Kaspersky Lab findet 14 Sicherheitslücken

Schwachstellen in HASP Lizenz-Management-Software

| Redakteur: Peter Schmitz

Durch Sicherheitslücken in einer Software zum Lizenzmanagement können Angreifer mittels USB-Token zur Aktivierung von Software-Lizenzen heimlichen Rechte für den Fernzugriff erlangen.
Durch Sicherheitslücken in einer Software zum Lizenzmanagement können Angreifer mittels USB-Token zur Aktivierung von Software-Lizenzen heimlichen Rechte für den Fernzugriff erlangen. (Bild: Kaspersky Lab)

Die Experten des Kaspersky Lab ICS CERT (Industrial Control Systems Cyber Emergency Response Team) haben eine Reihe schwerwiegender Schwachstellen im Lizenz-Management-System ,Hardware Against Software Piracy (HASP)‘ gefunden. Das System wird häufig in Unternehmens- und ICS-Umgebungen zur Aktivierung lizensierter Software genutzt. Weltweit dürften daher Hunderttausende oder mehr Systeme von dieser Schwachstelle betroffen sein.

Die Kaspersky-Experten haben insgesamt 14 Schwachstellen in den Komponenten der Software-Lösung identifiziert; darunter waren mehrere DoS-Schwachstellen (Denial-of-Service) und verschiedene RCEs (remote execution of arbitraty code), die sich beispielsweise automatisch mit den höchsten Systemrechten statt normalen Nutzerrechten ausnutzen lassen. Angreifer können so jeden beliebigen Code ausführen. Alle identifizierten Schwachstellen sind potenziell hochgefährlich und könnten den Unternehmen schwere Schäden zufügen.

Kriminelles Ausnutzen der Schwachstellen

Die betroffenen USB-Tokens zur Aktivierung von Software-Lizenzen funktionieren im Regelfall wie folgt: ein Systemadministrator, der auf einem Rechner eine Software aktivieren muss, würde dafür den Token einstecken. Dieser prüft dann, ob die entsprechende Software tatsächlich legitimiert ist (es sich also nicht um eine Raubkopie handelt) und aktiviert sie, damit sie der Nutzer des PCs oder Servers verwenden kann.

Wird der Token erstmals mit dem PC oder Server verbunden, lädt das Windows-Betriebssystem den passenden Software-Treiber vom Server des Herstellers herunter, damit der Token einwandfrei mit dem Computer arbeiten kann. Es ist auch möglich, dass der Treiber zusammen mit Drittanbieter-Software installiert wird, die das genannte System zum Lizenzschutz verwendet. Laut den Kaspersky-Experten setzt die Software nach ihrer Installation den Port 1947 ohne korrekte Benachrichtigung des Anwenders auf die Ausnahmeliste der Windows-Firewall und ermöglicht so Attacken aus der Ferne.

Angreifer müssen lediglich im Netzwerk, auf das sie es abgesehen haben, nach offenen 1947-Ports suchen, um aus der Ferne verfügbare Rechner zu identifizieren.

Noch wichtiger ist allerdings die Tatsache, dass die Ports auch dann offen bleiben, wenn die Tokens wieder entfernt wurden. Daher müssen Angreifer auch in gepatchten und geschützten Unternehmensnetzwerken nur einmalig eine HASP-Lösung nutzende Software installieren oder den USB-Token nur einmal mit einem PC verbinden (auch wenn dieser gerade gesperrt ist), damit Attacken aus der Ferne möglich werden.

„Berücksichtigt man die weite Verbreitung dieses Lizenzmanagement-Systems, so ist die Bandbreite möglicher Folgen sehr groß, denn die Tokens werden nicht nur in herkömmlichen Unternehmensumgebungen genutzt, sondern auch bei sicherheitskritischen Einrichtungen mit strengen Zugriffsvorschriften. Letztere lassen sich über die von uns entdeckte Möglichkeit leicht umgehen, was kritische Netzwerke einer Gefahr aussetzt“, erklärt Vladimir Dashchenko, Head of Vulnerability Research Group bei Kaspersky Lab ICS CERT.

Alle Informationen wurden an den Hersteller weitergegeben. Die entdeckten Schwachstellen laufen unter folgenden CVE-Nummern:

Nach der Entdeckung informierte Kaspersky Lab die betroffenen Software-Hersteller, welche in der Folge Sicherheits-Patches bereitstellten.

Kaspersky Lab ICS CERT empfiehlt allen Anwendern dringend die folgenden Maßnahmen:

  • schnellstmögliche Installation der aktuellen (sicheren) Version des Treibers, oder bezüglich Treiberupdates den Kontakt zum Anbieter zu suchen;
  • den Port 1947 schließen, zumindest in der externen Firewall (innerhalb der Netzwerk-Perimeter), jedoch nur solange, wie dies die Geschäftsprozesse nicht beeinflusst.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45119202 / Sicherheitslücken)