Teknik Phishing Baru “CoPhish” Manfaatkan Microsoft Copilot Studio untuk Mencuri Token OAuth
Peneliti keamanan dari Datadog Security Labs menemukan teknik serangan phishing baru bernama “CoPhish”, yang memanfaatkan Microsoft Copilot Studio untuk mengelabui pengguna dan mencuri token OAuth melalui situs resmi Microsoft.
Serangan ini memanfaatkan fleksibilitas sistem pembuatan chatbot di Copilot Studio, yang memungkinkan penyerang membuat agen chatbot berbahaya yang tampak sah dan mengirim permintaan otorisasi OAuth palsu kepada korban melalui domain terpercaya copilotstudio.microsoft.com.
Bagaimana CoPhish Bekerja
Menurut laporan Datadog, CoPhish berawal dari penyerang yang membuat aplikasi multi-tenant berbahaya di Copilot Studio. Agen ini dikonfigurasi untuk menggunakan fitur “Login topic” — topik bawaan yang digunakan chatbot Copilot untuk mengautentikasi pengguna saat memulai percakapan.
Namun, alih-alih menjalankan autentikasi normal, tombol Login diarahkan ke aplikasi jahat yang telah dikonfigurasi oleh penyerang.
- Aplikasi tersebut dapat bersifat internal maupun eksternal terhadap lingkungan target.
- Saat korban mengklik tombol login dan memberikan izin OAuth, token sesi mereka dikirim secara diam-diam ke server milik penyerang melalui permintaan HTTP khusus.
- Penyerang kemudian dapat menggunakan token ini untuk mengambil alih sesi pengguna, termasuk akun dengan hak administratif.
Karena proses autentikasi dilakukan di domain resmi Microsoft, halaman login tampak sepenuhnya sah. Bahkan, alamat pengalihan seperti token.botframework.com adalah bagian dari proses autentikasi Copilot Studio yang valid, sehingga kecil kemungkinan korban curiga.
Target dan Dampak Serangan
Teknik CoPhish sangat berbahaya bagi pengguna dengan peran administratif di tenant Microsoft 365 atau Entra ID (Azure AD). Admin dapat memberikan izin akses ke aplikasi internal atau eksternal tanpa verifikasi penerbit, sehingga penyerang dapat memperoleh akses ke sumber daya penting, termasuk:
- data email, chat, dan kalender,
- aplikasi Microsoft 365,
- serta token yang memungkinkan kontrol penuh atas integrasi API organisasi.
Meskipun Microsoft telah berencana memperbarui kebijakan default untuk membatasi akses tertentu (misalnya hanya pada OneNote), Datadog memperingatkan bahwa akun dengan hak tinggi tetap rentan, terutama bagi Application Administrator yang masih dapat menyetujui aplikasi eksternal.
Respon dari Microsoft
Dalam tanggapannya kepada BleepingComputer, Microsoft menyatakan:
“Kami telah menyelidiki laporan ini dan akan mengambil tindakan melalui pembaruan produk di masa mendatang. Kami tetap berkomitmen memperkuat keamanan otorisasi dan pengalaman persetujuan aplikasi.”
Microsoft juga menegaskan bahwa serangan ini mengandalkan rekayasa sosial (social engineering), dan mendorong organisasi untuk memperketat kebijakan persetujuan aplikasi serta membatasi hak administratif pengguna.
Langkah Mitigasi yang Disarankan
Datadog dan Microsoft menyarankan beberapa langkah untuk melindungi organisasi dari serangan CoPhish:
- 🔒 Batasi hak admin tenant dan gunakan least privilege access.
- 🧩 Nonaktifkan pembuatan aplikasi pengguna secara default di Entra ID.
- 🕵️ Terapkan kebijakan persetujuan aplikasi yang ketat, mencakup semua aplikasi internal dan eksternal.
- 📊 Pantau log aktivitas terkait pembuatan agen Copilot Studio dan persetujuan aplikasi OAuth.
- 🧠 Edukasi pengguna dan admin agar lebih waspada terhadap permintaan otorisasi yang tidak biasa meski berasal dari domain resmi Microsoft.
Teknik CoPhish menjadi contoh terbaru bagaimana pelaku ancaman terus mengeksploitasi layanan cloud sah untuk serangan phishing, mempertegas pentingnya governance dan kontrol otorisasi aplikasi di lingkungan perusahaan modern.
Sumber: Datadog Security Labs
