«كاسبرسكى» تكتشف ثغرات أمنية فى نظام إدارة التراخيص المؤسسية

عثر باحثون يعملون فى فريق الاستجابة لحالات الطوارئ الإلكترونية فى نظم الرقابة الصناعية لدى كاسبرسكى لاب Kaspersky Lab ICS CERT على مجموعة من الثغرات الخطرة فى نظام إدارة التراخيص عبر أجهزة منع قرصنة البرمجيات HASP، المستخدمة على نطاق واسع فى البيئات المؤسسية ونظم الرقابة الصناعية لتفعيل البرمجيات المرخصة. وقد يصل عدد النظم المتأثرة بالثغرة إلى مئات الآلاف، أو أكثر، فى جميع أنحاء العالم.
وتستخدم الأجهزة المشكوك بها، والتى هى عبارة عن قطع تعريف أمنى تتصل بالنظم المؤسسية عبر منافذ USB (الناقل التسلسلى العالمي)، فى مختلف الشركات والمؤسسات على نطاق واسع لغرض تفعيل تراخيص البرمجيات بطريقة ملائمة؛ إذ يحتاج مسئول إدارة النظام التقنية فى الشركة، بحسب سيناريو الاستخدام العادي، إلى إدخال قطعة التعريف الأمنى فى منفذ USB الموجود فى الحاسوب المشتمل على التطبيق البرمجى الذى يحتاج إلى تفعيله، وبذلك يتأكد للنظام أن البرمجية أصلية وليست مقرصنة، فيقوم بتفعيلها، وبالتالى يستطيع المستخدم للحاسوب أو الجهاز الخادم استخدامها. وبمجرد إدخال قطعة التعريف الأمنى فى الجهاز للمرة الأولى، يقوم نظام التشغيل «ويندوز» بتنزيل برمجية التشغيل Driver الخاصة بها من خوادم المورد من أجل جعل القطعة تعمل بشكل صحيح مع الحاسوب الذى تم توصيلها فيه. وتأتى برمجية التشغيل فى حالات أخرى عبر طرف آخر يستخدم النظام المذكور أعلاه لحماية التراخيص.