-
-
[资讯](12.16)Python或将成为Excel官方脚本语言;微软云认证服务 Azure AD 存在漏洞,恶意者可借此实现提权;
-
发表于: 2017-12-16 10:26 3012
-
微软考虑将Python加入Excel官方脚本语言
目前,根据上月公开的Excel 反馈hub的主题来看,微软正在考虑将Python列为Excel官方脚本语言之一。
呼吁声音最高的主题便是将这个功能请求,投票数几乎是第二名的两倍。
微软正在考虑这个想法
昨天微软操作系统的创始人回应,称将发起一个调查,收集更多的信息,以及用户想要在Excel中如何使用Python。
如果允许的话,Excel用户将可以使用Python脚本和Excel文件、数据和其他Excel的核心功能进行交互,这个与Excel目前所支持的VBA脚本类似。
Python是目前可以使用的最广泛的编程语言之一,在开发者群体中深受欢迎。在PYPL编程语言排名中位列第二,在RedMonk编程语言排名中位列第三位,在TIOBE指数中位列第四位。
用户呼吁Python在Office 应用程序中的广泛应用
有用户指出,如果微软想要在Excel中支持Python,那么微软所有其他的应用都需要支持Office。
微软目前尚未做出反馈。
本文由看雪翻译小组哆啦咪编译
微软云认证服务 Azure AD 存在漏洞,恶意者可借此实现提权
近日,微软 Azure Active Directory 云服务曝出了一个权限错误,恶意者可借此进行提权操作,从而获得企业内部网络的未授权访问权限。
此漏洞是微软于周二公布的,据发现方 Preempt Security 介绍,基于微软 Active Directory 域服务的 Office 365 软件以及 Azure AD Connect 软件都受到了影响。
对于这个问题微软并没有通过发布补丁来解决,而是提供了一个 PowerShell 脚本来调整 Active Directory 域帐户的权限,以此保护客户免受漏洞的影响。微软还表示,后续版本的软件(即 1.1.654.0 之后)将不会受漏洞影响。
在此之前,拥有密码管理权限的用户能够对密码进行任意设置,如果使用此类帐户登录,将有可能造成权限的提升。为此微软降低了这些帐户的权限,从而消除了该漏洞。
Preempt CTO 兼联合创始人 Roman Blachman 表示,这个漏洞允许攻击者在域内获得受限的或临时的特权,从而进行提权。一种方式是借助受限的特权来更改域管理员的密码,然后,攻击者以域管理员的身份登录,并修改配置文件以获取内网访问权限。对另一种情况,攻击者可借助受限的特权将原有用户从管理组中删除,而后将自己添加到具有特权的管理组中。
同时,研究人员表示,为了避开检测,恶意者会选择将 MSOL 账户作为目标,这些账户不像域管理账户那样被严格监控着,并且拥有与进行提权相关的操作权限。借助前面的技术,攻击者能通过 MSOL 帐户来提升他们的权限。
Blachman 解释道:“最终攻击者可以登录到 Azure AD Connect,并重新对帐户进行配置以便一切能够保持正常,没有人会注意到这些帐户的变化。”
原文链接:https://threatpost.com/permissions-flaw-found-azure-ad-connect/129170/
本文由看雪翻译小组 BDomne 编译
SSL VPN 客户端程序 FortiClient 访问控制缺陷暴露用户加密证书
据外媒报道,美国证券交易委员会安全实验室(SEC Consult))近期发现用于登录 Linux、Mac OSX 和 Windows 的客户端程序 FortiClient 由于将加密的 VPN 身份验证证书存储在不安全的位置,导致已获得登录权限的攻击者能够通过存有登录凭据的同一服务器获取到其他员工的加密证书,造成严重安全问题。SEC Consult 将这一问题评为 “高危漏洞 ”,而 Fortinet 官方则将其风险评级定为 4 / 5。
FortiClient 是一个基于客户端的软件解决方案,为台式机和笔记本电脑提供了一系列的安全功能。当与 FortiGate 设备连接时,FortiClient 提供 IPsec 和 SSL 加密、广域网优化、终端合规和双因子认证。(编者注)
以下是关于 FortiClient 产品两个漏洞的简单描述:
第一个问题与 VPN 凭证存储在( Unix、Linux 或 Mac OSX 上的)配置文件或( Windows 上的)注册表中,这意味着攻击者可以轻松访问配置文件。
第二个问题与应用程序对证书的解密密钥进行硬编码有关,几乎所有的Fortinet安装都是一样的,这也导致攻击者能够轻易找到解密方式。
SEC 解释称: 虽然 VPN 身份验证证书是经过加密的,但仍然可以恢复。因为解密密钥在程序中是硬编码的, 且在所有安装中都相同。最重要的是,前面所提及的存储是可读的,这实际上为证书的恢复奠定了基础。 这些漏洞非常隐蔽,特别是在企业环境中,具有有效域证书的内部人员可以收集所有其他 VPN 用户的证书并获得对其域用户帐户的访问权限。
目前,SEC 已经开发完成并计划在近期发布概念验证( PoC )工具,以帮助用户恢复密码。根据 Fortinet 官方的说法,该漏洞能够影响的版本包括:
1、Windows 和 Mac系统上的 FortiClient 5.6.0 及早期版本
2、Linux 系统上的 FortiClient 4.4.2334 及早期版本
Fortinet 产品的 Android 和 iOS 应用程序暂未受到漏洞影响。Fortinet 官方已为 FortiClient 提供了安全更新以便修复这一严重漏洞。Windows 和 Mac 上的 5.6.1 版本、Linux 上的 4.4.2335 版本可以更新至最新的 FortiOS 5.4.7 版本解决问题。
来源:hackernews
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
赞赏
- [话题] 9月10日 教师节到了,说说你记忆深刻的老师 4518
- [原创] 我和程序猿男朋友的爱恨情仇【结帖】 8665
- [推荐]看雪杯AFSRC造洞节,最棒的福利送给看雪的你! 6460
- [注意]某白帽未授权渗透测试政府网站被抓 8526
- [分享] 本周 安全类会议 大汇总 4687