Intel исправила 19 уязвимостей в графических драйверах
Оба бага предоставляли атакующему с локальным доступом возможность выполнить произвольный код...

Docker: 10 Security Best Practices

Перевод статьи о лучших практиках по работе с образами Docker от компании Snyk

А также перевод памятки по безопасности образов Docker которую можно распечатать и держать перед глазами

Docker: 10 Security Best Practices

Специально для наших подписчиков подняли свой собственный MTProxy для Telegram
https://tttttt.me/proxy?server=tg.securixy.kz&port=404&secret=5337b0411e7849fce2b6b6e3baf40808

Горячие пирожки, наши братья с @sysadm_in_channel только что сообщили неприятную новость - Facebook хранил пароли в плейн-тексте в читабельном виде:
https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-user-passwords-in-plain-text-for-years/

Признание от ФБ:
https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/

Список линков на золотую коллекцию ресурсов

Awesome - оглавление - рекурсивно насчитывает более 100 000 ресурсов
https://github.com/sindresorhus/awesome

Awesome OSINT - сборник ресурсов на тему поиска, сбора и анализ информации о цели
https://github.com/jivoi/awesome-osint

Awesome Lockpicking - The art of unlocking a lock by manipulating its components without the key.
https://github.com/meitar/awesome-lockpicking

Awesome Honeypots - ловушки для хакеров
https://github.com/paralax/awesome-honeypots

Awesome Hacking - взлом и безопасность разных платформ, сети, веба, криптография, форензика и т.п.
https://github.com/carpedm20/awesome-hacking

Awesome Malware Ananlysis - Анализ зловредов
https://github.com/rshipp/awesome-malware-analysis

Awesome CTF - Capture The Flag
https://github.com/apsdehal/awesome-ctf

Awesome Android security - утилиты и best practices мануалы по безопасности Андроида
https://github.com/ashishb/android-security-awesome

Awesome Car security - безопасность "умных" авто
https://github.com/jaredthecoder/awesome-vehicle-security

Awesome Web security - безопасность веб-приложений
https://github.com/qazbnm456/awesome-web-security

Awesome Raspberry Pi - сборник ресурсов по малине
https://github.com/thibmaek/awesome-raspberry-pi

Awesome Windows - софт, гайды, чит-листы
https://github.com/Awesome-Windows/Awesome

Awesome Linux - софт, гайды, чит-листы
https://github.com/aleksandar-todorovic/awesome-linux

Awesome iOS - софт, гайды, чит-листы
https://github.com/vsouza/awesome-ios

Awesome Android - софт, гайды, чит-листы
https://github.com/JStumpp/awesome-android

Awesome Pentest - сборник ресурсов по пентесту и аудиту систем
https://github.com/enaqx/awesome-pentest

Ина сладкое - список фильмов, так или иначе связанных с IT
https://github.com/k4m4/movies-for-hackers

POC - Apache 2.4 - CVE-2019-0211


Разработчик Чарльз Фол (Charles Fol) разместил на портале GitHub PoC-код для обнаруженной им уязвимости Carpe Diem (CVE-2019-0211) в Apache HTTP Server 2.4, позволяющей при определенных обстоятельствах выполнить код с правами суперпользователя и перехватить управление сервером.

В сопроводительном комментарии Фол пояснил, что код представляет собой нечто среднее между демонстрационным PoC и полноценным эксплоитом и предназначен в том числе для образовательных целей. Хотя опубликованный код, по словам инженера, может не сработать по ряду причин, с его помощью злоумышленники могут создать рабочий эксплоит, поэтому администраторам (особенно сервисов совместного web-хостинга) рекомендуется как можно скорее установить версию Apache HTTP Server v2.4.39, устраняющую указанную уязвимость, а также ряд других проблем.
CVE-2019-0211 затрагивает только версию Apache HTTP Server для Unix-систем. Разработчики Debian, SuSE, Ubuntu и cPanel уже выпустили корректирующие обновления. Для FreeBSD опубликовано соответствующее предупреждение, однако патч пока недоступен.

Скопируйте эту ссылку и вставьте в Telegram

Microsoft Windows - 0Day


В рамках апрельского «вторника исправлений» компания Microsoft выпустила пакет обновлений, устраняющих в общей сложности 74 бага, включая две уязвимости нулевого дня, в различных продуктах. В минувшем месяце производитель также исправил две уязвимости в Windows, активно атакуемые злоумышленниками.

Обе «свежие» проблемы (CVE-2019-0803 и CVE-2019-0859) представляют собой уязвимости повышения привилегий, затрагивающие компонент Win32k. Согласно описанию Microsoft, баг существует в связи с некорректной обработкой объектов в памяти, а его эксплуатация позволяет выполнить код в режиме ядра. В результате злоумышленник получит возможность устанавливать программы, просматривать, изменять или удалять данные, создавать новые учетные записи с полными правами и т.д. Для эксплуатации уязвимости атакующий должен авторизоваться в системе и запустить вредоносное приложение.
В каких именно атаках используются вышеуказанные уязвимости, компания не сообщила.
В числе прочих производитель устранил ряд критических уязвимостей в различных компонентах, в частности, CVE-2019-0824, CVE-2019-0825 и CVE-2019-0827 в СУБД Microsoft Access и CVE-2019-0853 в компоненте Windows GDI+. С полным списком исправленных проблем можно ознакомиться здесь.

Взято ©: https://www.securitylab.ru
Скопируйте эту ссылку и вставьте в Telegram

Command Injection in #Notepad++

https://hackerone.com/reports/497312

POC – новые эксплоиты для Windows от SandboxEscaper
За последние три дня SandboxEscaper уже обнародовала три эксплоита для привеска Windows. Качайте...

Безопасники Казахстана встретятся в Алма-Ате и Нур-Султане на Коде ИБ в начале лета
Ближайшие конференции по ИБ 2019...

Колл-центры Банков запрашивают у клиентов коды из SMS-сообщений для аутентификации

Привычка сотрудников банков запрашивать у клиентов коды из полученных ими SMS-сообщений может обернуться кражей средств со счетов.
Как сообщает издание «КоммерсантЪ», для аутентификации пользователей сотрудники российских банков все чаще запрашивают коды из SMS-сообщений.
В самих финорганизациях подобную процедуру считают безопасной, поскольку в сообщениях указано, какие коды можно называть, а какие нет.
Тем не менее, ИБ-эксперты видят здесь возможности для мошенничества. По словам специалистов, клиенты могут привыкнуть к тому, что сообщать присланные им в сообщениях коды сотрудникам банка является нормой. Люди считают, будто код нужен для проведения банковской операции и не задумываются о возможных рисках. Обычно финорганизации присылают клиентам коды в SMS-сообщениях для подтверждения списания денежных средств. Сообщать их кому-либо, в том числе банковским сотрудникам, нельзя.



Некоторые финорганизации отправляют клиентам коды, которые нужно сообщать сотрудникам в офисе для обеспечения безопасности таких операций, как подключение автоплатежей, досрочное погашение кредитов и пр. В частности, это практикуется в МКБ, ВТБ и банке «Открытие». Тем не менее, в некоторых финорганизациях коды запрашивают работники колл-центров для аутентификации пользователей, и считают это вполне безопасным.

ИБ-эксперты настоятельно рекомендуют отказаться от вышеупомянутой практики. По их мнению, пользователи могут привыкнуть к тому, что сообщать коды, в том числе строго конфиденциальные, можно и нужно. Этим могут воспользоваться мошенники, которые могут звонить жертвам от имени банков, запрашивать секретные коды для подтверждения денежных транзакций и похищать деньги с их счетов.


Взято ©: https://www.securitylab.ruСкопируйте эту ссылку и вставьте в Telegram