Siber güvenlik dünyasında endişe yaratan yeni bir kimlik avı tekniği gündeme geldi. “CoPhish” adı verilen bu yöntem, Microsoft Copilot Studio üzerinde oluşturulan sohbet botlarını kötüye kullanarak kullanıcıların oturum belirteçlerini (OAuth token) çalabiliyor. Datadog Security Labs araştırmacıları, bu tekniğin Microsoft’un kendi alan adı üzerinden yürütülmesi nedeniyle özellikle tehlikeli olduğunu vurguladı.
Copilot Studio Esnekliği Saldırganların İşini Kolaylaştırdı
Araştırmaya göre saldırganlar, Copilot Studio platformunda yasal görünümlü sohbet botları geliştirip bunları “demo web sitesi” özelliğiyle paylaşabiliyor. Söz konusu siteler “copilotstudio.microsoft.com” alan adı altında barındırıldığı için kullanıcılar, sayfayı Microsoft’un resmî hizmetlerinden biri sanabiliyor. Böylece kimlik bilgilerini paylaşan kullanıcılar, farkında olmadan oturum belirteçlerini saldırganlara iletmiş oluyor.
Kötü amaçlı bir yazılımın, giriş ekranında (oturum açma) konu başlığını değiştirebildiği belirlendi.
Microsoft Copilot Studio, kullanıcıların görev odaklı sohbet botları oluşturmasına imkân tanıyan bir platform olarak tasarlanmıştı. Kullanıcılar bu sistemde “konu” adı verilen iş akışları hazırlayarak botların belirli komutlara yanıt vermesini sağlayabiliyor. Datadog araştırmacıları, sistemin bu esnek yapısının saldırganlar tarafından istismar edilebildiğini belirtiyor.
Oturum açma konusuna gerekli eylemlerin eklenmesi
Saldırganlar, botun oturum açma aşamasına müdahale ederek kullanıcıyı özel olarak hazırlanmış bir kimlik doğrulama sayfasına yönlendirebiliyor. Görünürde Microsoft’un standart oturum açma penceresiyle aynı yapıya sahip olan bu sahte sayfa, arka planda erişim belirtecini (token) saldırganın kontrolündeki sunucuya gönderiyor. Bu yöntemle kullanıcı farkında olmadan kurum ağına yetkisiz erişim sağlayan bir uygulamaya izin vermiş oluyor.
Microsoft tarafından barındırılan sayfa ve giriş düğmesi
Datadog raporunda, saldırganların özellikle yönetici yetkisine sahip kullanıcıları hedef aldığı ifade edildi. Yönetici hesapları üzerinden alınan erişim belirteçleri, e-posta, dosya ve sohbet servisleri gibi kritik hizmetlerin kontrol altına alınmasına yol açabiliyor. Microsoft, bu durumu doğrulayarak konuyla ilgili kapsamlı bir inceleme başlattığını açıkladı.
Microsoft sözcüsü konuyla ilgili yaptığı açıklamada “Bu raporu inceledik ve tespit edilen sorunu gidermek üzere ürün güncellemeleri hazırlıyoruz” dedi. Şirket, saldırıların sosyal mühendislik yöntemlerine dayandığını ancak kullanıcı izinlerini ve yönetişim süreçlerini güçlendirmek için yeni önlemler alınacağını belirtti.
Datadog Security Labs, kurumlara yönelik hazırladığı güvenlik rehberinde uygulama izin politikalarının gözden geçirilmesi gerektiğini vurguladı. Kurumların kullanıcı bazlı uygulama oluşturma yetkilerini sınırlandırması ve Copilot Studio üzerinde oluşturulan her yeni ajanı denetlemesi öneriliyor.
Cophish saldırı akış şeması
Ayrıca Entra ID üzerinden yapılan tüm uygulama izin onaylarının düzenli olarak incelenmesi, saldırı riskini önemli ölçüde azaltabilir. Uygulama oluşturma izinlerinin varsayılan olarak devre dışı bırakılması da kötü niyetli girişimlerin önüne geçmek için etkili bir adım olarak değerlendiriliyor.
Microsoft’un önümüzdeki günlerde Copilot Studio için güvenlik güncellemesi yayımlaması bekleniyor. Yeni düzenleme ile uygulama izinlerinin daha sıkı denetleneceği ve kullanıcıların onay süreçlerinde daha net bilgilendirileceği tahmin ediliyor.
Uzmanlar, kurumların bu tür saldırılara karşı yalnızca teknik önlemlerle değil farkındalık eğitimleriyle de kendilerini korumaları gerektiğini belirtiyor. Özellikle yönetici hesaplarının yetkilendirme süreçleri dikkatle izlenmeli, olağandışı istekler tespit edildiğinde hızla müdahale edilmelidir.
