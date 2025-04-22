タグ
セキュリティー

パワーアップ：Power Appsを悪用してオンプレミスサーバーを侵害

ITサーバーで埋め尽くされた長い部屋の向こう側に立つ2人の男性

共同執筆者

Joshua Magri

Senior Managing Security Consultant

Adversary Services, IBM X-Force Red

MicrosoftのPowerプラットフォームサービスは、データ分析（Power BI）、Webサイト開発（Power Pages）、バーチャル・アシスタント（Power Virtual Agent）、および一種の「フル・アプリケーション」開発（Powerアプリ）を含む、ローコード/ノーコード（LCNC）プラットフォームを提供しています。これらのプラットフォームを使用すると、従来はプログラミングのエクスペリエンスを持つより技術的な開発者を必要としていたソリューションを、技術力の低いビジネス・ユーザーでも作成できるようになります。

LCNCプラットフォームはビジネス・ユーザーにとって強力なツールですが、プラットフォームの開発者は、あらゆる段階でセキュリティーが組み込まれているように注意する必要があります。正式なプログラミングエクスペリエンスのないビジネス・ユーザーは、現代のソフトウェア開発者と同じレベルのセキュリティー・アウェアネスを持っていない可能性があります。これにより、これらの LCNC プラットフォームにユーザーによる設定ミスが生じる可能性が高まります。

このブログ記事では、2022年にX-Force®の敵対者シミュレーションチームが、Microsoft社のPower®プラットフォームに依然として存在するセキュリティバイパス問題と、一般的なユーザーの構成ミスとをどのように組み合わせたかについて説明します。これにより、X-Force Redは強化された外部境界を突破し、オンプレミスのSQL Serverへのコード実行を可能にし、最終的にActive Directoryの完全な侵害につながりました。

TL;DR

2022年、Power Appsのデフォルトの動作では、Power Appsアプリケーションがユーザーと共有されると、関連するすべての接続も共有されるという仕組みでした。これにより、ユーザーはフロントエンド・アプリケーションを共有することだけを目的としていた場合に、誤って組織内のすべてのユーザーと接続を共有することが非常に容易になりました。Microsoftによると、この動作は2024年1月に変更されたため、ユーザーが誤って接続を共有する可能性がはるかに低くなりました。

しかし、2022年にX-Force Redは、「オンプレミス・データ・ゲートウェイ」を使用したSQL接続を特定し、この方法で広く共有されていたオンプレミスのSQL Serverに接続しました。Power Apps のフローでは、オンプレミスの SQL Server に対する SQL Query はサポートされていませんが、X-Force Red は、「Power Query を使用してデータを変換する」アクションを使用して、オンプレミスのサーバーに対して SQL Query を実行できることを確認しました。これにより、X-Force RedはオンプレミスのSQL Serverに軸足を移し、最終的にエンゲージメントのすべての目標を達成することができました。

このバグは最近 Microsoft セキュリティレスポンスセンター (MSRC) に報告され、重要度が「低」に設定されたため、詳細を公開しています。

Power Appsとは

Power Appsでは、ユーザーはLCNCプラットフォームでは一般的なドロップ・アンド・ドラッグGUIを使用して「アプリ」と「フロー」を作成できます。アプリはフロントエンドアプリケーションを作成するために使われ、一般的にどこかからデータを引き出してユーザーに表示します。以下は、Microsoftが提供する「Budget Tracker」デモ・アプリケーションで、Excelスプレッドシートからデータを取り込み、ユーザーに表示します。

キャンバス・アプリケーションの例
キャンバス・アプリケーションの例

Power Appsのもう一方の機能であるFlowsは、Azure Logic Appsのような別のLCNCサービスを使用したことがある人にとっては馴染みのあるものです。フローはフローチャートのようなプログラムを作成するもので、通常はデータを取り込んで処理し、どこかに送信するために使用されます。以下は、HTTPリクエストを作成し、その結果としてのJSONを解析する非常に基本的なフローです。

JSONを解析するためにHTTPへのフローを手動でトリガーするプロセスを示すフローチャート
フローの例

接続

Power Appsには「Connectors」スイートがあり、ユーザーはHTTPリクエスト・アクションを多用することなく、INGESTやEメールの送信といったタスクを実行できます。これらのコネクタの多くは、HTTPリクエストの事前構築されたライブラリにすぎませんが、ユーザーからの技術的な詳細はすべて抽象化されています。Entra IDユーザーに関する情報を取得するために、Graph APIへのHTTPリクエストを作成する必要がなく、Entra IDコネクターを接続して、「Get User」アクションを使用するだけで済みます。

「Microsoft Entra ID」コネクター・アクションのサブセット
「Microsoft Entra ID」コネクター・アクションのサブセット

Power Appsは、Microsoftのサービスやサード・パーティー製品の両方を含む、多くの一般的なサービス用のコネクターを提供します。SharePointからファイルを取得したり、Adobe PDF Servicesを使用してドキュメントをPDFに変換したり、Azureで仮想マシンを再起動したりできます。接続を作成すると、接続するサービスに応じて認証情報をプロンプトするように求められます。Microsoftに関連するほぼすべての作業では、O365アカウントを使用して認証するだけで済みます。

Entra IDコネクターの認証プロンプト
Entra IDコネクターの認証プロンプト

：この記事の残りの部分では、「コネクタ」を使用してPower Appsのアクションのライブラリ（例：Entra IDコネクター）を、「接続」を使用して作成されたコネクターを指します。ユーザーによって認証されました（例：john.smith@contoso.comとして認証されたEntra ID接続）新しいアクションを作成するために使用できます

この接続が存在する限り、認証はその接続に関連付けられます。その接続にアクセスできるユーザーは、あなたの認証を使用する新しいアクションを作成できます。たとえば、Entra ID接続を作成した場合、その接続にアクセスできる別のユーザーが「ユーザーをグループに追加」アクションを作成できます。このアクションでは、そのユーザーがユーザーをグループに追加するために必要なEntra ID権限を持っていなくても、ユーザーの認証を使用できます。以前、Azure Logic Appsでの悪用についてブログで書きましたが、Azure Logic Appsでこの機能を悪用する有効な権限エスカレーションのエクスプロイトを見つけました。

2024年まで、この種の攻撃はPower Appsで発生する可能性がはるかに高かったのです。以前は、接続を使用するアプリケーションを共有すると、関連する接続も共有されるという状況が発生していました。この文書はこのページでご覧いただけます Microsoft 製ですが、2022 年以降更新されていません。しかし、2024年のこのページ（ ）によれば、これはもはや当てはまりません。今は、接続をアカウントで共有する必要がありますが、これは設定ミスの可能性がはるかに低くなります。これは、BlackHat 2023のMichael Bargury氏による講演「All You Need Is Guest」、Power Appsからの情報の列挙とダンプについても扱った素晴らしい講演の結果かもしれません。

オンプレミス・データ・ゲートウェイ

インターネット上にないデータにアクセスする必要がある場合はどうすればよいでしょうか。オンプレミスのSQL Serverからデータにアクセスする必要がある場合はどでしょうか。マイクロソフトはすでにこのことを考え、オンプレミスのデータゲートウェイ を作っている。ゲートウェイはオンプレミスにインストールされ、基本的にPower Appsコネクターがオンプレミスの参考情報と通信できるようにするプロキシーとして機能します。オンプレミスのSQL Serverにアクセスするには、SQL Server（または別のサーバー、あるいはシャドーITを行っている場合はワークステーションにも）ゲートウェイをインストールして、SQLコネクターを使用してサーバーに対してクエリーを実行します。

SQL Serverコネクター

SQL Serverに接続するためにサポートされている認証タイプは6種類ありますが、そのすべてがオンプレミスのSQL Serverで機能するわけではありません。オンプレミスの場合は、SQL Server認証またはWindows認証のいずれかを使用し、AD認証情報またはローカルSQL認証情報のいずれかを指定することになります。

SQL Serverコネクター認証ダイアログ
SQL Serverコネクター認証ダイアログ

接続を作成したり、共有接続にアクセスしたりしたら、SQL Serverに対してさまざまなアクションを実行できます。多くの読者の目を引くのは「SQL Queryの実行（V2）」です。

SQL Serverアクションのサブセット
SQL Serverアクションのサブセット

ネイティブSQLクエリを実行できることの意味をご存じない場合は、私のチームメイトであるSanjiv Kawaのツールに関するブログを読むことをお勧めします。明らかに、サーバー上でSQLクエリーを実行できれば、アクセス権限のあるすべてのデータをダンプできます。これは、機密データがデータベースに保存されているかどうかに関わる可能性があります。ただし、SQL Serverへの特権アクセスがある場合は、基盤となるオペレーティング・システムでコードを実行できます。その方法としては、次のようなものがあります。

  • xp_cmdshell 保管プロシージャ
  • OLE オートメーション手順
  • .NET CLRアセンブリーの実行
  • SQLエージェントの求人

これは、最終的には接続を作成したユーザーの権限に依存しますが、目的を達成するためにSQL Serverを介して方向転換したことがあるなら、過剰な特権アカウントがいかに一般的であるかがわかります。接続しているユーザーがコードを実行する権限を持っていない場合でも、なりすまし、他の SQL Server へのリンク、またはデータベースにクリアテキストに保管されている認証情報をチェックすることもできます。

ただし、「SQL Query (V2)」アクションはゲートウェイではサポートされていないため、これらすべては最終的には意味がありません。

オンプレミス・ゲートウェイ経由でネイティブSQLクエリーを実行しようとしたときのエラー・メッセージ
オンプレミス・ゲートウェイ経由でネイティブSQLクエリーを実行しようとしたときのエラー・メッセージ

指定されたテーブルから行を取得する「行の取得（V2）」などの他のアクションは正常に機能します。サーバー上で任意のクエリを実行することはできません。これは、Microsoft社が悪用の可能性を検討し、オンプレミスのSQL Serverの脆弱性を外部のO365ユーザーに公開するのは悪質であると判断したためと考えています。

トランスフォーマーは、（そのSQL Serverに）ロールアウトしてください。

SQLコネクターで利用可能なすべてのアクションを調べると、「Power Queryを使用したデータの変換」アクションが見つかります。Power Query は、そのような名前に反し、Power Platform のサービス・ファミリーのメンバーではありません。むしろ、Excelのような他のサービスやアプリケーション内にあるデータ変換エンジンです。データ変換エンジンとして、Power Queryは、ソース・データを変更せずにデータを取り込み、変換するように設計されています。

有効な接続で「Power Queryを使用してデータを変換」アクションを作成すると、接続されているデータベース内のすべてのテーブルを表示するメニューが表示されます。私のテストSQL Serverには、「Persons」という空のテーブルがあるだけです。

Power Queryアクション・ダイアログを使用したデータ変換方法の例
Power Queryアクション・ダイアログを使用してデータを変換する

「データの変換」を選択すると、Power Queryエディターの次の画面が表示されます。Power QueryはMicrosoftが開発したデータ変換言語である Mフォーミュラを使用しています。M言語ドキュメントの参考資料「データ関数へのアクセス」は、Power Queryにデータを取り込むために使用できる関数のリストです。Power Queryエディターでデフォルトのクエリーを開くと、接続されたSQL Databaseから情報を取得するために「Sql.Databases」関数が使用されていることがわかります。

Advanced Power Query Editorのダイアログ
Advanced Power Query Editorのダイアログ

M言語の1,394ページのPDFバージョンを閲覧した後、「Sql.Database」関数（「S」の欠落に注意してください）に「Query」というオプションのパラメーターがあることに気づきました。このパラメーターは、「データを取得するために使用されるネイティブSQL Query」と説明されます。

Sql.Database関数のMSDNドキュメント
Sql.Database関数のMSDNドキュメント

次の Power Query コードをエディターにポップアップすると、「ネイティブ・クエリは安全ではなく、データベースを変更する可能性があります」という警告が表示されます。

Sql.Database 関数を使用してネイティブ SQL Query を実行するための Power Query コード
Sql.Database 関数を使用してネイティブ SQL Query を実行するための Power Query コード
Power Query を使用してネイティブクエリを実行しようとすると警告が表示される
Power Query を使用してネイティブクエリを実行しようとすると警告が表示される

さて、「データベースの変更」は私のミドルネームなので、「次に進む」を押すと、SQL queryのアウトプットが得られます。

ネイティブ・クエリー実行の成果
ネイティブ・クエリー実行の成果

要約すると、これを悪用して、Power Appsライセンスへのアクセス権だけでオンプレミスのSQL Serverを侵害する方法は次のとおりです。

  1. ユーザーは、オンプレミスの SQL 接続を使用するアプリケーションを作成し、それを意図的にまたは不注意で全員と共有します。
  2. 攻撃者は新しいフローを作成し、既存のSQL接続を使用して「Power Queryでデータを変換」アクションを追加します。
  3. 接続しているユーザーがSQL管理者または代理権限を持っている場合、あるいはデータベース内に特権SQLリンクや認証情報がある場合、あるいは他の特権認証情報を取得している場合、オンプレミスのSQL Serverにピボットできます。

ゲートウェイの悪用

2022年に最終更新されたマイクロソフトのドキュメント（）によると、ゲートウェイからのデータを使用するアプリを共有する場合、ゲートウェイも共有されます。私のテナントでのテストから、これはもはや当てはまらないようです。とはいえ、ゲートウェイにアクセスできる場合は、それを介して新しい接続を作成できるため、既存の接続の制限がなくなりました。これは、ADまたはSQLアカウントのプレーンテキストの認証情報を侵害し、SQL Serverのホスト名を知っている必要があることを意味します。ただし、SharePoint/Confluenceでこの情報に遭遇することは珍しいことではありません。

「ファイル・システム」アクションなど、ゲートウェイを使用する他のコネクターを利用することもできます。また有効な認証情報とホスト名も必要ですが、内部ホスト上にあるファイルの読み取り/書き込みが可能であることを意味します。

一般的な列挙方法

Power Apps アクセス付きアカウントにアクセスした場合は、アクセスできるすべての環境を確認する必要があります。これは、右上隅の「環境」ドロップダウンを選択すると確認できます。それぞれの環境で、「... More」を選択してから「Discover All」を選択してください。これにより、Power Appsのすべての作業を確認できるページに移動します。

Power Appsを列挙するための「すべてを検出」ダイアログ
Power Apps列挙のための「Discover All」ダイアログ

そこから、アクセス可能な接続を表示するには「接続」を、アクセス可能なゲートウェイを選択すると「ゲートウェイ」を選択できます。また、誰が接続を所有しているかを確認できるため、ユーザーが特権があるかどうかを確認できます。

Power Appsを列挙するためのデータとデータ管理メニュー
Power Appsを列挙するためのデータとデータ管理メニュー
コネクターの詳細画面
コネクターの詳細画面

また、画面の左側には「フロー」と「アプリ」のボタンがあります。「共有済み」をクリックするとすべてが表示され、プレーンテキストの認証情報や機密情報を探し始めることができます。HTTPフロー・アクションは、パスワードやAPIキーの検索に特に適しています。

防御面での考慮

管理者は、ゲートウェイをインストールできるユーザーを制限するか、ビジネス・ユースケースがない場合は完全に無効化することを検討する必要があります。Power Appsの管理画面に入り、"Data "を選択し、"Tenant Administration "のチェックボックスにチェックを入れ、"Manage gateway installers "を選択することで可能です。そこから、「組織内のユーザーがゲートウェイをインストールするのを制限する」設定を有効にし、ゲートウェイをインストールする必要があるユーザーを追加できます。詳細については、Microsoftのドキュメンテーションをご覧ください。

環境内の接続を定期的に評価し、ユーザーが機密性の高い接続を広く共有していないことを確認してください。

まとめ

このブログでは、オンプレミスのデータ・ゲートウェイを使用してSQL Serverコネクターにアクセスできるユーザーが、どのようにサーバー上でネイティブ・クエリーを実行し、O365からオンプレミスのリソースにピボットできるかを検証しました。以前はよくある設定ミスとなっていた動作は 2024 年に変更されましたが、適切なアクセス権があれば、攻撃者は依然としてこれを悪用できる可能性があります。このブログのリリースにより、防御側の環境を監査してゲートウェイや過剰共有コネクターを特定し、Power Appsを標的とした将来の攻撃を防ぐことを期待しています。

開示期間:

2025年2月10日：元のMSRCケースを送信

2025年2月11日: MSRCは、これはソーシャルエンジニアリングの問題であると述べ、ケースをクローズしました。

2025年2月12日：2番目のMSRCケースが送信

2/24/2025:MSRCが脆弱性を「深刻度低」と評価

