Les services Power Platform de Microsoft proposent une plateforme low code/no-code (LCNC) qui inclut l’analytique (Power BI), le développement de sites Web (Power Pages), les assistants virtuels (Power Virtual Agent) et une sorte de développement d’« application complète » (Power Apps). Ces plateformes peuvent permettre à des utilisateurs professionnels moins techniques de créer des solutions qui, traditionnellement, nécessiteraient un développeur plus technique ayant une expérience de la programmation.
Si les plateformes LCNC peuvent être un outil puissant pour les utilisateurs métier, les développeurs de la plateforme doivent veiller à ce que la sécurité soit intégrée à chaque étape. Les utilisateurs métier sans expérience formelle en programmation peuvent ne pas posséder le même niveau de sensibilisation à la sécurité qu’un développeur logiciel moderne. Cela peut augmenter la probabilité que des erreurs de configuration soient introduites par les utilisateurs dans ces plateformes LCNC.
Dans cet article de blog, nous allons voir comment, en 2022, l’équipe Adversary Simulation de X-Force Red a combiné une mauvaise configuration utilisateur courante à un problème de contournement de sécurité toujours présent sur la plateforme Power Apps de Microsoft. Cela a permis à X-Force Red de franchir un périmètre externe renforcé et d’obtenir l’exécution de code sur un serveur SQL sur site, ce qui a finalement abouti à la compromission totale d’Active Directory.
En 2022, le comportement par défaut de Power Apps impliquait que lorsqu'une application Power Apps était partagée avec des utilisateurs, toutes les connexions associées l'étaient également. Cela permettait aux utilisateurs de partager très facilement et accidentellement des connexions avec tous les membres d’une organisation, alors qu’ils ne souhaitaient peut-être partager que l’application front-end. Ce comportement a été modifié en janvier 2024, selon Microsoft, rendant beaucoup moins probable le partage accidentel de connexions par les utilisateurs.
En 2022, cependant, X-Force Red a identifié une connexion SQL utilisant une passerelle de données sur site pour se connecter à un serveur SQL sur site qui avait été largement partagé de cette manière. Bien que les requêtes SQL natives ne soient pas prises en charge pour les serveurs SQL sur site dans les flux Power Apps, X-Force Red a identifié que l’action « Transformer les données à l’aide de Power Query » pouvait être utilisée pour exécuter des requêtes SQL natives sur des serveurs sur site. Cela a permis à X-Force Red de pivoter vers le serveur SQL sur site et d’atteindre tous les objectifs de la mission.
Ce bogue a récemment été signalé au Microsoft Security Response Center (MSRC), et il lui a attribué un niveau de gravité faible. Nous publions donc les détails.
Power Apps permet aux utilisateurs de créer des « applications » et des « flux » à l’aide d’une interface graphique de type glisser-déposer, typique des plateformes LCNC. Les applications peuvent être utilisées pour créer des applications frontales qui sont généralement utilisées pour extraire des données de quelque part et les afficher à l’utilisateur. Vous trouverez ci-dessous une application de démonstration « Budget Tracker » proposée par Microsoft qui extrait les données d’une feuille de calcul Excel et les affiche à l’utilisateur.
L’autre aspect de Power Apps, Flows, sera familier à tous ceux qui ont déjà utilisé un autre service LCNC comme Azure Logic Apps. Les flux permettent aux utilisateurs de créer un programme semblable à un organigramme et sont généralement utilisés pour collecter des données, les traiter et les envoyer quelque part. Voici un flux très basique qui effectue une requête HTTP puis analyse le JSON résultant.
Power Apps propose une suite de « connecteurs » qui permettent aux utilisateurs d’effectuer des tâches telles que l’ingestion de données ou l’envoi d’e-mails, sans avoir recours à de nombreuses requêtes HTTP. Beaucoup de ces connecteurs ne sont que des bibliothèques prédéfinies de requêtes HTTP, mais ils font abstraction de tous les détails techniques pour l’utilisateur. Au lieu de devoir créer une requête HTTP vers l’API Graph pour obtenir des informations sur un utilisateur Entra ID, il vous suffit de connecter un connecteur Entra ID et d’utiliser l’action « Obtenir un utilisateur ».
Power Apps propose des connecteurs pour de nombreux services populaires, y compris les services Microsoft et les offres tierces. Vous pouvez récupérer des fichiers sur SharePoint, convertir un document au format PDF à l’aide d’Adobe PDF Services ou redémarrer des machines virtuelles dans Azure, pour n’en citer que quelques-uns. Lorsque vous créez une connexion, il vous sera demandé de fournir des éléments d’authentification en fonction du service auquel vous vous connectez. Pour pratiquement tout ce qui concerne Microsoft, vous vous authentifierez simplement à l’aide de votre compte O365.
Remarque : Pour la suite de cet article, j’utiliserai le terme « connecteur » pour décrire la bibliothèque d’actions dans Power Apps (ex : le connecteur Entra ID), et « connexion » pour désigner un connecteur qui a été créé et authentifié par un utilisateur (ex : la connexion Entra ID authentifiée en tant que john.smith@contoso.com), et qui peut être utilisé pour créer de nouvelles actions.
Tant que cette connexion existe, votre authentification y sera associée. Tout utilisateur ayant accès à cette connexion peut créer de nouvelles actions qui utiliseront votre authentification. Par exemple, si vous créez une connexion Entra ID, un autre utilisateur ayant accès à cette connexion pourra créer une action « Ajouter un utilisateur au groupe », qui utilisera votre authentification, même s’il ne dispose pas des autorisations Entra ID nécessaires pour ajouter un utilisateur à un groupe. J’ai déjà parlé dans un article l’utilisation abusive de cette fonctionnalité dans Azure Logic Apps, et j’ai découvert un exploit d’élévation de privilèges exploitable dans Azure Logic Apps qui utilisait cette fonctionnalité.
Jusqu’en 2024, ce type d’attaque était beaucoup plus susceptible de se produire dans les applications Power. Auparavant, lorsque vous partagiez une application utilisant une connexion, la connexion associée était également partagée. Ceci est documenté sur cette page de Microsoft, qui n’a pas été mise à jour depuis 2022. Cependant, selon cette page de 2024, ce n’est plus le cas. Désormais, vous avez besoin que la connexion soit partagée avec votre compte, ce qui est une erreur de configuration beaucoup moins probable. Cela pourrait être le résultat de la conférence BlackHat 2023 « All You Need Is Guest » de Michael Bargury, une excellente conférence qui a également abordé l’énumération et le dump d’informations provenant de Power Apps.
Que faire si vous devez accéder à des données qui ne sont pas disponibles sur Internet ? Que se passerait-il si vous deviez accéder à des données à partir d’un serveur SQL sur site ? Microsoft y a déjà pensé et a créé des passerelles de données sur site. Les passerelles sont installées sur un hôte sur site et agissent essentiellement comme un proxy, permettant aux connecteurs Power Apps de communiquer avec des ressources sur site. Pour accéder à un serveur SQL sur site, vous pouvez simplement installer une passerelle sur le serveur SQL (ou sur un autre serveur, ou peut-être même sur votre poste de travail si vous utilisez des services de shadow IT), puis utiliser le connecteur SQL pour effectuer des requêtes contre le serveur SQL.
Six types d’authentification sont pris en charge pour la connexion à un serveur SQL, bien qu’ils ne fonctionnent pas tous pour les serveurs SQL sur site. Pour les opérations sur site, vous utiliserez probablement soit l’authentification SQL Server, soit l’authentification Windows, en fournissant soit vos identifiants AD, soit vos identifiants SQL locaux.
Une fois que vous avez créé votre connexion ou obtenu l’accès à une connexion partagée, vous pouvez effectuer une série d’actions sur le SQL Server. Celui qui attirera l’attention de la plupart des lecteurs est « Exécuter une SQL Query (V2) ».
Si vous n’êtes pas familier avec les implications de la possibilité d’exécuter des requêtes SQL natives, je vous suggère de lire cet article de blog de mon collègue, Sanjiv Kawa, à propos de son outil SQLRecon. Évidemment, si vous pouvez exécuter des requêtes SQL sur un serveur, vous pouvez alors extraire toutes les données auxquelles vous avez accès, ce qui peut être préoccupant si des données sensibles sont stockées dans la base de données. Toutefois, si vous disposez d’un accès privilégié au serveur SQL, vous pouvez exécuter du code sur le système d’exploitation sous-jacent. Voici quelques façons de procéder :
Au final, cela dépend des privilèges de l’utilisateur qui a créé la connexion, mais si vous avez déjà basculé vers un serveur SQL pour atteindre un objectif, vous savez à quel point les comptes trop privilégiés sont courants. Même si l’utilisateur connecté n’a pas les privilèges pour exécuter du code, vous pouvez également vérifier l’usurpation d’identité, les liens vers d’autres serveurs SQL ou les identifiants stockés en clair dans les bases de données.
Cependant, tout cela est finalement inutile, puisque l’action « Exécuter une requête SQL (V2) » n’est pas prise en charge pour les passerelles.
D’autres actions, comme "Get rows(V2)", qui permettent de retirer les lignes d’une table spécifiée, fonctionnent bien. Nous ne pouvons tout simplement pas exécuter des requêtes arbitraires sur le serveur. Je suppose que c’est parce que Microsoft a envisagé la possibilité d’abus et a décidé qu’exposer les insécurités des serveurs SQL sur site aux utilisateurs externes d’O365 n’était pas une bonne chose.
Si vous parcourez toutes les actions disponibles pour le connecteur SQL, vous remarquerez l’action « Transformer les données à l’aide de Power Query ». Malgré son nom, Power Query ne fait pas partie de la famille de services Power Platform. Il s’agit plutôt d’un moteur de transformation des données que vous pouvez trouver dans d’autres services/applications, comme Excel. En tant que moteur de transformation des données, Power Query est conçu pour importer des données et les transformer sans modifier les données sources.
Après avoir créé l’action « Transformer les données à l’aide de Power Query » avec une connexion valide, un menu affichera toutes les tables de la base de données à laquelle il est connecté. Dans mon serveur SQL de test, il y a juste une table vide appelée « Persons ».
En sélectionnant « Transformer les données », nous passerons à l’écran suivant, qui est un éditeur Power Query. Power Query utilise le langage de formules M de transformation des données, un langage développé par Microsoft. Les documents de référence pour le langage M portent sur les « Fonctions d’accès aux données », une liste de fonctions pouvant être utilisées pour ingérer des données dans Power Query. Lorsque nous ouvrons notre éditeur Power Query à la requête par défaut, nous constatons que la fonction "Sql.Databases" est utilisée pour extraire des informations de la base de données connectée.
Après avoir parcouru la version PDF de 1 394 pages du langage M, j’ai remarqué que la fonction « Sql.Database » (notez l’absence de « S ») comportait un paramètre optionnel appelé « Query ». Ce paramètre est décrit comme « Une requête SQL utilisée pour récupérer des données ».
Si vous insérez le code Power Query suivant dans l’éditeur, un avertissement s’affiche indiquant que « Les requêtes natives peuvent être dangereuses et modifier la base de données ».
Eh bien, « modifier la base de données », c’est mon deuxième prénom ; alors après avoir cliqué sur « Continuer », nous sommes récompensés par le résultat d’une requête SQL native.
Pour récapituler, voici comment vous pouvez abuser de cela pour compromettre un serveur SQL sur site avec pour seul accès une licence Power Apps :
Selon ces documents Microsoft mis à jour pour la dernière fois en 2022, si vous partagez une application utilisant des données provenant d’une passerelle, la passerelle sera également partagée. D’après les tests effectués dans mon locataire, cela ne semble plus être le cas. Cela dit, si vous avez accès à une passerelle, vous pouvez créer de nouvelles connexions via celle-ci, ce qui signifie que vous n’êtes plus limité par les connexions existantes. Cela signifie qu’il faut avoir des identifiants compromis pour les comptes AD ou SQL Server et connaître les noms d’hôte des serveurs SQL Server, bien qu’il ne soit pas rare de tomber sur ces informations dans SharePoint/Confluence.
Vous pouvez aussi profiter d’autres connecteurs utilisant des passerelles, comme l’action "File System". Cela nécessite également que vous disposiez d’informations d’identification valides et de noms d’hôte valides, mais cela signifie que vous pouvez lire/écrire des fichiers sur des hôtes internes.
Si vous obtenez un compte avec accès à Power Apps, vous devrez vérifier tous les environnements auxquels vous avez accès. Vous pouvez le voir en sélectionnant le menu déroulant « Environnement » en haut à droite. Dans chaque environnement, sélectionnez « … Plus », puis « Tout découvrir ». Vous accéderez à une page où vous pourrez naviguer vers toutes les applications de Power Apps.
À partir de là, vous pouvez sélectionner « Connections » pour voir les connexions auxquelles vous avez accès, et « Gateways » pour voir les passerelles auxquelles vous avez accès. Vous pouvez également voir qui possède les connexions, ce qui vous permet de vérifier si l’utilisateur est privilégié ou non.
De plus, sur le côté gauche de l’écran se trouvent les boutons « Flows » et « Apps ». Vous devrez cliquer sur « Shared with me » pour pouvoir tout voir et commencer à rechercher des identifiants en clair ou des informations sensibles. Les actions de flux HTTP sont particulièrement propices à la découverte de mots de passe et de clés API.
Les administrateurs devraient envisager de limiter les utilisateurs qui peuvent installer des passerelles ou de les désactiver complètement s’il n’y a pas de cas d’utilisation pour elles. Vous pouvez le faire en accédant à la plateforme d’administration Power Apps, en sélectionnant « Data », en cochant la case « Tenant Administration » puis en sélectionnant « Manage gateway installers ». À partir de là, vous pouvez activer le paramètre « Restrict users in your organization from installing gateways » et ajouter les utilisateurs qui ont besoin d’installer des passerelles. Consultez la documentation de Microsoft pour plus d’informations.
Pensez à évaluer régulièrement les connexions de votre environnement et à vous assurer que les utilisateurs ne partagent pas de connexions sensibles à grande échelle.
Dans ce blog, nous avons examiné comment un utilisateur ayant accès à un connecteur SQL Server utilisant une passerelle de données sur site peut exécuter des requêtes natives sur le serveur et potentiellement faire la transition d’O365 vers des ressources sur site. Le comportement qui faisait de cette configuration une erreur de configuration courante a été modifié en 2024, mais avec un accès approprié, un pirate informatique peut toujours se trouver en position d’en abuser. Avec la publication de ce blog, nous espérons que les lignes de défense auditeront leur environnement afin d’identifier les passerelles et les connecteurs trop souvent partagés pour prévenir les attaques futures visant Power Apps.
10/02/2025 : premier cas MSRC soumis
11/02/2025 : le MSRC déclare qu’il s’agit d’un problème d’ingénierie sociale et clôture l’affaire
12/02/2025 : Deuxième dossier MSRC soumis
24/02/2025 : Le MSRC évalue la vulnérabilité avec un niveau de gravité faible
