Catatan: Untuk sisa posting ini, saya akan menggunakan “konektor” untuk menggambarkan pustaka tindakan di Power Apps (mis: konektor ID Entra), dan “koneksi” untuk merujuk ke konektor yang telah dibuat dan diautentikasi oleh pengguna (mis: koneksi ID Entra diautentikasi sebagai john.smith@contoso.com) dan dapat digunakan untuk membuat tindakan baru.

Selama koneksi ini ada, otentikasi Anda akan dikaitkan dengannya. Setiap pengguna dengan akses ke koneksi tersebut dapat membuat tindakan baru yang akan menggunakan otentikasi Anda. Misalnya, jika Anda membuat koneksi ID Entra, maka pengguna lain dengan akses ke koneksi tersebut dapat membuat tindakan “Tambahkan pengguna ke grup”, yang akan menggunakan otentikasi Anda, bahkan jika pengguna tersebut tidak memiliki izin Entra ID yang diperlukan untuk menambahkan pengguna ke grup. Saya sebelumnya menulis blog tentang menyalahgunakan ini di Azure Logic Apps, dan menemukan eksploitasi eskalasi hak istimewa yang dapat diservis di Azure Logic Apps yang menyalahgunakan fungsi ini.

Hingga 2024, jenis serangan ini jauh lebih mungkin terjadi di Power Apps. Dulu ketika Anda akan berbagi aplikasi yang menggunakan koneksi, koneksi terkait juga akan dibagikan. Anda dapat melihat hal ini didokumentasikan di halaman ini dari Microsoft, yang belum diperbarui sejak tahun 2022. Namun, menurut laman mulai tahun 2024, hal ini tidak lagi berlaku. Sekarang, Anda akan memerlukan koneksi untuk dibagikan dengan akun Anda, yang merupakan kesalahan konfigurasi yang jauh lebih kecil. Ini bisa jadi hasil dari pembicaraan BlackHat 2023 “All You Need Is Guest” oleh Michael Bargury, sebuah ceramah luar biasa yang juga mencakup penghitungan dan pembuangan informasi dari Power Apps.