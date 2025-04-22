Microsoft의 Power 플랫폼 서비스는 데이터 분석(Power BI), 웹사이트 개발(Power 페이지), 가상 비서(Power 가상 에이전트), 일종의 '전체 애플리케이션' 개발(Power 앱)을 포함하는 로우코드/노코드(LCNC) 플랫폼을 제공합니다. 이러한 플랫폼은 기술 수준이 낮은 비즈니스 사용자에게 기존에는 프로그래밍 경험이 있는 보다 기술적인 개발자가 필요했던 솔루션을 만들 수 있는 기능을 제공할 수 있습니다.

LCNC 플랫폼은 비즈니스 사용자에게 강력한 도구가 될 수 있지만 플랫폼 개발자는 모든 단계에서 보안이 적용되도록 주의를 기울여야 합니다. 비즈니스 사용자들은 공식적인 프로그래밍 경험이 없을 수 있으므로, 최신 소프트웨어 개발자와 동일한 수준의 보안 인식을 갖추지 못할 수 있습니다. 이로 인해 이러한 LCNC 플랫폼에 사용자 구성 오류가 발생할 가능성이 높아질 수 있습니다.

이 블로그 게시물에서는 2022년에 X-Force Red의 적대적 시뮬레이션 팀이 Microsoft의 Power Apps 플랫폼에 여전히 존재하는 보안 우회 문제와 당시의 일반적인 사용자 구성 오류를 어떻게 결합했는지 살펴볼 것입니다. 이를 통해 X-Force Red는 강화된 외부 경계를 뚫고 온 프레미스 SQL 서버에 코드를 실행할 수 있게 되었고, 결국 Active Directory가 완전히 손상되는 결과를 초래했습니다.