Os pesquisadores da ICS CERT da Kaspersky Lab encontraram diversas vulnerabilidades importantes no sistema de gerenciamento de licenças HASP (Hardware Against Software Piracy), amplamente usado em ambientes corporativos e de ICS para ativar softwares licenciados. O número de sistemas afetados pela tecnologia vulnerável em todo o mundo pode chegar a centenas de milhares.
Os tokens USB em questão estão sendo amplamente usados em diferentes organizações para tornar mais conveniente a ativação de licenças de software. Nos cenários de uso normais, o administrador do sistema da empresa precisa acessar o computador com o software que deve ser ativado e inserir o token. Em seguida, ele confirma que o software desejado é original (não pirateado) e o ativa para que o usuário do computador ou servidor possa usá-lo.
Quando o token é conectado a um computador ou servidor pela primeira vez, o sistema operacional Windows baixa o driver do software dos servidores do fornecedor de modo que o hardware do token funcione corretamente com o hardware do computador. Em outros casos, o driver vem instalado com software de terceiros, que usa o sistema para a proteção da licença. Nossos especialistas descobriram que, durante a instalação, esse software adiciona a porta 1947 do computador à lista de exclusões do Firewall do Windows sem avisar o usuário, tornando-a disponível para ataques remotos.
Um invasor precisaria apenas procurar a porta 1947 aberta na rede visada para identificar os computadores disponíveis remotamente.
O mais importante é que essa porta continua aberta depois que o token é desconectado. Por isso, mesmo em um ambiente corporativo protegido e com todas as correções, o invasor precisaria apenas instalar um software usando a solução HASP ou conectar o token a um computador uma vez (mesmo que bloqueado) para disponibilizá-lo para ataques remotos.
No todo, os pesquisadores identificaram 14 vulnerabilidades em um componente do software, incluindo várias vulnerabilidades de DoS e vários RCEs (execução remota de código arbitrário) que, por exemplo, são explorados automaticamente usando direitos não de usuário, mas os direitos com mais privilégios no sistema. Isso proporciona aos invasores uma oportunidade de executar qualquer código arbitrário. Todas as vulnerabilidades identificadas têm potencial de serem muito perigosas e resultarem em grandes prejuízos para as empresas.
Todas essas informações foram comunicadas ao fornecedor. As vulnerabilidades detectadas receberam os seguintes números de CVE:
• CVE-2017-11496 – Execução remota de código
• CVE-2017-11497 – Execução remota de código
• CVE-2017-11498 – Negação de serviço
• CVE-2017-12818 – Negação de serviço
• CVE-2017-12819 – Captura de hash NTLM
• CVE-2017-12820 – Negação de serviço
• CVE-2017-12821 – Execução remota de código
• CVE-2017- 12822 – Manipulações remotas com arquivos de configuração
“Considerando o alcance desse sistema de gerenciamento de licenças, a possível escala das consequências é muito grande, pois esses tokens são usados não apenas em ambientes corporativos comuns, mas também em instalações críticas com regras rígidas de acesso remoto. Com o problema que descobrimos, esses sistemas poderiam ser facilmente invadidos, colocando redes essenciais em perigo”, diz Vladimir Dashchenko, chefe do grupo de pesquisa de vulnerabilidades da ICS CERT da Kaspersky Lab.
Logo após a descoberta, a Kaspersky Lab apresentou as vulnerabilidades aos fornecedores do software afetado e, em seguida, as empresas lançaram correções de segurança.
A ICS CERT da Kaspersky Lab recomenda aos usuários dos produtos afetados:
• Instalar a versão mais recente (segura) do driver assim que possível ou entrar em contato com o fornecedor para obter instruções para atualizar o driver.
• Fechar a porta 1947, pelo menos no firewall externo (no perímetro da rede), mas desde que isso não afete os processos de negócios.
Acesse os outros sites da VideoPress
Portal Vida Moderna – www.vidamoderna.com.br
Radar Nacional – www.radarnacional.com.br
–