Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Kaspersky Lab découvre diverses vulnérabilités dans un logiciel très répandu de gestion de licences d’entreprise

janvier 2018 par Kaspersky Lab

Un jeton USB couramment utilisé pour la gestion des licences ouvre un canal caché d’accès distant pour des attaquants

Les chercheurs de Kaspersky Lab ICS CERT ont découvert diverses vulnérabilités graves dans le système de gestion de licences HASP (Hardware Against Software Piracy), largement utilisé dans les environnements d’entreprise et industriels (ICS) pour activer des logiciels sous licence. Le nombre de systèmes touchés par cette technologie vulnérable pourrait atteindre voire dépasser des centaines de milliers au niveau mondial.

Les jetons USB en question sont largement utilisés dans différentes entreprises afin de faciliter l’activation des licences de logiciels. En temps normal, l’administrateur système d’une entreprise installe sur un ordinateur le logiciel à activer et insère le jeton. Celui-ci confirme alors que le logiciel concerné est bien authentique (non piraté) et l’active, de sorte que l’utilisateur du poste de travail ou du serveur puisse l’utiliser.

Lors de la première insertion du jeton dans un PC client ou serveur, le système d’exploitation Windows OS télécharge le logiciel pilote depuis les serveurs de l’éditeur afin de permettre le bon fonctionnement du jeton matériel sur l’ordinateur de destination. Dans d’autres cas, le pilote est préinstallé avec le logiciel tiers faisant appel au système HASP de protection de licence. Nos experts ont découvert qu’au moment de l’installation, ce logiciel ajoute le port 1947 de l’ordinateur à la liste des exceptions du firewall Windows sans en avertir l’utilisateur, ouvrant ainsi l’accès à une attaque distante par ce canal.

Un attaquant n’aurait alors qu’à rechercher sur le réseau ciblé un port 1947 ouvert afin de repérer tout ordinateur accessible à distance.

Plus important encore, le port reste ouvert après le retrait du jeton, si bien que même dans un environnement d’entreprise corrigé et protégé, il suffirait à un attaquant d’installer un logiciel au moyen de la solution HASP ou d’insérer une fois le jeton dans un PC (même verrouillé) pour ouvrir la voie à des attaques distantes.

Au total, les chercheurs ont identifié 14 failles dans un composant du logiciel, notamment diverses vulnérabilités aux attaques par déni de service (DoS) et plusieurs cas d’exécution de code arbitraire à distance (RCE) qui, par exemple, sont automatiquement exploités, non pas avec des droits d’utilisateur standard, mais avec ceux de l’administrateur système. Les auteurs d’attaques peuvent ainsi exécuter tout le code qu’ils souhaitent. Toutes les failles identifiées sont potentiellement très dangereuses et peuvent causer de lourds préjudices aux entreprises.

Toutes ces informations ont été communiquées à l’éditeur du logiciel. Les différentes vulnérabilités découvertes ont reçu les numéros CVE suivants :

- CVE-2017-11496 – Exécution de code à distance
- CVE-2017-11497 – Exécution de code à distance
- CVE-2017-11498 – Déni de service
- CVE-2017-12818 – Déni de service
- CVE-2017-12819 – Capture de hash NTLM
- CVE-2017-12820 – Déni de service
- CVE-2017-12821 – Exécution de code à distance
- CVE-2017-12822 – Manipulations à distance de fichiers de configuration

« Compte tenu du caractère très répandu de ce système de gestion de licences, l’ampleur possible des conséquences est considérable car ces jetons sont utilisés non seulement dans des environnements d’entreprise courants mais aussi sur des sites critiques régis par des règles strictes pour l’accès distant. Ces derniers pourraient être facilement piratés au moyen de la faille que nous avons découverte et mettre en danger des réseaux stratégiques », commente Vladimir Dashchenko, responsable du groupe d’étude des vulnérabilités au sein de Kaspersky Lab ICS CERT.

Dès leur découverte, Kaspersky Lab a signalé ces vulnérabilités aux éditeurs des logiciels concernés, à la suite de quoi ces entreprises ont publié des correctifs de sécurité.

Kaspersky Lab ICS CERT recommande vivement les mesures suivantes aux utilisateurs des produits en question :

- Installez la version la plus récente (sécurisée) du pilote dès que possible ou contactez son éditeur pour savoir comment le mettre à jour.
- Fermez le port 1947, au moins sur le firewall externe (à la périphérie du réseau), à condition que cela n’interfère pas avec les processus métiers de l’entreprise.




Voir les articles précédents

    

Voir les articles suivants