Layanan Power Platform Microsoft menawarkan platform low-code/no-code (LCNC) yang mencakup analisis data (Power BI), pengembangan situs web (Power Pages), asisten virtual (Power Virtual Agent) dan semacam pengembangan “aplikasi penuh” (Power Apps). Platform ini dapat memberi pengguna bisnis yang kurang teknis kemampuan untuk membuat solusi yang secara tradisional membutuhkan pengembang yang lebih teknis dengan pengalaman pemrograman.
Sementara platform LCNC dapat menjadi alat yang ampuh bagi pengguna bisnis, pengembang platform harus berhati-hati agar keamanan dimasukkan di setiap langkah. Pengguna bisnis tanpa pengalaman pemrograman formal mungkin tidak memiliki tingkat kesadaran keamanan yang sama dengan pengembang perangkat lunak modern. Ini dapat meningkatkan kemungkinan kesalahan konfigurasi pengguna diperkenalkan ke platform LCNC ini.
Dalam postingan blog ini, kita akan melihat bagaimana, pada tahun 2022, tim X-Force Red’s Adversary Simulation menggabungkan kesalahan konfigurasi pengguna umum pada saat itu dengan masalah bypass keamanan yang masih ada di platform Power Apps Microsoft. Ini memungkinkan X-Force Red untuk menembus perimeter eksternal yang diperkuat dan mendapatkan eksekusi kode ke server SQL on premises, yang pada akhirnya menghasilkan kompromi Active Directory penuh.
Pada tahun 2022, perilaku Power Apps default berarti bahwa ketika aplikasi Power Apps dibagikan dengan pengguna, koneksi terkait juga akan dibagikan. Ini membuatnya sangat mudah bagi pengguna untuk secara tidak sengaja berbagi koneksi dengan semua pengguna dalam suatu organisasi, ketika mereka mungkin hanya bermaksud berbagi aplikasi frontend. Perilaku ini diubah pada Januari 2024, menurut Microsoft, sehingga jauh lebih kecil kemungkinan pengguna akan secara tidak sengaja berbagi koneksi.
Namun, pada tahun 2022, X-Force Red mengidentifikasi koneksi SQL menggunakan “Gerbang Data Lokal” untuk terhubung ke server SQL on-prem yang telah dibagikan secara luas dengan cara ini. Meskipun kueri SQL asli tidak didukung untuk server SQL on-prem dalam aliran Power Apps, X-Force Red mengidentifikasi bahwa tindakan “Transformasikan data menggunakan Power Query” dapat digunakan untuk mengeksekusi kueri SQL asli terhadap server on-prem. Ini memungkinkan X-Force Red untuk berputar ke server SQL on-prem dan pada akhirnya mencapai semua tujuan untuk keterlibatan.
Bug ini baru dilaporkan ke Microsoft Security Response Center (MSRC), dan mereka telah menetapkan tingkat keparahan rendah, jadi kami sekarang menerbitkan detailnya.
Power Apps memungkinkan pengguna untuk membuat “aplikasi” dan “aliran” menggunakan GUI drop-and-drag yang khas untuk platform LCNC. Aplikasi dapat digunakan untuk membuat aplikasi front-end yang umumnya digunakan untuk menarik data dari suatu tempat dan menampilkannya kepada pengguna. Di bawah ini adalah aplikasi demo “Pelacak Anggaran” yang disediakan oleh Microsoft yang mengambil data dari spreadsheet Excel dan menampilkannya kepada pengguna.
Sisi lain dari Power Apps, Flows, akan akrab bagi siapa saja yang telah menggunakan layanan LCNC lain seperti Azure Logic Apps sebelumnya. Flows memungkinkan pengguna untuk membuat program seperti diagram alir dan biasanya digunakan untuk menarik data, memprosesnya, dan kemudian mengirimkannya ke suatu tempat. Di bawah ini adalah aliran yang sangat mendasar yang membuat permintaan HTTP dan kemudian mengurai JSON yang dihasilkan.
Power Apps memiliki rangkaian “Konektor” yang memungkinkan pengguna melakukan tugas-tugas seperti menyerap data atau mengirim email, tanpa menggunakan banyak tindakan permintaan HTTP. Banyak dari konektor ini hanyalah pustaka bawaan dari permintaan HTTP, tetapi mereka menghilangkan semua detail teknis dari pengguna. Alih-alih harus membuat permintaan HTTP ke Graph API untuk mendapatkan informasi tentang pengguna ID Entra, Anda cukup menghubungkan konektor ID Entra dan menggunakan tindakan “Dapatkan Pengguna”.
Power Apps menawarkan konektor untuk banyak layanan populer, termasuk layanan Microsoft dan penawaran pihak ketiga. Anda dapat mengambil file dari SharePoint, mengonversi dokumen ke PDF menggunakan Adobe PDF Services atau memulai ulang Mesin Virtual di Azure, hanya untuk menyebutkan beberapa. Saat membuat koneksi, Anda akan prompt untuk memberikan materi otentikasi tergantung pada layanan yang Anda sambungkan. Untuk hampir semua yang terkait dengan Microsoft, Anda cukup mengotentikasi menggunakan akun O365 Anda.
Catatan: Untuk sisa posting ini, saya akan menggunakan “konektor” untuk menggambarkan pustaka tindakan di Power Apps (mis: konektor ID Entra), dan “koneksi” untuk merujuk ke konektor yang telah dibuat dan diautentikasi oleh pengguna (mis: koneksi ID Entra diautentikasi sebagai john.smith@contoso.com) dan dapat digunakan untuk membuat tindakan baru.
Selama koneksi ini ada, otentikasi Anda akan dikaitkan dengannya. Setiap pengguna dengan akses ke koneksi tersebut dapat membuat tindakan baru yang akan menggunakan otentikasi Anda. Misalnya, jika Anda membuat koneksi ID Entra, maka pengguna lain dengan akses ke koneksi tersebut dapat membuat tindakan “Tambahkan pengguna ke grup”, yang akan menggunakan otentikasi Anda, bahkan jika pengguna tersebut tidak memiliki izin Entra ID yang diperlukan untuk menambahkan pengguna ke grup. Saya sebelumnya menulis blog tentang menyalahgunakan ini di Azure Logic Apps, dan menemukan eksploitasi eskalasi hak istimewa yang dapat diservis di Azure Logic Apps yang menyalahgunakan fungsi ini.
Hingga 2024, jenis serangan ini jauh lebih mungkin terjadi di Power Apps. Dulu ketika Anda akan berbagi aplikasi yang menggunakan koneksi, koneksi terkait juga akan dibagikan. Anda dapat melihat hal ini didokumentasikan di halaman ini dari Microsoft, yang belum diperbarui sejak tahun 2022. Namun, menurut laman mulai tahun 2024, hal ini tidak lagi berlaku. Sekarang, Anda akan memerlukan koneksi untuk dibagikan dengan akun Anda, yang merupakan kesalahan konfigurasi yang jauh lebih kecil. Ini bisa jadi hasil dari pembicaraan BlackHat 2023 “All You Need Is Guest” oleh Michael Bargury, sebuah ceramah luar biasa yang juga mencakup penghitungan dan pembuangan informasi dari Power Apps.
Bagaimana jika Anda perlu mengakses data yang tidak tersedia di internet? Bagaimana jika Anda perlu mengakses data dari server SQL lokal? Microsoft telah memikirkan hal ini dan membuat on-premises data gateways. Gerbang diinstal pada host on premises dan pada dasarnya bertindak sebagai proksi yang memungkinkan konektor Power Apps untuk berbicara dengan sumber daya on premises. Untuk mengakses server SQL lokal, Anda cukup menginstal gateway di SQL Server (atau di server lain, atau mungkin bahkan di workstation Anda jika Anda melakukan TI bayangan) dan kemudian menggunakan konektor SQL untuk melakukan kueri terhadap server.
Ada enam jenis otentikasi yang didukung untuk menghubungkan ke SQL server, meskipun tidak semuanya akan berfungsi untuk on premises SQL server. Untuk on premises, Anda kemungkinan akan menggunakan otentikasi SQL Server atau otentikasi Windows, dengan menyediakan kredensial AD atau kredensial SQL lokal.
Setelah Anda membuat koneksi atau mendapatkan akses ke koneksi bersama, Anda dapat melakukan sejumlah tindakan terhadap SQL Server. Salah satu yang akan menarik perhatian sebagian besar pembaca adalah “Execute a SQL Query (V2)”.
Jika Anda tidak familiar dengan implikasi dari kemampuan untuk menjalankan SQL Query asli, maka saya sarankan Anda membaca blog ini dari rekan setim saya, Sanjiv Kawa, tentang alatnya SQLRecon. Jelas, jika Anda dapat menjalankan kueri SQL di server, maka Anda dapat membuang semua data yang Anda memiliki izin untuk mengakses, dan ini bisa menjadi masalah jika data sensitif disimpan dalam database. Namun, jika Anda memiliki akses istimewa ke SQL server, maka Anda dapat mengeksekusi kode pada sistem operasi yang mendasarinya. Berikut adalah beberapa cara yang dapat Anda lakukan:
Ini pada akhirnya tergantung pada hak istimewa pengguna yang membuat koneksi, tetapi jika Anda pernah berputar melalui SQL server untuk mencapai tujuan, maka Anda tahu seberapa umum akun yang memiliki hak istimewa yang berlebihan. Bahkan jika pengguna yang terhubung tidak memiliki hak istimewa untuk mengeksekusi kode, Anda juga dapat memeriksa peniruan identitas, tautan ke server SQL Server lain atau kredensial yang disimpan dalam cleartext dalam database.
Namun, semua ini pada akhirnya tidak ada artinya, karena tindakan “Execute a SQL query (V2)” tidak didukung untuk gateway.
Tindakan lain, seperti “Dapatkan baris (V2)”, yang akan mengeluarkan baris dari tabel tertentu, berfungsi dengan baik. Kami tidak bisa menjalankan kueri sembarangan pada server. Saya kira ini karena Microsoft mempertimbangkan kemungkinan penyalahgunaan dan memutuskan bahwa mengekspos ketidakamanan server SQL on premises ke pengguna O365 eksternal itu buruk.
Jika Anda melihat melalui semua tindakan yang tersedia untuk konektor SQL, Anda akan melihat tindakan “Transformasikan data menggunakan Power Query”. Terlepas dari namanya, Power Query bukan anggota keluarga layanan Power Platform. Sebaliknya, ini adalah mesin transformasi data yang dapat Anda temukan di dalam layanan/aplikasi lain, seperti Excel. Sebagai mesin transformasi data, Power Query dirancang untuk mengambil data dan mengubahnya tanpa memodifikasi data sumber.
Setelah membuat tindakan “Transformasikan data menggunakan Power Query” dengan koneksi yang valid, akan muncul menu yang menunjukkan semua tabel di database apa pun yang terhubung dengannya. Di server SQL saya, hanya ada tabel kosong yang disebut “Persons”.
Memilih “Transform data” akan membawa kita ke layar berikutnya, yang merupakan editor Power Query. Power Query menggunakan bahasa formula M, bahasa transformasi data yang dikembangkan oleh Microsoft. Dokumen referensi untuk bahasa M mendokumentasikan “Mengakses fungsi data”, daftar fungsi yang dapat digunakan untuk menelan data ke Power Query. Ketika kita membuka editor Power Query kita ke kueri default, kita melihat bahwa fungsi “Sql.Databases” sedang digunakan untuk mengambil informasi dari database yang terhubung.
Setelah menelusuri versi PDF 1.394 halaman dari bahasa M, saya perhatikan bahwa fungsi “Sql.Database” (perhatikan “S” yang hilang) memiliki parameter opsional yang disebut “Query”. Parameter ini dijelaskan sebagai “SQL query asli yang digunakan untuk mengambil data”.
Jika Anda memasukkan kode Power Query berikut ke editor, peringatan ditampilkan yang mengatakan bahwa “Kueri asli mungkin tidak aman dan mengubah database”.
Nah, “ubah basis data” adalah nama tengah saya, jadi setelah menekan “Lanjutkan,” kami dihargai dengan output dari SQL query.
Sekadar rekap, inilah cara Anda dapat menyalahgunakan ini untuk membahayakan server SQL lokal tanpa apa-apa selain akses ke lisensi Power Apps:
Menurut dokumen Microsoft yang terakhir diperbarui pada tahun 2022, jika Anda membagikan aplikasi yang menggunakan data dari gateway, maka gateway tersebut juga akan dibagikan. Dari pengujian di penyewa saya, sepertinya ini tidak lagi terjadi. Meskipun demikian, jika Anda memiliki akses ke gateway, maka Anda dapat membuat koneksi baru melaluinya, yang berarti Anda tidak lagi dibatasi oleh koneksi yang ada. Ini berarti bahwa Anda harus mengompromikan kredensial plaintext untuk akun AD atau akun SQL dan mengetahui nama host server SQL, meskipun tidak jarang menemukan info ini di SharePoint/Confluence.
Anda juga dapat memanfaatkan konektor lain yang menggunakan gateway, seperti tindakan “File System”. Ini juga mengharuskan Anda memiliki kredensial dan nama host yang valid, tetapi itu berarti Anda dapat membaca/menulis file di host internal.
Jika Anda mendapatkan akses ke akun dengan akses Power Apps, Anda harus memeriksa semua lingkungan yang dapat Anda akses. Anda dapat melihat ini dengan memilih drop-down “Lingkungan” di sudut kanan atas. Di setiap lingkungan, Anda akan ingin memilih “... Lainnya” dan kemudian “Temukan Semua”. Ini akan membawa Anda ke halaman tempat Anda dapat menavigasi ke semua yang ada di Power Apps.
Dari sana, Anda dapat memilih “Koneksi” untuk melihat koneksi apa pun yang Anda akses, dan “Gateway” untuk melihat gateway apa pun yang Anda akses. Anda juga dapat melihat siapa yang memiliki koneksi, sehingga Anda dapat memeriksa apakah pengguna memiliki hak istimewa atau tidak.
Selain itu, di sisi kiri layar terdapat tombol “Alur” dan “Aplikasi”. Anda akan ingin menekan “Dibagikan dengan saya” sehingga Anda dapat melihat semuanya, dan Anda dapat mulai mencari kredenSIAL plaintext atau informasi sensitif. Tindakan aliran HTTP sangat matang untuk menemukan kata sandi dan kunci API.
Administrator harus mempertimbangkan untuk membatasi pengguna mana yang dapat menginstal gateway atau menonaktifkannya sepenuhnya jika tidak ada contoh penggunaan untuk mereka. Anda dapat melakukan ini dengan masuk ke platform admin Power Apps, memilih “Data”, mencentang kotak “Administrasi Penyewa” dan kemudian memilih “Kelola penginstal gateway”. Dari sana, Anda dapat mengaktifkan pengaturan “Batasi pengguna di organisasi Anda untuk menginstal gateway” dan menambahkan pengguna yang perlu menginstal gateway. Lihat dokumentasi Microsoft untuk informasi lebih lanjut.
Pertimbangkan untuk mengevaluasi koneksi secara berkala di lingkungan Anda dan memastikan bahwa pengguna tidak berbagi koneksi sensitif secara luas.
Di blog ini, kami memeriksa bagaimana pengguna dengan akses ke konektor server SQL menggunakan gateway data on premises dapat mengeksekusi kueri asli di server dan berpotensi berputar dari O365 ke sumber daya. Perilaku yang sebelumnya membuat ini salah konfigurasi umum diubah pada tahun 2024, tetapi dengan akses yang tepat, penyerang mungkin masih berada dalam posisi untuk menyalahgunakan ini. Dengan rilis blog ini, kami berharap para pembela akan mengaudit lingkungan mereka untuk mengidentifikasi gateway dan konektor overshared untuk mencegah serangan di masa mendatang yang menargetkan Power Apps.
2/10/2025: Kasus MSRC asli dikirim
2/11/2025: MSRC menyatakan bahwa ini adalah masalah rekayasa sosial dan menutup kasus
2/12/2025: Kasus MSRC kedua dikirim
2/24/2025: MSRC menilai kerentanan dengan tingkat keparahan rendah
