Detectan vulnerabilidades en el sistema de gestión de licencias HASP

Los investigadores de Kaspersky Lab ICS CERT han encontrado una serie de vulnerabilidades graves en el sistema de administración de licencias de Hardware Contra Piratería de Software (HASP), ampliamente utilizado en entornos corporativos y de ICS para activar software con licencia. Los tokens USB en cuestión se utilizan ampliamente en diferentes organizaciones para cumplir la función de activación de licencias de software.

También puedes leer... La nueva Mafia El riesgo de los altavoces inteligentes Los cinco grandes mitos de las Brechas de Seguridad Consideraciones para la creación de un SOC Cómo utilizar la Dark Web para la inteligenciad de amenazas

En escenarios de casos de uso normales, el administrador de sistemas de una empresa debería solicitar al ordenador el software que necesita ser activado e insertar el token. Luego confirmará que el software es realmente legítimo y lo activaría, permitiendo que el usuario del PC o servidor pueda utilizarlo.

Una vez que el token está conectado a un PC o un servidor por primera vez, el sistema operativo Windows descarga el controlador del software de los servidores del proveedor para que el token funcione correctamente con el hardware el equipo. En otros casos, el controlador viene instalado con un software de terceros que utiliza el sistema antes mencionado para la protección de la licencia. Los expertos de Kaspersky han descubierto que, en el momento de la instalación, este software agrega el puerto 1947 del ordenador a la lista de exclusiones del Firewall de Windows sin notificación adecuada al usuario, lo que lo hace disponible para un ataque remoto.

Un atacante solo necesitaría escanear la red para abrir el puerto 1947 con el fin de identificar cualquier PC remotamente disponible. Lo que es más importante, el puerto permanece abierto después de que se haya desconectado el token, por lo que incluso en un entorno corporativo protegido y parcheado, un atacante solo necesitaría instalar un software utilizando la solución HASP o conectar el token a un PC una vez (incluso uno bloqueado) para que esté disponible para ataques remotos.

Los investigadores identificaron 14 vulnerabilidades en un componente de la solución de software, incluidas múltiples vulnerabilidades DoS y varias ejecuciones remotas de código arbitrario que, por ejemplo, se explotan automáticamente con los derechos de sistema más privilegiados. Esto proporciona a los atacantes la oportunidad de ejecutar cualquier código arbitrario. Todas las vulnerabilidades identificadas pueden ser potencialmente muy peligrosas y dar lugar a grandes pérdidas para las empresas.

Tras el descubrimiento, Kaspersky Lab informó estas vulnerabilidades a los proveedores de software afectados y las empresas posteriormente lanzaron parches de seguridad.