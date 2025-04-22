Os serviços do Power Platform da Microsoft oferecem uma plataforma low-code/no-code (LCNC) que inclui análise de dados (Power BI), desenvolvimento de sites (Power Pages), assistentes virtuais (Power Virtual Agent) e uma espécie de desenvolvimento de aplicação completa (Power Apps). Essas plataformas podem oferecer aos usuários corporativos menos técnicos a capacidade de criar soluções que tradicionalmente exigiriam um desenvolvedor mais técnico com experiência em programação.

Embora as plataformas LCNC possam ser ferramentas poderosas para usuários corporativos, os desenvolvedores da plataforma devem garantir que a segurança seja incorporada em cada etapa. Usuários corporativos sem experiência formal de programação podem não ter o mesmo nível de consciência de segurança que um desenvolvedor de software moderno. Isso pode aumentar a probabilidade de configurações incorretas do usuário serem introduzidas nessas plataformas LCNC.

Neste post de blog, vamos analisar como, em 2022, a equipe de simulação de adversários do X-Force Red combinou uma configuração incorreta comum do usuário na época com um problema de desvio de segurança ainda presente na plataforma Power Apps da Microsoft. Isso permitiu que o X-Force Red violasse um perímetro externo protegido e ganhasse a execução de código em um SQL server locais, o que resultou nos resultados do comprometimento total do Active Directory.