MicrosoftのPowerプラットフォームサービスは、データ分析（Power BI）、Webサイト開発（Power Pages）、バーチャル・アシスタント（Power Virtual Agent）、および一種の「フル・アプリケーション」開発（Powerアプリ）を含む、ローコード/ノーコード（LCNC）プラットフォームを提供しています。これらのプラットフォームを使用すると、従来はプログラミングのエクスペリエンスを持つより技術的な開発者を必要としていたソリューションを、技術力の低いビジネス・ユーザーでも作成できるようになります。

LCNCプラットフォームはビジネス・ユーザーにとって強力なツールですが、プラットフォームの開発者は、あらゆる段階でセキュリティーが組み込まれているように注意する必要があります。正式なプログラミングエクスペリエンスのないビジネス・ユーザーは、現代のソフトウェア開発者と同じレベルのセキュリティー・アウェアネスを持っていない可能性があります。これにより、これらの LCNC プラットフォームにユーザーによる設定ミスが生じる可能性が高まります。

このブログ記事では、2022年にX-Force®の敵対者シミュレーションチームが、Microsoft社のPower®プラットフォームに依然として存在するセキュリティバイパス問題と、一般的なユーザーの構成ミスとをどのように組み合わせたかについて説明します。これにより、X-Force Redは強化された外部境界を突破し、オンプレミスのSQL Serverへのコード実行を可能にし、最終的にActive Directoryの完全な侵害につながりました。