Schweres Sicherheitsleck in SafeNet-Lizenzmanagement

Das Lizenz-Management-System “Hardware Against Software Piracy (HASP)” leidet an verschiedenen schwerwiegenden Schwachstellen, melden die Experten von Kaspersky Labs. Die Gemalto-Lösung SafeNet Sentinel wird weltweit von Hundertausenden Unternehmen genutzt, um Software zu legitimieren und diese freizuschalten.

Insgesamt findet Kaspersky 14 Schwachstellen. Darunter sind Lecks, die sich für ein Denial of Service ausnutzen lassen, aber auch RCEs, also Sicherheitslücken, die die Ausführung von beliebigem Code über Remote erlaubt. Die Hacker verfügen dann zudem über die höchsten Systemrechte und können auch die Tools von Administratoren umgehen. Die Sicherheitsexperten warnen, dass diese Lecks hochgefährlich sind, und Unternehmen einem hohen Risiko ausgesetzt sind. Da das System von vielen Unternehmen verwendet wird, um lizenzpflichtige Software frei zu schalten, dürfte auch die Zahl der verwundbaren Systeme recht hoch sein.

Gemaltos SafeNet-Lösung öffnet den Port 1947 und verursacht so schwerwiegende Sicherheitslecks. Die Lizenzlösung wird unter anderem auch in kritischen Umgebungen eingesetzt.
(Bild: Kaspersky Labs)

Die Sentinel-Lösung funktioniert über so genannte Tokens. Mit diesen speziellen USB-Sticks kann ein Administrator auf einem Client-System überprüfen, ob es sich bei einer Software um eine Raubkopie handelt. Ist das nicht der Fall, kann er anschließend die Software mit einem Lizenzschlüssel freischalten. Durch die Kombination aus Hardware-Token und Software können Anwender auch ohne Internetverbindung eine Software frei schalten. Durch den Token wird auch die Portabilität der Software sichergestellt. Eine Software kann dank des Tokens auf jedem Gerät, auf dem der Token eingesteckt wird, verwendet werden. Auch soll die Lösung besonders gut vor Raubkopien schützen.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Um diese Aufgaben ausführen zu können, muss das Betriebssystem den Token anbinden und lädt dafür einen Treiber auf den mobilen Speicher. Der Token kann aber auch zusammen mit einer Software eines Drittanbieters installiert werden, die von dem System für den Lizenzschutz verwendet wird. Und hier tritt laut den Kaspersky-Experten ein Fehler auf. Die Software setzt nach der Installation Port 1947 ohne korrekte Benachrichtigung des Anwenders auf die Ausnahmeliste der Windows-Firewall. So werden dann Attacken via Fernzugriff ermöglicht. Die Attacke ist vergleichsweise einfach durchzuführen. Ein Angreifer muss dafür lediglich nach offenen 1947-Ports suchen.

Und durch den Fehler ist das besonders einfach, denn auch nachdem ein Administrator den Token wieder vom System entfernt hat, bleibt der Port geöffnet. Angreifer müssen daher in gepatchten und geschützten Unternehmensnetzwerken nur einmalig eine Software installieren, die die HASP-Lösung verwendet, oder den USB-Token nur einmal mit einem PC verbinden, um den Port dauerhaft zu öffnen.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Kaspersky Lab warnt die Anwender dieser Lösung, innerhalb des Netzwerk-Perimeters Port 1947 zu schließen, sofern dadurch keine unternehmenskritische Prozesse gestört werden. Kaspersky Labs hat die betroffenen Hersteller bereits über die Sicherheitslücken informiert und die haben auch schon aktualisierte Versionen bereitgestellt. Diese sollten schnellstmöglich eingespielt werden.

Die Lecks tragen die Kennungen CVE-2017-11496, CVE-2017-11497, CVE-2017-11498, CVE-2017-12818, CVE-2017-12819, CVE-2017-12820, CVE-2017-12821, CVE-2017- 12822.

“Berücksichtigt man die weite Verbreitung dieses Lizenzmanagement-Systems, so ist die Bandbreite möglicher Folgen sehr groß, denn die Tokens werden nicht nur in herkömmlichen Unternehmensumgebungen genutzt, sondern auch bei sicherheitskritischen Einrichtungen mit strengen Zugriffsvorschriften”, warnt Vladimir Dashchenko, Head of Vulnerability Research Group bei Kaspersky Lab ICS CERT. “Letztere lassen sich über die von uns entdeckte Möglichkeit leicht umgehen, was kritische Netzwerke einer Gefahr aussetzt.”

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Weihnachtszeit, Shoppingzeit: Betrüger haben Hochkonjunktur

Betrüger setzen bei Routine und Bekanntem an – für Ungeübte kaum zu erkennen. Sophos gibt…

4 Stunden ago

Silicon DE Podcast im Fokus: Cyber Protection

Im Gespräch mit Carolina Heyder erklärt Candid Wüest, VP of Cyber Protection Research Acronis, wie…

5 Stunden ago

Externes Schlüsselmanagement für Kundendaten in der AWS Cloud

T-Systems erstellt, verwaltet und speichert die Schlüssel in den Rechenzentren der Deutschen Telekom innerhalb der…

6 Stunden ago

Lieferketten in der Cloud verwalten

Aktuelles von der AWS re:Invent 2022: AWS Supply Chain Service verringert Lieferketten-Risiken.

7 Stunden ago

Epson stellt Verkauf von Laserdruckern ein

Laserdrucker sind laut Epson weniger nachhaltig als Inkjet-Drucker. Aus dem Sortiment verschwinden sie bis Ende…

7 Stunden ago

CertifAI soll Einhaltung von Normen und regulatorischen Vorgaben für KI-basierte Produkte prüfen

PwC Deutschland, DEKRA und der Innovationsstarter Fonds Hamburg wollen ein Unternehmen für die Prüfung und…

7 Stunden ago