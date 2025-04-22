Hinweis: Für den Rest dieses Beitrags werde ich "Connector" verwenden, um die Aktionsbibliothek in Power Apps zu beschreiben (z. B. der Entra-ID-Connector), und "Connection" für einen Connector, der von einem Benutzer erstellt und authentifiziert wurde (z. B. die Entra-ID-Verbindung authentifiziert als john.smith@contoso.com). und kann verwendet werden, um neue Aktionen zu erstellen.

Solange diese Verbindung besteht, ist Ihre Authentifizierung mit ihr verbunden. Jeder Benutzer mit Zugriff auf diese Verbindung kann neue Aktionen erstellen, die Ihre Authentifizierung verwenden. Wenn Sie zum Beispiel eine Entra-ID-Verbindung erstellen, könnte ein anderer Benutzer mit Zugriff auf diese Verbindung eine Aktion "Benutzer zur Gruppe hinzufügen" ausführen, die Ihre Authentifizierung nutzt, auch wenn dieser Benutzer nicht die nötigen Entra-ID-Berechtigungen hätte, um einen Benutzer einer Gruppe hinzuzufügen. Ich habe bereits über den Missbrauch dieser Funktion in Azure Logic Apps gebloggt und einen brauchbaren Ausnutzen zur Privilegienerweiterung in Azure Logic Apps gefunden, der diese Funktion missbraucht.

Bis 2024 war diese Art von Angriff in Power Apps deutlich wahrscheinlicher. Früher war es so, dass beim Teilen einer Anwendung, die eine Verbindung nutzte, auch die zugehörige Verbindung geteilt wurde. Sie können dies auf dieser Seite nachlesen. von Microsoft, das seit 2022 nicht mehr aktualisiert wurde. Laut dieser Seite von 2024 ist dies jedoch nicht mehr der Fall. Jetzt müssen Sie die Verbindung mit Ihrem Konto teilen, was eine weitaus seltenere Fehlkonfiguration darstellt. Dies könnte das Ergebnis des BlackHat 2023-Vortrags „All You Need Is Guest“ gewesen sein. von Michael Bargury, ein hervorragender Vortrag, der auch das Aufzählen und Ausgeben von Informationen aus Power Apps behandelte.