Les jetons USB en question sont largement utilisés dans différentes organisations pour activer la licence des logiciels souhaités. En temps normal, l’administrateur système de l’entreprise doit s’approcher de l’ordinateur possédant le logiciel qui a besoin d’être activé et y insérer le jeton. Il confirme ensuite que le logiciel désiré est effectivement légitime (non piraté) et procède à son activation pour que l’utilisateur du PC ou du serveur puisse utiliser ce logiciel par la suite.
Quand le jeton est branché à un PC ou à un serveur pour la première fois, l’OS Windows télécharge le pilote du logiciel depuis les serveurs du fournisseur afin de garantir que le matériel d’authentification fonctionne correctement avec le matériel informatique. Dans d’autres cas, le pilote est installé avec un logiciel tiers qui utilise le système susmentionné pour protéger la licence. Nos experts ont découvert que, lors de son installation, ce logiciel ajoute le port 1947 de l’ordinateur à la liste des exclusions du Pare-feu Windows sans envoyer de notification à l’utilisateur, l’exposant ainsi au risque d’une attaque à distance.
Le pirate n’a ensuite plus qu’à scanner le réseau ciblé via le port 1947 ouvert afin d’identifier tous les ordinateurs accessibles à distance.
Plus important encore, le port reste ouvert après le débranchement du jeton, ce qui explique pourquoi le pirate n’a besoin d’installer un logiciel utilisant la solution HASP ou d’insérer le jeton dans un PC (même verrouillé) qu’une seule fois pour pouvoir réaliser des attaques à distance, même dans un environnement d’entreprise protégé et disposant de correctifs.
Au total, les chercheurs ont identifié 14 vulnérabilités dans un composant de la solution logicielle, y compris de multiples vulnérabilités DoS et plusieurs RCE (exécution de code arbitraire à distance) qui, par exemple, sont automatiquement exploitées non pas avec des droits d’utilisateur, mais avec les droits d’accès les plus privilégiés du système. Les pirates ont ainsi la possibilité d’exécuter n’importe quel code arbitraire. Toutes les vulnérabilités identifiées peuvent donc être potentiellement très dangereuses et entraîner de lourdes pertes pour les entreprises.
Ces informations ont toutes été communiquées au fournisseur. Toutes les vulnérabilités découvertes ont reçu les identifiants CVE suivants :
- CVE-2017-11496 – Exécution de code à distance
- CVE-2017-11497 – Exécution de code à distance
- CVE-2017-11498 – Déni de service
- CVE-2017-12818 – Déni de service
- CVE-2017-12819 – Capture de hash NTLM
- CVE-2017-12820 – Déni de service
- CVE-2017-12821 – Exécution de code à distance
- CVE-2017- 12822 – Manipulations à distance des fichiers de configuration
« Étant donné la popularité de ce système de gestion des licences, l’ampleur éventuelle des conséquences est très large car ces jetons sont utilisés non seulement dans les environnements d’entreprise normaux, mais aussi dans les installations critiques observant des règles d’accès à distance strictes. Celles-ci peuvent être facilement violées via ces vulnérabilités qui, comme nous l’avons découvert, mettent en danger les réseaux critiques, » explique Vladimir Dashchenko, chef du groupe de recherche sur les vulnérabilités, Kaspersky Lab ICS CERT.
Kaspersky Lab a signalé ces vulnérabilités aux fournisseurs du logiciel affecté dès leur découverte et les entreprises ont ensuite livré des correctifs de sécurité.
Kaspersky Lab ICS CERT recommande vivement aux utilisateurs des produits affectés d’agir comme suit :
- Installer la dernière version (sécurisée) du pilote dès que possible ou contacter le fournisseur pour obtenir des instructions sur la mise à jour du pilote.
- Fermer le port 1947 au moins sur le pare-feu externe (sur le périmètre réseau), mais uniquement si cela n’interfère pas avec les processus de l’entreprise.
Pour en apprendre davantage sur ces vulnérabilités, consultez le billet de blog qui y est consacré sur le site de Kaspersky Lab ICS CERT.
[toggle title =”A propos de Kaspersky Lab”]
Kaspersky Lab est une société de cyber-sécurité opérant dans le monde entier qui fête ses 20 ans d’existence en 2017. L’expertise approfondie de Kaspersky Lab en matière de renseignements et de sécurité se traduit constamment dans des solutions et des services de sécurité pour protéger les entreprises, les infrastructures critiques, les pouvoirs publics et les particuliers. Le portefeuille étendu de sécurité de la société comprend la référence en matière de protection de terminaux et plusieurs solutions et services de sécurité spécialisés pour lutter contre les menaces numériques avancées et en évolution continue. Les technologies de Kaspersky Lab offrent une protection à plus de 400 millions d’utilisateurs et nous aidons 270.000 clients professionnels à protéger leurs biens les plus précieux. Plus d’information sur www.kaspersky.com.[/toggle]
Leave A Comment