Er zijn ernstige kwetsbaarheden aangetroffen in het licentiebeheersysteem Hardware Against Software Piracy (HASP). Dat zijn usb-tokens die gebruikt worden om softwarelicenties te activeren binnen bedrijfsnetwerken en industriële controle systemen (ics). Na installatie wordt een poort toegevoegd aan de lijst met uitzonderingen voor de Windows Firewall.
Daarvoor waarschuwt ict-beveiliger Kaspersky Lab. Volgens het securitybedrijf zijn wereldwijd mogelijk honderduizenden systemen kwetsbaar doordat de usb-tokens op grote schaal worden gebruikt bij het activeren van softwarelicenties. ‘De systeembeheerder sluit het token aan op de computer waarop de te activeren software staat. Het zal dan, als het goed is, bevestigen dat de software legitiem is, dus niet illegaal gekopieerd. Vervolgens wordt de software geactiveerd en kan de gebruiker van de pc of server ermee werken’, licht de ict-beveiliger toe.
Tokenhardware
‘Zodra het token voor de eerste keer op een pc of server wordt aangesloten, downloadt Windows de softwaredriver van de server van de leverancier om ervoor te zorgen dat de tokenhardware op de juiste manier samenwerkt met de computerhardware. In sommige gevallen wordt het stuurprogramma meegeleverd met software van derden die van bovengenoemd licentiebeheersysteem gebruikmaakt’, aldus Kapsersky.
De beveiligingsexperts hebben vastgesteld dat de software na installatie poort 1947 van de computer toegevoegd aan de lijst met uitzonderingen van de Windows Firewall, zonder de gebruiker daarover te informeren. ‘Dit zet de poort open voor een aanval op afstand. Een aanvaller hoeft nu alleen het aan te vallen netwerk te scannen op openstaande poorten 1947 om alle op afstand beschikbare computers te identificeren.’
Open poort na verwijderen token
Kaspersky meldt dat de poort ook ná het verwijderen van het token open blijft staan. ‘Dit betekent dat een aanvaller zelfs in een gepatchte en beschermde bedrijfsomgeving alleen software met de HASP-oplossing hoeft te installeren of het token éénmaal aan een pc – zélfs een vergrendelde – hoeft te koppelen om deze beschikbaar te maken voor aanvallen op afstand.’
Onderzoekers hebben in totaal veertien kwetsbaarheden vastgesteld in een component van de software-oplossing, waaronder meerdere dos-kwetsbaarheden en verschillende rce’s (remote code execution, uitvoering op afstand van willekeurige code) die bijvoorbeeld automatisch worden geëxploiteerd, niet op basis van gebruikersrechten, maar op basis van de meest bevoorrechte systeemrechten. De beveiliger benadrukt dat dit de aanvallers de mogelijkheid biedt om iedere willekeurige code uit te voeren. ‘Alle vastgestelde kwetsbaarheden kunnen zeer gevaarlijk zijn en veel schade veroorzaken voor bedrijven.’
‘Grote gevolgen’
‘Gezien de wijdverbreide toepassing van dit licentiebeheersysteem zijn de gevolgen mogelijk zeer groot, omdat deze tokens niet alleen worden gebruikt in normale bedrijfsomgevingen, maar ook bij kritieke voorzieningen met strikte regels voor externe toegang’, zegt Vladimir Dashchenko, hoofd van de vulnerability research group van Kaspersky Lab ICS CERT. Volgens hem kunnen deze regels nu eenvoudig worden omzeild en betekent dat een groot risico voor belangrijke netwerken.
Advies
Direct na de ontdekking heeft de ict-beveiliger de kwetsbaarheden bij de betrokken softwareleveranciers gemeld, waarop deze bedrijven beveiligingspatches hebben uitgegeven. De beveiliger raadt gebruikers van de tokens aan:
– Installeer zo snel mogelijk de nieuwste (beveiligde) versie van het stuurprogramma of neem contact op met de leverancier voor instructies over het updaten van het stuurprogramma.
– Sluit poort 1947, in ieder geval in de externe firewall (van het netwerk), maar alléén als dit geen bedrijfsprocessen verstoort.
In een rapport deelt het bedrijf meer details over de kwetsbaarheden in de usb-tokens.