Schweres Sicherheitsleck in SafeNet-Lizenzmanagement

ProjekteSoftware-Hersteller

Ein geöffneter Port für die Aktivierung von Lizenzen wird auch nach Entfernen des Tokens nicht mehr geschlossen. Dadurch können Hacker remote mit höchsten Systemrechten beliebigen Code ausführen.

Das Lizenz-Management-System “Hardware Against Software Piracy (HASP)” leidet an verschiedenen schwerwiegenden Schwachstellen, melden die Experten von Kaspersky Labs. Die Gemalto-Lösung SafeNet Sentinel wird weltweit von Hundertausenden Unternehmen genutzt, um Software zu legitimieren und diese freizuschalten.

Insgesamt findet Kaspersky 14 Schwachstellen. Darunter sind Lecks, die sich für ein Denial of Service ausnutzen lassen, aber auch RCEs, also Sicherheitslücken, die die Ausführung von beliebigem Code über Remote erlaubt. Die Hacker verfügen dann zudem über die höchsten Systemrechte und können auch die Tools von Administratoren umgehen. Die Sicherheitsexperten warnen, dass diese Lecks hochgefährlich sind, und Unternehmen einem hohen Risiko ausgesetzt sind. Da das System von vielen Unternehmen verwendet wird, um lizenzpflichtige Software frei zu schalten, dürfte auch die Zahl der verwundbaren Systeme recht hoch sein.

Gemaltos SafeNet-Lösung öffnet den Port 1947 und verursacht so schwerwiegende Sicherheitslecks. Die Lizenzlösung wird unter anderem auch in kritischen Umgebungen eingesetzt.  (Bild: Kaspersky Labs)
Gemaltos SafeNet-Lösung öffnet den Port 1947 und verursacht so schwerwiegende Sicherheitslecks. Die Lizenzlösung wird unter anderem auch in kritischen Umgebungen eingesetzt.
(Bild: Kaspersky Labs)

Die Sentinel-Lösung funktioniert über so genannte Tokens. Mit diesen speziellen USB-Sticks kann ein Administrator auf einem Client-System überprüfen, ob es sich bei einer Software um eine Raubkopie handelt. Ist das nicht der Fall, kann er anschließend die Software mit einem Lizenzschlüssel freischalten. Durch die Kombination aus Hardware-Token und Software können Anwender auch ohne Internetverbindung eine Software frei schalten. Durch den Token wird auch die Portabilität der Software sichergestellt. Eine Software kann dank des Tokens auf jedem Gerät, auf dem der Token eingesteckt wird, verwendet werden. Auch soll die Lösung besonders gut vor Raubkopien schützen.

Ausgewähltes Whitepaper

Mit künstlicher Intelligenz (KI) die Arbeitskraft erweitern

Im neuen Point of View von Avanade geht es um die Entwicklung einer KI-Strategie, die konsequent den Menschen in den Mittelpunkt stellt. Avanade zeigt, wie Unternehmen so die Zufriedenheit ihrer Mitarbeiter und die Erlebnisse ihrer Kunden verbessern – und dabei gleichzeitig den Business-Nutzen von künstlicher Intelligenz optimieren.

Um diese Aufgaben ausführen zu können, muss das Betriebssystem den Token anbinden und lädt dafür einen Treiber auf den mobilen Speicher. Der Token kann aber auch zusammen mit einer Software eines Drittanbieters installiert werden, die von dem System für den Lizenzschutz verwendet wird. Und hier tritt laut den Kaspersky-Experten ein Fehler auf. Die Software setzt nach der Installation Port 1947 ohne korrekte Benachrichtigung des Anwenders auf die Ausnahmeliste der Windows-Firewall. So werden dann Attacken via Fernzugriff ermöglicht. Die Attacke ist vergleichsweise einfach durchzuführen. Ein Angreifer muss dafür lediglich nach offenen 1947-Ports suchen.

Und durch den Fehler ist das besonders einfach, denn auch nachdem ein Administrator den Token wieder vom System entfernt hat, bleibt der Port geöffnet. Angreifer müssen daher in gepatchten und geschützten Unternehmensnetzwerken nur einmalig eine Software installieren, die die HASP-Lösung verwendet, oder den USB-Token nur einmal mit einem PC verbinden, um den Port dauerhaft zu öffnen.

Ausgewähltes Whitepaper

IDC-Studie: IT-Security in Deutschland 2018

Der Executive Brief "IT-Security in Deutschland 2018" bietet IT- und Fachbereichsentscheidern auf Basis der Studien-Highlights Best Practices und Empfehlungen für die Stärkung der IT-Sicherheit in ihrem Unternehmen.

Kaspersky Lab warnt die Anwender dieser Lösung, innerhalb des Netzwerk-Perimeters Port 1947 zu schließen, sofern dadurch keine unternehmenskritische Prozesse gestört werden. Kaspersky Labs hat die betroffenen Hersteller bereits über die Sicherheitslücken informiert und die haben auch schon aktualisierte Versionen bereitgestellt. Diese sollten schnellstmöglich eingespielt werden.

Die Lecks tragen die Kennungen CVE-2017-11496, CVE-2017-11497, CVE-2017-11498, CVE-2017-12818, CVE-2017-12819, CVE-2017-12820, CVE-2017-12821, CVE-2017- 12822.

“Berücksichtigt man die weite Verbreitung dieses Lizenzmanagement-Systems, so ist die Bandbreite möglicher Folgen sehr groß, denn die Tokens werden nicht nur in herkömmlichen Unternehmensumgebungen genutzt, sondern auch bei sicherheitskritischen Einrichtungen mit strengen Zugriffsvorschriften”, warnt Vladimir Dashchenko, Head of Vulnerability Research Group bei Kaspersky Lab ICS CERT. “Letztere lassen sich über die von uns entdeckte Möglichkeit leicht umgehen, was kritische Netzwerke einer Gefahr aussetzt.”

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Lesen Sie auch :
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen