Connect with us

Hi, what are you looking for?

Notebookspec

IT NEWS

CoPhish ฟิชชิ่งยุคใหม่! ใช้ Copilot Studio ของ Microsoft หลอกขอสิทธิ์ OAuth จากผู้ดูแลระบบ

CoPhish Copilot Studio

CoPhish คืออะไร ทำไมถึงอันตราย

นักวิจัยจาก Datadog Security Labs ได้ค้นพบการโจมตีฟิชชิ่งรูปแบบใหม่ที่เรียกว่า “CoPhish” ซึ่งอาศัยช่องทางของ Microsoft Copilot Studio เพื่อหลอกผู้ใช้ให้กด “อนุญาตการเข้าถึง” (OAuth consent) แก่แอปที่ผู้โจมตีสร้างขึ้นเอง

ความน่ากลัวของ CoPhish คือ มันไม่ต้องแฮกระบบหรือเจาะช่องโหว่ใด ๆ แต่ใช้ “ความน่าเชื่อถือของโดเมน Microsoft เอง” มาทำให้เหยื่อหลงเชื่อว่ากำลังเข้าสู่ระบบจริง

Advertisement

วิธีที่แฮกเกอร์ใช้ Copilot Studio ในการหลอก

Copilot Studio เป็นบริการที่ให้ผู้ใช้สร้าง “agent” หรือแชตบ็อตสำหรับองค์กรได้ โดยแต่ละ agent จะมีหน้า “demo website” บนโดเมน copilotstudio.microsoft.com ซึ่งถือเป็นโดเมนทางการของ Microsoft

ผู้โจมตีจึงใช้ฟีเจอร์นี้สร้าง agent ปลอมขึ้นมา และใส่ปุ่ม “Login” ที่ดูเหมือนการเข้าสู่ระบบปกติของ Microsoft แต่ในความจริง เบื้องหลังได้เชื่อมกับ แอป OAuth ที่ผู้โจมตีสร้างเอง

เมื่อเหยื่อกดเข้าสู่ระบบและอนุญาตสิทธิ์ แอปนั้นก็จะได้รับ access token หรือ session token ที่สามารถใช้เข้าถึงข้อมูลต่าง ๆ ได้ เช่น อีเมล, ไฟล์, OneNote หรือแม้แต่สิทธิ์ของผู้ดูแลระบบ

เนื่องจากทุกอย่างอยู่บนโดเมน Microsoft จริง — ไม่ว่าจะเป็นหน้าเว็บ หรือ IP ต้นทาง — ผู้ใช้จึงแทบไม่รู้เลยว่ากำลังถูกหลอก

The Microsoft-hosted page and Login button
เครดิตภาพ: Datadog

เป้าหมายหลักคือผู้ดูแลระบบ (Admin)

นักวิจัยของ Datadog ระบุว่า CoPhish อาจสร้างความเสียหายร้ายแรงที่สุดเมื่อเหยื่อคือ Application Administrator หรือ Admin ของ Microsoft Entra ID (ชื่อใหม่ของ Azure AD)

เพราะ Admin มีสิทธิ์อนุญาตให้แอปเข้าถึงข้อมูลระดับองค์กรได้ แม้แอปนั้นจะไม่ใช่ของ Microsoft ก็ตาม
เมื่อ Admin เผลอกดยินยอม ผู้โจมตีจะสามารถใช้ token ที่ได้ไปเข้าถึงบริการต่าง ๆ ขององค์กรได้ในทันที เช่น Outlook, Teams หรือ SharePoint


ขั้นตอนการโจมตีของ CoPhish

  1. ผู้โจมตีสร้างแอป OAuth ปลอม ในระบบ Entra ID และตั้งให้เป็นแอปหลาย tenant
  2. สร้าง Copilot agent ใน Copilot Studio และเปิด demo website
  3. ตั้งค่า Login topic ให้เชื่อมไปยัง แอป OAuth ปลอม
  4. ส่งลิงก์ ไปยังเหยื่อผ่าน อีเมลหรือ Teams พร้อมข้อความชวนให้กดเข้าสู่ระบบ
  5. เมื่อเหยื่อ (โดยเฉพาะ Admin) คลิกอนุญาต access token จะถูกส่งกลับไปยังผู้โจมตีทันที

หลังจากนั้น ผู้โจมตีสามารถใช้ token นี้เพื่อเข้าถึงบริการขององค์กรได้อย่างแนบเนียน โดยไม่มีการแจ้งเตือนใด ๆ แก่ผู้ใช้

Cophish attack flow diagram
เครดิตภาพ: Datadog

ทำไมการโจมตีนี้ถึงตรวจจับยาก

  • ลิงก์อยู่บนโดเมน Microsoft จริง (copilotstudio.microsoft.com)
  • การสื่อสารทั้งหมดเกิดจาก IP ของ Microsoft จึงไม่ถูกมองว่าเป็นกิจกรรมผิดปกติ
  • หน้าเว็บมีหน้าตาเหมือนบริการจริงของ Copilot Studio
  • ไม่มีแจ้งเตือนใด ๆ ว่ามีการส่งต่อ token ออกนอกระบบ

Microsoft ยืนยันเตรียมแก้ไข

Microsoft ได้ตอบกลับไปยัง BleepingComputer ว่า

“เราได้รับรายงานเรื่องนี้แล้วและกำลังดำเนินการแก้ไขในอัปเดตเวอร์ชันถัดไป เพื่อเพิ่มความปลอดภัยให้กับระบบ Copilot Studio และกระบวนการ OAuth consent”

พร้อมย้ำว่า แม้การโจมตีนี้อาศัยการหลอกลวงเหยื่อ (social engineering) เป็นหลัก แต่บริษัทกำลังพัฒนากลไกเพิ่มเติมเพื่อป้องกันไม่ให้แอปที่ไม่ผ่านการตรวจสอบเข้าถึงข้อมูลได้ง่าย


คำแนะนำจาก Datadog สำหรับองค์กร

Datadog แนะนำให้องค์กรที่ใช้ Microsoft 365 หรือ Entra ID ดำเนินการดังนี้

  1. จำกัดสิทธิ์ Admin เฉพาะคนที่จำเป็น เพื่อลดโอกาสที่ Admin จะถูกหลอก
  2. ตั้งนโยบาย Application Consent ที่เข้มงวด ห้ามผู้ใช้ทั่วไปกดยินยอมแอปเอง
  3. ปิดการสร้างแอปโดยผู้ใช้ (User App Registration) เพื่อลดความเสี่ยงจากแอปที่ไม่ผ่านการตรวจสอบ
  4. ตรวจสอบ Audit Log ของ Entra ID เพื่อดูเหตุการณ์ยินยอมแอปหรือการสร้าง Copilot agent ผิดปกติ
  5. อบรมพนักงานให้รู้จักเทคนิค ฟิชชิ่งแบบใหม่ ที่อาจแฝงอยู่ในบริการของ Microsoft เอง

บทสรุป

การโจมตีแบบ CoPhish เป็นตัวอย่างของภัยฟิชชิ่งยุคใหม่ที่อาศัย “ระบบถูกต้องตามกฎหมาย” เป็นช่องทางหลอกเหยื่อ ซึ่งยากต่อการตรวจจับโดยเครื่องมือความปลอดภัยทั่วไป

ในยุคที่องค์กรจำนวนมากเริ่มใช้ AI Agent และ Copilot จาก Microsoft จึงจำเป็นอย่างยิ่งที่จะต้อง “ไม่ไว้ใจลิงก์ แม้จะมาจากโดเมนจริง” และต้องตั้งนโยบายควบคุม OAuth ให้เข้มงวดที่สุด

ที่มา: bleepingcomputer

Click to comment
Advertisement

บทความน่าสนใจ

รีวิว MSI

MSI Stealth 16 AI+ B3WI เกมมิ่งโน้ตบุ๊คในคราบโน้ตบุ๊คทำงานสุดเรียบหรู พลัง Intel Core Ultra 9 386H จับคู่ NVIDIA GeForce RTX 5080 แรงหายห่วงและได้ฟีเจอร์จัดเต็ม! แม้ว่ารูปลักษณ์ภายนอกของ MSI Stealth 16 AI+ B3WI...

PR-News

ครบครันทั้งประสิทธิภาพ ความคล่องตัว และศักยภาพสำหรับการทำงานยุคAI กรุงเทพฯ 1 กรกฎาคม 2569 – ไมโครซอฟท์ ประกาศวางจำหน่าย Surface Pro และ Surface Laptop เจเนอเรชันล่าสุดในไทยอย่างเป็นทางการ ทรงพลังด้วยชิปประมวลผล Snapdragon® X2 สุดล้ำที่ออกแบบมาเพื่อมอบสมรรถนะสูงสุด ความยืดหยุ่นในการใช้งาน และการประมวลผล AI ในตัวเครื่องได้อย่างต่อเนื่อง พลิกโฉมการใช้งานคอมพิวเตอร์ส่วนบุคคล...

PR-News

ไมโครซอฟท์ (ประเทศไทย) แนะนำ 10 โน้ตบุ๊กและ AI PC ที่รองรับมาตรฐาน Copilot+ PC เพื่อยกระดับประสบการณ์ AI บน Windows 11 ได้อย่างเต็มรูปแบบ โดยรวบรวมอุปกรณ์รุ่นเด่นจากแบรนด์ชั้นนำ ได้แก่ Microsoft Surface, ASUS, Acer, HP, Lenovo...

IT NEWS

NVIDIA เดินหน้าผลักดันเทคโนโลยีด้านภาพและเฟรมเรตของฝั่ง GeForce ต่อเนื่อง โดยรอบนี้ประเด็นสำคัญอยู่ที่ DLSS 4.5 ซึ่งจะเพิ่มโหมด Multi Frame Generation 6X หรือ MFG 6X เข้ามา พร้อมกับฟีเจอร์ใหม่อย่าง Dynamic Multi Frame Generation ที่ออกแบบมาเพื่อช่วยให้เกมรักษาเฟรมเรตเป้าหมายได้ฉลาดขึ้นระหว่างเล่นจริง ไม่ใช่แค่เร่งเฟรมแบบตายตัวเหมือนที่ผ่านมา สิ่งที่น่าสนใจคือ...

เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว

Privacy Preferences

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

ยอมรับทั้งหมด
Manage Consent Preferences
  • คุกกี้ที่จำเป็น
    Always Active

    ประเภทของคุกกี้มีความจำเป็นสำหรับการทำงานของเว็บไซต์ เพื่อให้คุณสามารถใช้ได้อย่างเป็นปกติ และเข้าชมเว็บไซต์ คุณไม่สามารถปิดการทำงานของคุกกี้นี้ในระบบเว็บไซต์ของเราได้

บันทึก