Los servicios Power Platform de Microsoft ofrecen una plataforma low-code/no-code (LCNC) que incluye análisis de datos (Power BI), desarrollo web (Power Pages), asistentes virtuales (Power Virtual Agent) y una especie de desarrollo de "aplicación completa" (Power Apps). Estas plataformas pueden ofrecer a los usuarios empresariales menos técnicos la capacidad de crear soluciones que tradicionalmente requerirían un desarrollador más técnico con experiencia en programación.
Aunque las plataformas LCNC pueden ser una herramienta potente para los usuarios empresariales, los desarrolladores de la plataforma deben tener cuidado de que la seguridad esté integrada en cada paso. Los usuarios empresariales sin experiencia formal en programación pueden no tener el mismo nivel de concienciación sobre la seguridad que un desarrollador de software moderno. Esto puede aumentar la probabilidad de que se introduzcan configuraciones erróneas de usuario en estas plataformas LCNC.
En esta entrada del blog, veremos cómo, en 2022, el equipo de simulación de adversarios de X-Force Red combinó una configuración errónea habitual por parte de los usuarios en aquel momento con un problema de elusión de la seguridad que todavía estaba presente en la plataforma Power Apps de Microsoft. Esto permitió a X-Force Red traspasar un perímetro externo reforzado, obtener la ejecución de código en un SQL server on-premises y, finalmente, comprometer por completo Active Directory.
En 2022, el comportamiento predeterminado de Power Apps significaba que, cuando una aplicación de Power Apps se compartía con los usuarios, cualquier conexión asociada también se compartía. Esto hizo que fuera muy fácil para los usuarios compartir accidentalmente conexiones con todos los usuarios de una organización, cuando solo tenían la intención de compartir la aplicación frontend. Este comportamiento cambió en enero de 2024, según Microsoft, por lo que es mucho menos probable que los usuarios compartan conexiones accidentalmente.
Sin embargo, en 2022, X-Force Red identificó una conexión SQL utilizando una "pasarela de datos local" para conectarse a un SQL server on-prem que se había compartido ampliamente de esta manera. Aunque las SQL queries nativas no son compatibles con los SQL servers on-prem en los flujos de Power Apps, X-Force Red identificó que la acción "Transformar datos mediante Power Query" podría utilizarse para ejecutar SQL queries en los SQL servers on-prem. Esto permitió a X-Force Red pasar al SQL server on-prem y, en última instancia, alcanzar todos los objetivos de la contratación.
Este error fue reportado recientemente al Centro de Respuesta de Seguridad de Microsoft (MSRC), y le han asignado una gravedad baja, así que ahora estamos publicando los detalles.
Power Apps permite a los usuarios crear "aplicaciones" y "flujos" utilizando una GUI de arrastrar y soltar típica de las plataformas LCNC. Las aplicaciones se pueden utilizar para crear aplicaciones front-end que generalmente se utilizan para extraer datos de algún lugar y mostrarlos al usuario. A continuación se muestra una aplicación de demostración "Budget Tracker" proporcionada por Microsoft que toma datos de una hoja de cálculo de Excel y los muestra al usuario.
La otra cara de Power Apps, los flujos, resultará familiar para cualquiera que haya utilizado antes otro servicio LCNC como Azure Logic Apps. Los flujos permiten a los usuarios crear un programa similar a un diagrama de flujo y suelen utilizarse para extraer datos, procesarlos y enviarlos a algún sitio. A continuación se muestra un flujo muy básico que realiza una solicitud HTTP y luego analiza el JSON resultante.
Power Apps tiene un conjunto de "conectores" que permiten a los usuarios realizar tareas como consumir datos o enviar correos electrónicos, sin recurrir al uso de un montón de acciones de solicitud HTTP. Muchos de estos conectores son simplemente bibliotecas preconstruidas de peticiones HTTP, pero abstraen todos los detalles técnicos del usuario. En lugar de tener que construir una solicitud HTTP a la API Graph para obtener información sobre un usuario de Entra ID, simplemente puede conectar un conector de Entra ID y utilizar la acción "Obtener usuario".
Power Apps ofrece conectores para muchos servicios populares, incluidos servicios de Microsoft y ofertas de terceros. Puede descargar archivos de SharePoint, convertir un documento a PDF usando Adobe PDF Services o reiniciar máquinas virtuales en Azure, por nombrar solo algunos. Cuando cree una conexión, se le dará instrucción para proporcionar material de autenticación dependiendo del servicio al que se conecte. Para prácticamente todo lo relacionado con Microsoft, simplemente se autenticará con su cuenta de O365.
Nota: En el resto de esta publicación, usaré "conector" para describir la biblioteca de acciones en Power Apps (por ejemplo, el conector Entra ID) y "conexión" para referirme a un conector que se ha creado y autenticado por un usuario (por ejemplo: la conexión de Entra ID autenticada como john.smith@contoso.com) y puede usarse para crear nuevas acciones.
Mientras exista esta conexión, tu autenticación estará asociada a ella. Cualquier usuario con acceso a esa conexión puede crear nuevas acciones que utilizarán su autenticación. Por ejemplo, si crea una conexión de Entra ID, otro usuario con acceso a esa conexión podría crear una acción "Añadir usuario al grupo", que utilizará su autenticación, incluso si ese usuario no tiene los permisos necesarios de Entra ID para añadir un usuario a un grupo. Anteriormente he escrito en un blog sobre cómo abusar de esto en Azure Logic Apps, y he encontrado un exploit de escalada de privilegios funcional en Azure Logic Apps que abusaba de esta funcionalidad.
Hasta 2024, este tipo de ataque era mucho más probable que ocurriera en Power Apps. Antes, cuando se compartía una aplicación que utilizaba una conexión, también se compartía la conexión asociada. Puede ver esto documentado en esta página de Microsoft, que no se ha actualizado desde 2022. Sin embargo, según esta página de 2024, esto ya no es así. Ahora, necesitará que la conexión se comparta con su cuenta, lo que es un error de configuración mucho menos probable. Este podría haber sido el resultado de la charla de BlackHat 2023 “All You Need Is Guest” de Michael Bargury, una excelente charla que también abordó cómo enumerar y volcar información de Power Apps.
¿Qué sucede si necesita acceder a datos que no están disponibles en Internet? ¿Y si necesitara acceder a los datos desde un servidor SQL on-premises? Microsoft ya ha pensado en ello y ha creado pasarelas de datos on-premises. Las pasarelas se instalan en un host on-premise y actúan esencialmente como un proxy que permite a los conectores de Power Apps comunicarse con recursos on-premises. Para acceder a un servidor SQL local, simplemente puede instalar una pasarela en el servidor SQL (o en otro servidor, o incluso en su estación de trabajo si está haciendo TI invisible) y luego usar el conector SQL para realizar consultas contra el servidor.
Existen seis tipos de autenticación admitidos para conectarse a un servidor SQL, aunque no todos ellos funcionarán para los servidores SQL on-premises. Para las instalaciones on-premises, probablemente utilizará autenticación de SQL Server o autenticación de Windows, proporcionando sus credenciales AD o credenciales de SQL locales.
Una vez que haya creado su conexión o accedido a una compartida, puede realizar una serie de acciones contra SQL Server. La que llamará la atención de la mayoría de los lectores es "Ejecutar una consulta SQL (V2)".
Si no está familiarizado con las implicaciones de poder ejecutar consultas SQL nativas, le sugiero que lea este blog de mi compañero Sanjiv Kawa sobre su herramienta SQLRecon. Obviamente, si puede ejecutar consultas SQL en un servidor, puede volcar todos los datos a los que tiene permisos de acceso, y esto podría ser preocupante si se almacenan datos sensibles en la base de datos. Sin embargo, si tiene acceso privilegiado al SQL Server, puede ejecutar código en el sistema operativo subyacente. Estas son algunas de las formas en que puede hacerlo:
Esto depende en última instancia de los privilegios del usuario que creó la conexión, pero si alguna vez ha pivotado a través de un servidor SQL para lograr un objetivo, entonces sabe lo comunes que son las cuentas con exceso de privilegios. Incluso si el usuario conectado no tiene los privilegios para ejecutar código, también puede comprobar si hay suplantación, enlaces a otros servidores SQL o credenciales almacenadas en texto sin cifrar en bases de datos.
Sin embargo, todo esto en última instancia no tiene sentido, ya que la acción "Ejecutar una consulta SQL (V2)" no es compatible con las pasarelas.
Otras acciones, como "Obtener filas (V2)", que obtendrán las filas de una tabla especificada, funcionan bien. Simplemente no podemos ejecutar consultas arbitrarias en el servidor. Supongo que esto se debe a que Microsoft consideró la posibilidad de abuso y decidió que exponer las inseguridades de los servidores SQL on-premises a los usuarios externos de O365 es malo.
Si examina todas las acciones disponibles para el conector SQL, verá la acción "Transformar datos usando Power Query". A pesar del nombre, Power Query no es miembro de la familia de servicios Power Platform. Más bien, es un motor de transformación de datos que puede encontrar dentro de otros servicios/aplicaciones, como Excel. Como motor de transformación de datos, Power Query está diseñado para tomar datos y transformarlos sin modificar los datos de origen.
Después de crear una acción "Transformar datos usando Power Query" con una conexión válida, aparecerá un menú que muestra todas las tablas en cualquier base de datos a la que esté conectado. En mi SQL Server de prueba, solo hay una tabla vacía llamada "Personas".
Seleccionar "Transformar datos" nos llevará a la siguiente pantalla, que es un editor de Power Query. Power Query utiliza el lenguaje de fórmulas M, un lenguaje de transformación de datos desarrollado por Microsoft. Los documentos de referencia para el lenguaje M documentan el "Acceso a las funciones de datos", una lista de funciones que se pueden utilizar para consumir datos en Power Query. Cuando abrimos nuestro editor de Power Query en la consulta predeterminada, vemos que la función "Sql.Databases" se utiliza para obtener información de la base de datos conectada.
Después de navegar por la versión PDF de 1394 páginas del lenguaje M, me di cuenta de que la función "Sql.Database" (tenga en cuenta la "S" que falta) tiene un parámetro opcional llamado "Query". Este parámetro se describe como "Una consulta SQL utilizada para recuperar datos".
Si introduce el siguiente código de Power Query en el editor, se muestra una advertencia que dice "Las consultas nativas pueden ser inseguras y alterar la base de datos".
Bueno, "alterar la base de datos" es mi segundo nombre, así que después de pulsar "Continuar", somos recompensados con el output de una consulta SQL.
En resumen, así es como puede abusar de esto para comprometer un SQL Server on-premises con nada más que acceso a una licencia de Power Apps:
Según estos documentos de Microsoft que se actualizaron por última vez en 2022, si usted comparte una aplicación que utiliza datos de una puerta de enlace, entonces la puerta de enlace también será compartida. Por las pruebas hechas a mi inquilino, parece que este ya no es el caso. Dicho esto, si tiene acceso a una puerta de enlace, puede crear nuevas conexiones a través de ella, lo que significa que ya no está limitado por las conexiones existentes. Esto significa que necesita tener credenciales comprometidas para cuentas de AD o SQL Server y conocer los nombres de host de los SQL Server, aunque no es raro encontrar esta información en SharePoint/Confluence.
También puede beneficiarse de otros conectores que utilizan puertas de enlace, como la acción "Sistema de archivos". Esto también requiere que tenga credenciales y nombres de host válidos, pero significa que puede leer y escribir archivos en los hosts internos.
Si obtiene acceso a una cuenta con acceso a Power Apps, querrá comprobar todos los entornos a los que tiene acceso. Puede ver esto seleccionando el menú desplegable “Entorno” en la esquina superior derecha. En cada entorno, deberá seleccionar “… Más” y luego “Descubrir todo”. Esto le llevará a una página donde puede navegar por todo en Power Apps.
Desde allí, puede seleccionar “Conexiones” para ver todas las conexiones a las que tiene acceso y “Puertas de enlace” para ver todas las puertas de enlace a las que tiene acceso. También puede ver quién es el propietario de las conexiones y comprobar si el usuario tiene privilegios o no.
Además, en el lado izquierdo de la pantalla están los botones "Flujos" y "Aplicaciones". Querrá hacer clic en “Compartido conmigo” para poder ver todo y comenzar a buscar credenciales de texto sin formato o información confidencial. Las acciones de flujo HTTP son especialmente adecuadas para encontrar contraseñas y claves de API.
Los administradores deberían considerar limitar qué usuarios pueden instalar puertas de enlace o desactivarlas por completo si no hay un caso de uso empresarial para ellas. Puede hacerlo yendo a la plataforma de administración de Power Apps, seleccionando "Datos", marcando la casilla "Administración de inquilinos" y luego seleccionando "Gestionar instaladores de puerta de enlace". Desde allí, puede habilitar la configuración "Restringir que los usuarios de su organización instalen puertas de enlace" y añadir usuarios que necesiten instalar puertas de enlace. Consulte la documentación de Microsoft para más información.
Considere evaluar periódicamente las conexiones en su entorno y asegurarse de que los usuarios no compartan ampliamente conexiones sensibles.
En este blog, examinamos cómo un usuario con acceso a un conector de servidor SQL mediante una puerta de enlace de datos on-premises puede ejecutar consultas nativas en el servidor y potencialmente pasar de O365 a recursos on-premises. El comportamiento que anteriormente hacía de esto un error de configuración común se cambió en 2024, pero con el acceso correcto, un atacante aún puede encontrarse en posición de abusar de esto. Con el lanzamiento de este blog, esperamos que los defensores auditen su entorno para identificar puertas de enlace y conectores sobrecompartidos para evitar futuros ataques dirigidos a Power Apps.
10/2/2025: caso original MSRC presentado
11/02/2025: MSRC afirma que se trata de una cuestión de ingeniería social y cierra el caso
12/02/2025: segundo caso presentado ante el MSRC
24/02/2025: el MSRC evalúa la vulnerabilidad con un nivel de gravedad bajo
Obtenga información para prepararse y responder a los ciberataques con mayor rapidez y eficacia con IBM X-Force Threat Intelligence Index.
Descubra por qué IBM ha sido nombrado Major Player y obtenga conocimientos para seleccionar el proveedor de servicios de consultoría de ciberseguridad que mejor se adapte a las necesidades de su organización.
Descubra cómo está cambiando el panorama actual de la seguridad y cómo afrontar los retos y aprovechar la capacidad de recuperación de la IA generativa.
Conozca las amenazas más recientes y refuerce sus defensas en la nube con el informe IBM X-Force Cloud Threat Landscape Report.
Descubra cómo la seguridad de datos ayuda a proteger la información digital del acceso no autorizado, la corrupción o el robo a lo largo de todo su ciclo de vida.
Transforme su programa de seguridad con las soluciones del mayor proveedor de seguridad empresarial.
Transforme su negocio y gestione el riesgo con servicios de consultoría de ciberseguridad, nube y seguridad gestionada.
Mejore la velocidad, la precisión y la productividad de los equipos de seguridad con soluciones de ciberseguridad basadas en IA.
Tanto si necesita soluciones de seguridad de datos, de gestión de endpoints o de gestión de identidades y accesos (IAM), nuestros expertos están dispuestos a trabajar con usted para lograr una posición de seguridad sólida. Transforme su empresa y gestione los riesgos con un líder de la industria mundial mundial en consultoría de ciberseguridad, cloud y servicios de seguridad gestionados.