pro/security/experts-warn-microsoft-copilot-studio-agents-are-being-hijacked-to-steal-oauth-tokens
🛡️🎭 ระวัง! แฮกเกอร์ใช้ Copilot Studio หลอกขโมย OAuth Token ผ่านหน้าล็อกอินปลอม
นักวิจัยจาก Datadog Security Labs เตือนถึงเทคนิคใหม่ที่ชื่อว่า “CoPhish” ซึ่งใช้ Microsoft Copilot Studio agents เป็นเครื่องมือหลอกขโมย OAuth token จากผู้ใช้ โดยสร้างหน้าล็อกอินหรือหน้าขอสิทธิ์ที่ดูเหมือนจริงผ่านโดเมนของ Microsoft เอง ทำให้เหยื่อหลงเชื่อและอนุญาตการเข้าถึงข้อมูลสำคัญโดยไม่รู้ตัว
🔍 วิธีการโจมตีของ CoPhish
💠 แฮกเกอร์สร้างหรือแชร์ agent ใน Copilot Studio ที่มีหน้าตาเหมือนระบบขอสิทธิ์ของ Microsoft Entra/OAuth
💠 เมื่อเหยื่อคลิก “Login” หรือ “Consent” ระบบจะขอสิทธิ์เข้าถึงข้อมูล เช่น อีเมล, แชท, ปฏิทิน, ไฟล์ และระบบอัตโนมัติ
💠 หากเหยื่ออนุญาต แฮกเกอร์จะได้รับ OAuth token ที่สามารถใช้เข้าถึงข้อมูลภายในองค์กรได้ทันที
💠 โดเมนที่ใช้คือ copilotstudio.microsoft.com ซึ่งเป็นของจริง ทำให้ยากต่อการตรวจจับ
Microsoft ยืนยันว่าเป็นการโจมตีแบบ social engineering และกำลังดำเนินการปรับปรุงระบบเพื่อป้องกันการใช้งานในลักษณะนี้
✅ ข้อมูลสำคัญจากข่าว
➡️ CoPhish เป็นเทคนิค phishing ที่ใช้ Copilot Studio agents หลอกขอสิทธิ์ OAuth
➡️ ใช้โดเมนจริงของ Microsoft ทำให้ดูน่าเชื่อถือ
➡️ หากเหยื่ออนุญาต แฮกเกอร์สามารถเข้าถึงข้อมูลสำคัญได้ทันที
➡️ Microsoft ยืนยันปัญหาและกำลังปรับปรุงระบบผ่านการอัปเดตในอนาคต
➡️ การโจมตีนี้เน้นการหลอกลวงผ่าน UI ที่ดูเหมือนจริง
✅ วิธีลดความเสี่ยง
➡️ จำกัดการอนุญาตแอปจากบุคคลที่สาม (ต้องใช้ admin consent)
➡️ บังคับใช้ MFA และ conditional access
➡️ ตรวจสอบ agent ที่ถูกแชร์หรือเผยแพร่ใน Copilot Studio อย่างละเอียด
➡️ เฝ้าระวังการลงทะเบียนแอปใหม่และ token ที่ถูกอนุญาต
➡️ ยกเลิก token และแอปที่น่าสงสัยทันที
https://www.techradar.com/pro/security/experts-warn-microsoft-copilot-studio-agents-are-being-hijacked-to-steal-oauth-tokens
0 Comments
0 Shares
14 Views
0 Reviews
Thai