Los servicios Power Platform de Microsoft ofrecen una plataforma de código bajo/sin código (LCNC) que incluye analytics de datos (Power BI), desarrollo de sitios web (Power Pages), asistentes virtuales (Power Virtual Agent) y una especie de desarrollo de "aplicación completa" (Power Apps). Estas plataformas pueden ofrecer a los usuarios empresariales con menos conocimientos técnicos la posibilidad de crear soluciones que, tradicionalmente, requerirían un desarrollador con más conocimientos técnicos y experiencia en programación.

Si bien las plataformas LCNC pueden ser una herramienta poderosa para los usuarios empresariales, los desarrolladores de la plataforma deben tener cuidado de que la seguridad esté integrada en cada paso. Es posible que los usuarios empresariales sin experiencia formal en programación no tengan el mismo nivel de concientización de seguridad que un desarrollador de software moderno. Esto puede aumentar la probabilidad de que se introduzcan errores de configuración del usuario en estas plataformas LCNC.

En esta entrada en el blog, veremos cómo, en 2022, el equipo de simulación de adversarios de X-Force Red combinó una configuración errónea de usuario común en ese momento con un problema de omisión de seguridad aún presente en la plataforma Power Apps de Microsoft. Esto permitió a X-Force Red violar un perímetro externo reforzado y obtener la ejecución de código en un servidor SQL on premises, lo que finalmente resultó en un compromiso total de Active Directory.