Los tokens USB en cuestión se utilizan ampliamente en diferentes organizaciones para hacer más conveniente la activación de licencias de software. Bajo circunstancias de uso normal, el administrador del sistema de una empresa necesitaría acceder a la computadora con el software que necesita ser activado e insertar el token. Luego confirmaría que el software de interés es realmente legítimo (no pirateado) y lo activaría, de manera que el usuario de la PC o servidor pudiera utilizar este software.
Una vez que se conecta el token a una PC o servidor por primera vez, el sistema operativo Windows descarga el controlador o subrutina de instrucciones del software desde los servidores del proveedor para que el token funcione correctamente con el hardware de la computadora. En otros casos, el controlador viene instalado con un software de terceros que utiliza el sistema anteriormente mencionado para la protección de la licencia. Nuestros expertos han descubierto que, al momento de la instalación, este software agrega el puerto 1947 de la computadora a la lista de exclusiones del Cortafuegos (Firewall) de Windows sin notificación al usuario, lo que lo hace disponible para un ataque a distancia.
Un atacante solo necesitaría escanear por un puerto 1947 abierto en la red objetivo con el fin de identificar las computadoras disponibles para el ataque a distancia.
Lo que es más importante, el puerto permanece abierto aún después de que se haya desconectado el token, por lo que en hasta un entorno corporativo protegido y con los parches adecuados, un atacante solo necesitaría instalar un software utilizando la solución HASP o conectar el token a una PC una sola vez (incluso si está bloqueada) para hacerla disponible para ataques distantes.
En general, los investigadores han identificado 14 vulnerabilidades en un componente de la solución de software, incluyendo varias vulnerabilidades DoS y varias RCE (ejecución a distancia de código arbitrario) que, por ejemplo, se aprovechan automáticamente no con derechos de usuario, sino con los derechos del sistema con mas privilegios. Esto proporciona a los atacantes la oportunidad de ejecutar cualquier código arbitrario. Todas las vulnerabilidades identificadas pueden ser potencialmente muy peligrosas y resultar en grandes pérdidas para las empresas.
Toda la información ha sido reportada al proveedor. Todas las vulnerabilidades descubiertas recibieron los siguientes números CVE:
• CVE-2017-11496 – Ejecución a distancia de código
• CVE-2017-11497 – Ejecución a distancia de código
• CVE-2017-11498 – Denegación de servicio
• CVE-2017-12818 – Denegación de servicio
• CVE-2017-12819 – Captura de hash NTLM
• CVE-2017-12820 – Denegación de servicio
• CVE-2017-12821 – Ejecución a distancia de código
• CVE-2017- 12822 – Manipulaciones a distancia con archivos de configuración)
"Considerando el alcance de este sistema de administración de licencias, la posible escala de consecuencias es muy grande, ya que estos tokens se utilizan no solo en entornos corporativos regulares, sino también en instalaciones críticas con estrictas reglas de acceso remoto. Con el problema que descubrimos, estos sistemas podrían ser invadidos fácilmente poniendo en peligro a las redes críticas", dice Vladimir Dashchenko, jefe del grupo de investigación de vulnerabilidades, Kaspersky Lab ICS CERT.
Tras el descubrimiento, Kaspersky Lab le presentó las vulnerabilidades a los proveedores de software afectados y las empresas posteriormente emitieron parches de seguridad.
Kaspersky Lab ICS CERT recomienda enfáticamente a los usuarios de los productos afectados que hagan lo siguiente:
• Instalar la versión más reciente (segura) del controlador tan pronto como sea posible, o ponerse en contacto con el proveedor para obtener instrucciones sobre cómo actualizar el controlador.
• Cerrar el puerto 1947, al menos en el firewall externo (en el perímetro de la red), pero solo en la medida en que esto no interfiera con los procesos comerciales.
Puede leer más sobre estas vulnerabilidades en el blog publicado en el sitio web de Kaspersky Lab ICS CERT.