FlagJueves, 22 Febrero 2018

 

 

kaspersky

 

Los investigadores de Kaspersky Lab ICS CERT han encontrado diversas vulnerabilidades graves en el sistema de administración de licencias HASP (Hardware Against Software Piracy), ampliamente utilizado en entornos corporativos y de ICS para activar el software con licencia. La cantidad de sistemas afectados por esa tecnología vulnerable puede llegar a cientos a más de miles en todo el mundo.

Los tokens USB en cuestión se utilizan ampliamente en diferentes organizaciones para hacer más conveniente la activación de licencias de software. Bajo circunstancias de uso normal, el administrador del sistema de una empresa necesitaría acceder a la computadora con el software que necesita ser activado e insertar el token. Luego confirmaría que el software de interés es realmente legítimo (no pirateado) y lo activaría, de manera que el usuario de la PC o servidor pudiera utilizar este software.

Una vez que se conecta el token a una PC o servidor por primera vez, el sistema operativo Windows descarga el controlador o subrutina de instrucciones del software desde los servidores del proveedor para que el token funcione correctamente con el hardware de la computadora. En otros casos, el controlador viene instalado con un software de terceros que utiliza el sistema anteriormente mencionado para la protección de la licencia. Nuestros expertos han descubierto que, al momento de la instalación, este software agrega el puerto 1947 de la computadora a la lista de exclusiones del Cortafuegos (Firewall) de Windows sin notificación al usuario, lo que lo hace disponible para un ataque a distancia.

Un atacante solo necesitaría escanear por un puerto 1947 abierto en la red objetivo con el fin de identificar las computadoras disponibles para el ataque a distancia.

Lo que es más importante, el puerto permanece abierto aún después de que se haya desconectado el token, por lo que en hasta un entorno corporativo protegido y con los parches adecuados, un atacante solo necesitaría instalar un software utilizando la solución HASP o conectar el token a una PC una sola vez (incluso si está bloqueada) para hacerla disponible para ataques distantes.

En general, los investigadores han identificado 14 vulnerabilidades en un componente de la solución de software, incluyendo varias vulnerabilidades DoS y varias RCE (ejecución a distancia de código arbitrario) que, por ejemplo, se aprovechan automáticamente no con derechos de usuario, sino con los derechos del sistema con mas privilegios. Esto proporciona a los atacantes la oportunidad de ejecutar cualquier código arbitrario. Todas las vulnerabilidades identificadas pueden ser potencialmente muy peligrosas y resultar en grandes pérdidas para las empresas.

Toda la información ha sido reportada al proveedor. Todas las vulnerabilidades descubiertas recibieron los siguientes números CVE:

• CVE-2017-11496 – Ejecución a distancia de código
• CVE-2017-11497 – Ejecución a distancia de código
• CVE-2017-11498 – Denegación de servicio
• CVE-2017-12818 – Denegación de servicio
• CVE-2017-12819 – Captura de hash NTLM
• CVE-2017-12820 – Denegación de servicio
• CVE-2017-12821 – Ejecución a distancia de código
• CVE-2017- 12822 – Manipulaciones a distancia con archivos de configuración)

"Considerando el alcance de este sistema de administración de licencias, la posible escala de consecuencias es muy grande, ya que estos tokens se utilizan no solo en entornos corporativos regulares, sino también en instalaciones críticas con estrictas reglas de acceso remoto. Con el problema que descubrimos, estos sistemas podrían ser invadidos fácilmente poniendo en peligro a las redes críticas", dice Vladimir Dashchenko, jefe del grupo de investigación de vulnerabilidades, Kaspersky Lab ICS CERT.

Tras el descubrimiento, Kaspersky Lab le presentó las vulnerabilidades a los proveedores de software afectados y las empresas posteriormente emitieron parches de seguridad.
Kaspersky Lab ICS CERT recomienda enfáticamente a los usuarios de los productos afectados que hagan lo siguiente:

• Instalar la versión más reciente (segura) del controlador tan pronto como sea posible, o ponerse en contacto con el proveedor para obtener instrucciones sobre cómo actualizar el controlador.

• Cerrar el puerto 1947, al menos en el firewall externo (en el perímetro de la red), pero solo en la medida en que esto no interfiera con los procesos comerciales.

 

 

 

 

 

Te puede interesar...

SonicWall presenta poderosos firewalls para ambientes virtualesSonicWall presenta poderosos firewalls para ambientes virtuales
07 Feb 2018 00:17 - Redacción

  SonicWall anuncia una serie de versiones beta públicas que demuestran cómo han increment [ ... ]

El factor humano como riesgo en la ciberseguridad de las empresas, ¿cómo mitigarlo?El factor humano como riesgo en la ciberseguridad de las empresas, ¿cómo mitigarlo?
13 Feb 2018 23:13 - Carlos Macías, Country Manager de Citrix México

  La ciberseguridad ha cobrado gran importancia en los últimos años, no sólo por la infor [ ... ]

 Symantec mantiene su posición en el Cuadrante Mágico de Gartner Symantec mantiene su posición en el Cuadrante Mágico de Gartner
03 Feb 2018 01:50 - Redacción

  Symantec anunció que Symantec ha sido posicionada por Gartner, Inc. en el cuadrante de L [ ... ]

Keri Systems desarrolla software de mapeo gráfico y ediciónKeri Systems desarrolla software de mapeo gráfico y edición
26 Ene 2018 22:22 - Redacción

  Keri Systems presenta su nuevo cliente de mapeo, comando y control gráfico que será prop [ ... ]