Kaspersky Lab découvre de multiples vulnérabilités dans un logiciel largement répandu de gestion des licences d’entreprise
Publié le 22/01/2018 Dans Press Releases  Par zion
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Utrecht, 22 janvier 2018 –Les chercheurs ICS CERT de Kaspersky Lab ont découvert une variété de vulnérabilités graves dans le système de gestion des licences Hardware Against Software Piracy (HASP), largement utilisé dans les entreprises et les environnements ICS pour activer les logiciels sous licence. Le nombre de systèmes affectés par cette technologie vulnérable s’élèverait à au moins des centaines de milliers à travers le monde.

Les jetons USB en question sont largement utilisés dans différentes organisations pour activer la licence des logiciels souhaités. En temps normal, l’administrateur système de l’entreprise doit s’approcher de l’ordinateur possédant le logiciel qui a besoin d’être activé et y insérer le jeton. Il confirme ensuite que le logiciel désiré est effectivement légitime (non piraté) et procède à son activation pour que l’utilisateur du PC ou du serveur puisse utiliser ce logiciel par la suite.

Quand le jeton est branché à un PC ou à un serveur pour la première fois, l’OS Windows télécharge le pilote du logiciel depuis les serveurs du fournisseur afin de garantir que le matériel d’authentification fonctionne correctement avec le matériel informatique. Dans d’autres cas, le pilote est installé avec un logiciel tiers qui utilise le système susmentionné pour protéger la licence. Nos experts ont découvert que, lors de son installation, ce logiciel ajoute le port 1947 de l’ordinateur à la liste des exclusions du Pare-feu Windows sans envoyer de notification à l’utilisateur, l’exposant ainsi au risque d’une attaque à distance.

Le pirate n’a ensuite plus qu’à scanner le réseau ciblé via le port 1947 ouvert afin d’identifier tous les ordinateurs accessibles à distance.

Plus important encore, le port reste ouvert après le débranchement du jeton, ce qui explique pourquoi le pirate n’a besoin d’installer un logiciel utilisant la solution HASP ou d’insérer le jeton dans un PC (même verrouillé) qu’une seule fois pour pouvoir réaliser des attaques à distance, même dans un environnement d’entreprise protégé et disposant de correctifs.

Au total, les chercheurs ont identifié 14 vulnérabilités dans un composant de la solution logicielle, y compris de multiples vulnérabilités DoS et plusieurs RCE (exécution de code arbitraire à distance) qui, par exemple, sont automatiquement exploitées non pas avec des droits d’utilisateur, mais avec les droits d’accès les plus privilégiés du système. Les pirates ont ainsi la possibilité d’exécuter n’importe quel code arbitraire. Toutes les vulnérabilités identifiées peuvent donc être potentiellement très dangereuses et entraîner de lourdes pertes pour les entreprises.

Ces informations ont toutes été communiquées au fournisseur. Toutes les vulnérabilités découvertes ont reçu les identifiants CVE suivants :

· CVE-2017-11496 – Exécution de code à distance
· CVE-2017-11497 – Exécution de code à distance
· CVE-2017-11498 – Déni de service
· CVE-2017-12818 – Déni de service
· CVE-2017-12819 – Capture de hash NTLM
· CVE-2017-12820 – Déni de service
· CVE-2017-12821 – Exécution de code à distance
· CVE-2017- 12822 – Manipulations à distance des fichiers de configuration

« Étant donné la popularité de ce système de gestion des licences, l’ampleur éventuelle des conséquences est très large car ces jetons sont utilisés non seulement dans les environnements d’entreprise normaux, mais aussi dans les installations critiques observant des règles d’accès à distance strictes. Celles-ci peuvent être facilement violées via ces vulnérabilités qui, comme nous l’avons découvert, mettent en danger les réseaux critiques, » explique Vladimir Dashchenko, chef du groupe de recherche sur les vulnérabilités, Kaspersky Lab ICS CERT.

Kaspersky Lab a signalé ces vulnérabilités aux fournisseurs du logiciel affecté dès leur découverte et les entreprises ont ensuite livré des correctifs de sécurité.

Kaspersky Lab ICS CERT recommande vivement aux utilisateurs des produits affectés d’agir comme suit :

· Installer la dernière version (sécurisée) du pilote dès que possible ou contacter le fournisseur pour obtenir des instructions sur la mise à jour du pilote.
· Fermer le port 1947 au moins sur le pare-feu externe (sur le périmètre réseau), mais uniquement si cela n’interfère pas avec les processus de l’entreprise.

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Publicité
Informaticien.be  - © 2002-2018 Akretio SPRL  - Generated via Kelare - Hosted by Verixi Internet Services
The Akretio Network: Akretio  - Freedelity  - KelCommerce  - Votre publicité sur informaticien.be ?