Posible filtración de datos de clientes en dell.com

dell-symbol

No se ha podido confirmar si el ataque tuvo éxito, aunque la compañía ya ha reseteado las contraseñas de sus usuarios

El día 9 de noviembre, el equipo de Dell detectó un acceso no autorizado a su red que pretendía robar información privada de sus clientes, limitándose a nombres, emails y hashes de contraseña. Según el anuncio oficial, no se han extraído otros datos sensibles, como pueden ser las tarjetas de crédito.

Aunque no ha podido comprobarse si los atacantes lograron extraer la información, Dell ha reseteado la contraseña de todos sus usuarios, y recomienda cambiar la clave si ésta se utilizase en otros sitios.  Además de la investigación interna, se ha solicitado a una auditoría a una empresa externa para esclarecer los hechos. En el anuncio, también se especifica que pudo haberse borrado información, aunque no se tiene constancia de ello.

La posible filtración no ha afectado a otros productos de la compañía, viéndose afectada sólo la tienda en línea y los usuarios que estuviesen registrados en el portal dell.com. Las contraseñas, al utilizar un hash (no se ha especificado cómo) no es posible descifrarlas, siendo vulnerables únicamente mediante la fuerza bruta. A pesar de esta medida de seguridad, siempre es recomendable cambiar la contraseña en una filtración, y aún más si se utilizan palabras de diccionario.

 

Más información:

Dell Announces Potential Cybersecurity Incident:
https://www.dell.com/learn/us/en/uscorp1/press-releases/2018-11-28-customer-update

Inyección de comandos en el lanzador de Epic Games

 

Se ha detectado una vulnerabilidad que podría permitir la inyección de comandos en el lanzador o ‘launcher’ de Epic Games.

Epic Games

Epic Games es una empresa de desarrollo de videojuegos estadounidense, bien conocida tanto por los motores de juegos Unreal Engine como por videojuegos de la talla de la serie de ‘shooters’ en primera persona Unreal, la saga Gears of War y Fortnite.

El problema se debe a un error de falta de comprobación al procesar una URI por parte del manejador del protocolo ‘com.epicgames.launcher’. Esto podría desencadenar la ejecución de una llamada al sistema compuesta por una cadena proporcionada por el usuario, que podría ser aprovechada para inyectar comandos en el contexto del usuario.

Esta vulnerabilidad permitiría a un atacante remoto ejecutar código arbitrario en instalaciones vulnerables de Microsoft Visual Studio con herramientas para el desarrollo de Unreal Engine instaladoEs necesaria la interacción del usuario para aprovechar exitosamente esta vulnerabilidad (lo que podría lograrse sin su conocimiento al ser engañado para visitar una página web maliciosa o abrir un archivo malicioso).

Esta vulnerabilidad, descubierta por el usuario ‘rgod’ de ‘9sg Security Team’, ha sido identificada como CVE-2018-17707 y puntuada con 8.8 sobre 10 debido a su peligrosidad. Ha sido corregida en la versión 8.2.2 del lanzador de Epic Games.

Más información:

Epic Games Launcher Protocol Command Injection Remote Code Execution Vulnerability
https://www.zerodayinitiative.com/advisories/ZDI-18-1359/