Os pesquisadores da ICS CERT da Kaspersky Lab encontraram diversas vulnerabilidades importantes no sistema de gerenciamento de licenças HASP (Hardware Against Software Piracy), amplamente usado em ambientes corporativos e de ICS para ativar softwares licenciados. O número de sistemas afetados pela tecnologia vulnerável em todo o mundo pode chegar a centenas de milhares.
Os tokens USB em questão estão sendo amplamente usados em diferentes organizações para tornar mais conveniente a ativação de licenças de software. Nos cenários de uso normais, o administrador do sistema da empresa precisa acessar o computador com o software que deve ser ativado e inserir o token. Em seguida, ele confirma que o software desejado é original (não pirateado) e o ativa para que o usuário do computador ou servidor possa usá-lo.
Quando o token é conectado a um computador ou servidor pela primeira vez, o sistema operacional Windows baixa o driver do software dos servidores do fornecedor de modo que o hardware do token funcione corretamente com o hardware do computador. Em outros casos, o driver vem instalado com software de terceiros, que usa o sistema para a proteção da licença. Nossos especialistas descobriram que, durante a instalação, esse software adiciona a porta 1947 do computador à lista de exclusões do Firewall do Windows sem avisar o usuário, tornando-a disponível para ataques remotos.
Um invasor precisaria apenas procurar a porta 1947 aberta na rede visada para identificar os computadores disponíveis remotamente. O mais importante é que essa porta continua aberta depois que o token é desconectado. Por isso, mesmo em um ambiente corporativo protegido e com todas as correções, o invasor precisaria apenas instalar um software usando a solução HASP ou conectar o token a um computador uma vez (mesmo que bloqueado) para disponibilizá-lo para ataques remotos.
No todo, os pesquisadores identificaram 14 vulnerabilidades em um componente do software, incluindo várias vulnerabilidades de DoS e vários RCEs (execução remota de código arbitrário) que, por exemplo, são explorados automaticamente usando direitos não de usuário, mas os direitos com mais privilégios no sistema. Isso proporciona aos invasores uma oportunidade de executar qualquer código arbitrário. Todas as vulnerabilidades identificadas têm potencial de serem muito perigosas e resultarem em grandes prejuízos para as empresas.
Logo após a descoberta, a Kaspersky Lab apresentou as vulnerabilidades aos fornecedores do software afetado e, em seguida, as empresas lançaram correções de segurança.