Funktion gegen Raubkopierer sorgt für Sicherheitsloch

  • Article

Das ICS CERT (Industrial Control Systems Cyber Emergency Response Team) des Security-Anbieters Kaspersky Labs hat einen Bericht über mehrere Sicherheitslücken in der weit verbreiteten Lizenzmanagement-Lösung SafeNet Sentinel von Gemalto vorgelegt. Betroffen ist in erster Linie die Hardware-Variante Sentinel HASP HL. Sie besteht aus einem Token in Form eines USB-Sticks sowie auf Software-Seite aus einem Treiber, einer Web-Anwendung sowie einigen weiteren Komponenten. Die Lösung wird vor allem in Unternehmen eingesetzt, die auf diese Weise sicherstellen, dass bei ihnen keine nicht lizenzierte Software zum Einsatz kommt.

Die Funktionsweise ist wie folgt: Der Administrator steckt den Token in einen USB-Port des Client-Rechners, auf dem die lizenzpflichtige Software installiert ist. Windows lädt daraufhin einen Treiber von der Website des Herstellers herunter, um den Token einzubinden. Für Computer ohne Internet-Anschluss gibt es auch die Möglichkeit, den Treiber in die jeweilige Anwendung zu integrieren. Die Software erkennt den Token und die darauf gespeicherten Lizenzinformationen und wird dadurch freigeschaltet.

Auch in der Folge muss jedes Mal zunächst der Stick eingesteckt werden, damit der Anwender das Programm starten kann. Der Treiber hingegen verbleibt dauerhaft auf dem System. Gleichzeitig wird auch ein Dienst mit dem Dateinamen hasplms.exe heruntergeladen und installiert. Bei diesem Dienst jedoch fanden die Experten von Kaspersky gleich mehrere Sicherheitslücken.

Heimliches Loch in der Firewall

Am gravierendsten war, dass hasplms.exe unbemerkt von Anwender den Port 1047 zu der Liste der Ausnahmen in der Windows-Firewall hinzufügte und in der Folge eingehende Netzwerk-Verbindungen über diesen Port erlaubte. Bei der Kommunikation mit dem Gemalto-Server kam entweder HTTP oder ein proprietäres, binäres Protokoll zum Einsatz. Auf diesem Weg konnte der Anwender unter anderem Language Packs herunterladen, die sich bei der Untersuchung durch Kaspersky als anfällig für Buffer Overflows erwiesen.

Insgesamt fanden die Analysten 14 verschiedene Sicherheitslücken in der Lizenzmanagement-Lösung, darunter eine offenbar undokumentierte Funktion, über die es möglich war, mit System-Berechtigungen einen versteckten Fernzugriff auf den Computer einzurichten.

Kaspersky meldete die Sicherheitslücken im Juni 2017 an Gemalto. Die Firma stellte ihren Anwendern daraufhin im Juli 2017 ein Treiberupdate zur Verfügung. Es trägt die Versionsnummer 7.6 und sollte sofort installiert werden.