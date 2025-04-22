Os serviços do Power Platform da Microsoft oferecem uma plataforma low-code/no-code (LCNC) que inclui análise de dados (Power BI), desenvolvimento de sites (Power Pages), assistentes virtuais (Power Virtual Agent) e uma espécie de desenvolvimento de aplicação completa (Power Apps). Essas plataformas podem oferecer aos usuários corporativos menos técnicos a capacidade de criar soluções que tradicionalmente exigiriam um desenvolvedor mais técnico com experiência em programação.
Embora as plataformas LCNC possam ser ferramentas poderosas para usuários corporativos, os desenvolvedores da plataforma devem garantir que a segurança seja incorporada em cada etapa. Usuários corporativos sem experiência formal de programação podem não ter o mesmo nível de consciência de segurança que um desenvolvedor de software moderno. Isso pode aumentar a probabilidade de configurações incorretas do usuário serem introduzidas nessas plataformas LCNC.
Neste post de blog, vamos analisar como, em 2022, a equipe de simulação de adversários do X-Force Red combinou uma configuração incorreta comum do usuário na época com um problema de desvio de segurança ainda presente na plataforma Power Apps da Microsoft. Isso permitiu que o X-Force Red violasse um perímetro externo protegido e ganhasse a execução de código em um SQL server locais, o que resultou nos resultados do comprometimento total do Active Directory.
Em 2022, o comportamento padrão do Power Apps significava que, quando uma aplicação do Power Apps era compartilhada com os usuários, todas as conexões associadas também eram compartilhadas. Isso tornou muito fácil para os usuários compartilharem acidentalmente conexões com todos os usuários de uma organização, quando eles poderiam querer compartilhar apenas a aplicação front-end. Esse comportamento foi alterado em janeiro de 2024, de acordo com a Microsoft, tornando muito menos provável que os usuários compartilhem conexões acidentalmente.
Em 2022, no entanto, o X-Force Red identificou uma conexão SQL usando um "gateway de dados locais" para se conectar a um servidor SQL locais que havia sido amplamente compartilhado dessa maneira. Embora as SQL Query nativas não sejam compatíveis com SQL Server locais nos fluxos do Power Apps, o X-Force Red identificou que a ação “Transformar dados usando o Power Query” poderia ser utilizada para executar SQL queries nativas em servidores locais. Isso permitiu que o X-Force Red migrasse para o SQL server local e, por fim, atingisse todos os objetivos do engajamento.
Esse bug foi relatado recentemente ao Microsoft Security Response Center (MSRC), e eles atribuíram a ele uma gravidade baixa; por isso, estamos publicando os detalhes.
O Power Apps permite que os usuários criem “aplicativos” e “fluxos” usando uma GUI de soltar e arrastar que é típica das plataformas LCNC. Os aplicativos podem ser usados para criar aplicações front-end que geralmente são usadas para extrair dados de algum lugar e exibi-los ao usuário. Veja abaixo uma aplicação de demonstração "Budget Tracker" fornecida pela Microsoft que coleta dados de uma planilha do Excel e os exibe ao usuário.
O outro lado do Power Apps, o Flows, será familiar para qualquer pessoa que já tenha usado outro serviço LCNC como o Azure Logic Apps. Os fluxos permitem que os usuários criem um programa semelhante a um fluxograma e normalmente são usados para extrair dados, processá-los e enviá-los para algum lugar. Veja abaixo um fluxo muito básico que faz uma solicitação HTTP e, em seguida, analisa o JSON resultante.
O Power Apps tem um pacote de “Conectores” que permitem aos usuários realizar tarefas como ingestão de dados ou envio de e-mails, sem recorrer ao uso de um monte de ações de solicitação HTTP. Muitos desses conectores são apenas bibliotecas pré-criadas de solicitações HTTP, mas abstraem todos os detalhes técnicos do usuário. Em vez de ter que criar uma solicitação HTTP para a API do Graph para obter informações sobre um usuário do Entra ID, você pode simplesmente fisgar um conector do Entra ID e usar a ação "Obter usuário".
O Power Apps oferece conectores para muitos serviços populares, incluindo serviços da Microsoft e ofertas de terceiros. Você pode pegar arquivos do SharePoint, converter um documento em PDF usando o Adobe PDF Services ou reiniciar máquinas virtuais no Azure, apenas para citar algumas opções. Quando você criar uma conexão, você será prompt para fornecer material de autenticação dependendo do serviço ao qual está se conectando. Para praticamente tudo relacionado à Microsoft, você precisará autenticar usando sua conta do O365.
Observação: no restante desta postagem, usarei “conector" para descrever a biblioteca de ações no Power Apps (ex: o conector Entra ID) e "conexão" para me referir a um conector que foi criado e autenticado por um usuário (ex: a conexão Entra ID autenticada como john.smith@contoso.com) e podem ser usados para criar novas ações.
Enquanto essa conexão existir, sua autenticação estará associada a ela. Qualquer usuário com acesso a essa conexão pode criar novas ações que utilizarão sua autenticação. Por exemplo, se você criar uma conexão Entra ID, outro usuário com acesso a essa conexão poderá criar uma ação "Adicionar usuário ao grupo", que usará sua autenticação, mesmo que esse usuário não tenha as permissões necessárias da Entra ID para adicionar um usuário a um grupo. Já mencionei anteriormente o abuso disso no Azure Logic Apps e descobri uma exploração de escalada de privilégios utilizável no Azure Logic Apps que abusava dessa funcionalidade.
Até 2024, esse tipo de ataque era muito mais provável de ocorrer no Power Apps. Costumava ser o caso de quando você compartilhava uma aplicação que usa uma conexão, a conexão associada também era compartilhada. Veja a documentação nesta página da Microsoft, que não é atualizada desde 2022. No entanto, de acordo com esta página de 2024, esse não é mais o caso. Agora, você precisará que a conexão seja compartilhada com sua conta, o que é uma configuração incorreta muito menos provável. Esse poderia ter sido o resultado da palestra da BlackHat 2023, "All You Need Is Guest", de Michael Bargury, uma excelente palestra que também abordou a enumeração e o despejo de informações do Power Apps.
E se você precisar acessar dados que não estão disponíveis na internet? E se você precisasse acessar dados de um SQL Server no local? A Microsoft já pensou nisso e criou gateways de dados locais. Os gateways são instalados em um host no local e atuam basicamente como um proxy que permite que os conectores do Power Apps se comuniquem com os recursos no local. Para acessar um SQL Server no local, basta instalar um gateway no SQL Server (ou em outro servidor, ou talvez até mesmo na sua estação de trabalho, se você estiver fazendo TI invisível) e usar o conector SQL para realizar consultas no server.
Há seis tipos de autenticação compatíveis para conexão com um SQL Server, embora nem todos funcionem com SQL Servers no local. Para locais, você provavelmente usará a autenticação do SQL Server ou a autenticação do Windows, fornecendo suas credenciais do AD ou as credenciais do SQL local.
Depois de criar sua conexão ou obter acesso a uma conexão compartilhada, você pode executar uma série de ações no SQL Server. O que chamará a atenção da maioria dos leitores é "Executar uma SQL Query (V2)".
Se você não está familiarizado com as implicações de poder executar consultas SQL nativas, sugiro que leia este post de meu colega de equipe, Sanjiv Kawa, sobre a ferramenta dele, SQLRecon. Obviamente, se você pode executar SQL queries em um servidor, pode descarregar todos os dados para os quais tem permissões de acesso, e isso pode ser preocupante se os dados confidenciais estiverem armazenados no banco de dados. No entanto, se você tiver acesso privilegiado ao SQL server, poderá executar o código no sistema operacional subjacente. Aqui estão algumas maneiras pelas quais você pode fazer isso:
Em última análise, isso depende dos privilégios do usuário que criou a conexão, mas se você já passou por um SQL Server para alcançar um objetivo, sabe como são comuns as contas com privilégios excessivos. Mesmo que o usuário conectado não tenha os privilégios para executar o código, você também poderá verificar se há falsificação de identidade, links para outros SQL Server ou credenciais armazenadas em texto não criptografado nos bancos de dados.
No entanto, tudo isso acaba sem sentido, pois a ação “Executar uma query SQL (V2)” não é compatível com gateways.
Outras ações, como "Obter linhas (V2)", que obterão as linhas de uma tabela especificada, funcionam bem. Simplesmente não podemos executar consultas arbitrárias no servidor. Presumo que isso ocorra porque a Microsoft considerou a possibilidade de abuso e decidiu que expor as vulnerabilidades dos SQL Servers no local a usuários externos do O365 é ruim.
Se você examinar todas as ações disponíveis para o conector SQL, encontrará a ação "Transformar dados usando o Power Query". Apesar do nome, o Power Query não é membro da família de serviços da Power Platform. Em vez disso, é um mecanismo de transformação de dados que você pode encontrar dentro de outros serviços/aplicações, como o Excel. Como um mecanismo de transformação de dados, o Power Query foi projetado para receber dados e transformá-los sem modificar os dados de origem.
Depois de criar uma ação "Transformar dados usando o Power Query" com uma conexão válida, ela abrirá um menu mostrando todas as tabelas em qualquer banco de dados ao qual estiver conectada. No meu SQL Server de teste, há apenas uma tabela vazia chamada "Pessoas".
Selecionar “Transformar dados” nos levará para a próxima tela, que é um editor do Power Query. O Power Query usa a linguagem de fórmula M, uma linguagem de transformação de dados desenvolvida pela Microsoft. Os documentos de referência para a linguagem M documentam o "Acesso a funções de dados", uma lista de funções que podem ser usadas para ingestão de dados no Power Query. Quando abrimos o editor do Power Query na consulta padrão, vemos que a função "Sql.Databases" está sendo utilizada para obter informações do banco de dados conectado.
Depois de navegar pela versão em PDF de 1.394 páginas da linguagem M, notei que a função "Sql.Database" (observe o "S" que está faltando) tem um parâmetro opcional chamado "Query". Esse parâmetro é descrito como "Uma SQL query nativa usada para recuperar dados".
Se você inserir o seguinte código do Power Query no editor, será exibido um aviso dizendo que “Consultas nativas podem ser inseguras e alterar o banco de dados”.
Bem, “alterar o banco de dados” é meu nome do meio, então, após clicar em “Continuar”, somos recompensados com a saída de uma consulta SQL nativa.
Só para recapitular, veja como você pode abusar disso para comprometer um SQL Server no local tendo apenas acesso a uma licença do Power Apps:
De acordo com esses documentos da Microsoft que foram atualizados pela última vez em 2022, se você compartilhar um aplicativo que usa dados de um gateway, o gateway também será compartilhado. Nos testes em meu locatário, esse não parece mais ser o caso. Dito isso, se você tiver acesso a um gateway, poderá criar novas conexões por meio dele, o que significa que você não está mais limitado pelas conexões existentes. Isso significa que você precisa ter credenciais comprometidas para contas AD ou SQL e conhecer os nomes de host dos SQL Servers, embora não seja incomum encontrar essas informações no SharePoint/Confluence.
Você também pode aproveitar outros conectores que usam gateways, como a ação "Sistema de arquivos". Isso também exige que você tenha credenciais e nomes de host válidos, mas significa que você pode ler/gravar arquivos em hosts internos.
Se você tiver acesso a uma conta com acesso ao Power Apps, deverá verificar todos os ambientes aos quais tem acesso. Para ver isso, selecione o menu suspenso "Ambiente" no canto superior direito. Em cada ambiente, você deverá selecionar "... Mais" e, em seguida, "Descobrir tudo". Isso levará você a uma página onde poderá navegar para tudo no Power Apps.
A partir daí, você pode selecionar "Conexões" para ver todas as conexões às quais você tem acesso e "Gateways" para ver quaisquer gateways aos quais você tem acesso. Você também pode ver o proprietário das conexões, para poder verificar se o usuário é privilegiado ou não.
Além disso, no lado esquerdo da tela estão os botões "Fluxos" e "Aplicações". Clique em "Compartilhado comigo" para ver tudo e começar a procurar credenciais em texto simples ou informações confidenciais. As ações de fluxo HTTP são particularmente adequadas para encontrar senhas e chaves de API.
Os administradores devem considerar a possibilidade de limitar quais usuários podem instalar gateways ou desativá-los totalmente se não houver um caso de uso comercial para eles. Você pode fazer isso acessando a plataforma de administração do Power Apps, selecionando “Dados”, marcando a caixa “Administração de locatários” e selecionando “Gerenciar instaladores de gateway”. A partir daí, você pode habilitar a configuração "Restringir os usuários da sua organização de instalar gateways" e adicionar usuários que precisam instalar gateways. Consulte a documentação da Microsoft para obter mais informações.
Considere avaliar periodicamente as conexões em seu ambiente e garantir que os usuários não estejam compartilhando amplamente conexões confidenciais.
Neste blog, examinamos como um usuário com acesso a um conector do SQL Server usando um gateway de dados local pode executar consultas nativas no servidor e possivelmente migrar do O365 para recursos locais. O comportamento que antes tornava isso uma configuração incorreta comum foi alterado em 2024, mas com o acesso correto, um invasor ainda pode se encontrar em posição de abusar disso. Com o lançamento deste blog, esperamos que os defensores auditem o ambiente para identificar gateways e conectores compartilhados em excesso para evitar futuros ataques direcionados a Power Apps.
02/10/2025: caso original do MSRC enviado
11/2/2025: MSRC afirma que se trata de um problema de engenharia social e encerra o caso
02/12/2025: segundo caso MSRC enviado
24/2/2025: MSRC avalia vulnerabilidade com baixa severidade
