توفر خدمات Microsoft Power Platform منصة منخفضة الكود/دون كود (LCNC) تشمل تحليلات البيانات (Power BI)، وتطوير المواقع الإلكترونية (Power Pages)، والمساعدين الافتراضيين (Power Virtual Agent)، ونوعًا من تطوير "التطبيقات الكاملة" (Power Apps). يمكن لهذه المنصات أن تمنح مستخدمي الأعمال الأقل خبرة من الناحية التقنية القدرة على إنشاء حلول تتطلب تقليديًا مطورًا تقنيًا أكثر خبرة في البرمجة.

رغم أن منصات LCNC يمكن أن تكون أداة قوية لمستخدمي الأعمال، يجب على مطوري المنصة التأكد من تضمين الأمن في كل خطوة من خطوات التطوير. قد لا يمتلك مستخدمو الأعمال الذين لا يملكون خبرة برمجية رسمية نفس مستوى الوعي الأمني لمطوِّر البرمجيات الحديث. وهذا قد يزيد من احتمالية إدخال المستخدم لتكوينات خاطئة في منصات LCNC هذه.

في منشور المدونة هذا، سنستعرض كيف قام فريق محاكاة الخصوم في X-Force Red في عام 2022 بدمج تكوين خاطئ شائع في ذلك الوقت مع ثغرة تجاوز أمني لا تزال موجودة في منصة Microsoft Power Apps. مكَّن هذا فريق X-Force Red من اختراق محيط خارجي محصَّن وتنفيذ التعليمات البرمجية على خادم SQL محلي، ما أدى في النهاية إلى اختراق كامل لنظام Active Directory.