Schwere Schwachstellen in Software-Lizenzmanagement-Lösung entdeckt

Das Lizenz-Management-System „Hardware Against Software Piracy (HASP)“ leidet an verschiedenen schwerwiegenden Schwachstellen, melden die Experten von Kaspersky Labs. Die Gemalto-Lösung SafeNet Sentinel wird weltweit von Hundertausenden Unternehmen genutzt, um Software zu legitimieren und diese freizuschalten.

Insgesamt findet Kaspersky 14 Schwachstellen. Darunter sind Lecks, die sich für ein Denial of Service ausnutzen lassen, aber auch RCEs, also Sicherheitslücken, die die Ausführung von beliebigem Code über Remote erlaubt. Die Hacker verfügen dann zudem über die höchsten Systemrechte und können auch die Tools von Administratoren umgehen. Die Sicherheitsexperten warnen, dass diese Lecks hochgefährlich sind, und Unternehmen einem hohen Risiko ausgesetzt sind. Da das System von vielen Unternehmen verwendet wird, um lizenzpflichtige Software frei zu schalten, dürfte auch die Zahl der verwundbaren Systeme recht hoch sein.

Die Sentinel-Lösung funktioniert über so genannte Tokens. Mit diesen speziellen USB-Sticks kann ein Administrator auf einem Client-System überprüfen, ob es sich bei einer Software um eine Raubkopie handelt. Ist das nicht der Fall, kann er anschließend die Software mit einem Lizenzschlüssel freischalten. Durch die Kombination aus Hardware-Token und Software können Anwender auch ohne Internetverbindung eine Software frei schalten. Durch den Token wird auch die Portabilität der Software sichergestellt. Eine Software kann dank des Tokens auf jedem Gerät, auf dem der Token eingesteckt wird, verwendet werden. Auch soll die Lösung besonders gut vor Raubkopien schützen.

Um diese Aufgaben ausführen zu können, muss das Betriebssystem den Token anbinden und lädt dafür einen Treiber auf den mobilen Speicher. Der Token kann aber auch zusammen mit einer Software eines Drittanbieters installiert werden, die von dem System für den Lizenzschutz verwendet wird. Und hier tritt laut den Kaspersky-Experten ein Fehler auf. Die Software setzt nach der Installation Port 1947 ohne korrekte Benachrichtigung des Anwenders auf die Ausnahmeliste der Windows-Firewall. So werden dann Attacken via Fernzugriff ermöglicht. Die Attacke ist vergleichsweise einfach durchzuführen. Ein Angreifer muss dafür lediglich nach offenen 1947-Ports suchen.

Und durch den Fehler ist das besonders einfach, denn auch nachdem ein Administrator den Token wieder vom System entfernt hat, bleibt der Port geöffnet. Angreifer müssen daher in gepatchten und geschützten Unternehmensnetzwerken nur einmalig eine Software installieren, die die HASP-Lösung verwendet, oder den USB-Token nur einmal mit einem PC verbinden, um den Port dauerhaft zu öffnen.

Kaspersky Lab warnt die Anwender dieser Lösung, innerhalb des Netzwerk-Perimeters Port 1947 zu schließen, sofern dadurch keine unternehmenskritische Prozesse gestört werden. Kaspersky Labs hat die betroffenen Hersteller bereits über die Sicherheitslücken informiert und die haben auch schon aktualisierte Versionen bereitgestellt. Diese sollten schnellstmöglich eingespielt werden.

Die Lecks tragen die Kennungen CVE-2017-11496, CVE-2017-11497, CVE-2017-11498, CVE-2017-12818, CVE-2017-12819, CVE-2017-12820, CVE-2017-12821, CVE-2017- 12822.

„Berücksichtigt man die weite Verbreitung dieses Lizenzmanagement-Systems, so ist die Bandbreite möglicher Folgen sehr groß, denn die Tokens werden nicht nur in herkömmlichen Unternehmensumgebungen genutzt, sondern auch bei sicherheitskritischen Einrichtungen mit strengen Zugriffsvorschriften“, warnt Vladimir Dashchenko, Head of Vulnerability Research Group bei Kaspersky Lab ICS CERT. „Letztere lassen sich über die von uns entdeckte Möglichkeit leicht umgehen, was kritische Netzwerke einer Gefahr aussetzt.“

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.