TN270SP - Afectaciones Hardening Seguridad DCOM Microsoft. ACTUALIZACIÓN 16/02/2023

TN270SP - Afectaciones Hardening Seguridad DCOM Microsoft. ACTUALIZACIÓN 16/02/2023

La presente Nota Técnica tiene como objetivo abordar la problemática que se está dando acerca del uso del DCOM en los distintos productos que gestiona Becolve afectados por los cambios introducidos por Microsoft en sus productos para proteger una vulnerabilidad detectada en DCOM. Los cambios hechos por Microsoft se introducen a través de los paquetes de actualización.

Para más información sobre los paquetes de actualización, acceda a la Nota Técnica de Microsoft en el siguiente enlace.


Posibles síntomas de fallo por DCOM

En aquellas instalaciones y sistemas en los que se haga uso del protocolo de comunicación OPC DA u OPC Classic; con cliente y servidor OPC situados en distintos equipos, es posible que ante una actualización de Microsoft se comiencen a experimentar anomalías en la adquisición de datos e incluso una pérdida total de la comunicación con el servidor OPC. En el caso de una nueva instalación con las actualizaciones de Microsoft ya aplicadas, si se hace uso de un cliente y servidor OPC ubicados en distintos equipos y se encuentran dificultades para comunicarlos entre sí; es probable que uno de los motivos del fallo se deba a los cambios de seguridad introducidos por Microsoft en DCOM.

En la actualidad, el uso del protocolo OPC DA u OPC Classic se encuentra ampliamente extendido, siendo muy probable encontrarlo como forma de comunicación entre el SCADA y el driver de comunicaciones con campo, haciéndose uso de un OPC Client en la parte del SCADA y un OPC Server situado en el driver de comunicaciones. En el caso que estos programas se encuentren ejecutados en diferentes equipos, es necesaria una transferencia y comunicación de estos datos a través de la red mediante el uso del DCOM. Por lo que en el caso que repentinamente se comiencen a experimentar problemas de comunicación entre servidor y clientes OPC situados en distintos equipos a lo largo de la red, puede deberse a un problema con el DCOM y sus cambios en la seguridad impuestos por Microsoft. Con el fin de concretar el motivo del fallo y descartar o evidenciar que el origen proviene del DCOM, es aconsejable probar a instalar tanto cliente como servidor OPC en el mismo equipo, ya que los fallos en DCOM se originan en comunicaciones entre distintos dispositivos en una misma red, funcionando correctamente en el caso que la comunicación sea local (en el mismo equipo).


¿Qué es DCOM?

DCOM (Distributed Component Object Model) es un protocolo utilizado para exponer objetos de aplicación mediante llamadas a procedimientos remotos (RPCs). DCOM es utilizado para la comunicación entre los componentes de software de los dispositivos en la red. Con esto se permite que un equipo ejecute programas a través de la red en otros equipos distintos como si estos programas se estuvieran ejecutando de forma local. Un posible ejemplo del uso de este protocolo es en la comunicación mediante OPC DA, en la que se utiliza DCOM para pasar información entre los dispositivos.

Dado el potencial de explotación ante las vulnerabilidades que presenta el DCOM, Microsoft ha implementado una serie de medidas de seguridad para asegurar la integridad de los equipos en la red ante posibles ataques.

 

¿En que consiste el "Hardening" de la seguridad de DCOM?

Microsoft ha detectado diversas vulnerabilidades en DCOM que ha solucionado a partir de actualizaciones y parches que fortalecen (Hardening) la autenticación de DCOM. Estas modificaciones han incrementado el nivel mínimo de autenticación utilizado cuando se establecen conexiones DCOM, por lo que los productos que utilicen esta forma de conexión, se verán afectados tras estos cambios introducidos por Microsoft.


Fases de actualizaciones de Microsoft en la seguridad de DCOM

En junio del 2021, Microsoft comenzó la primera fase de actualizaciones sobre el fortalecimiento de la seguridad en DCOM. Por defecto, este fortalecimiento estaba deshabilitado y era posible habilitarlo a partir de una clave en el registro.

La segunda fase de actualizaciones se publicó en junio del 2022, habilitando por defecto el fortalecimiento de la seguridad en DCOM, pero manteniendo la posibilidad de deshabilitarlo a partir de una clave en el registro.

Entre noviembre del 2022 y enero del 2023, Microsoft lanzó una actualización que afecta al lado del cliente en la que eleva automáticamente el nivel de autenticación de todas las solicitudes de activación no anónimas a RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Esto permite que el nivel de autenticación de activación se suba automáticamente al nivel del sistema operativo Windows. Esto impide que los servidores DCOM que han habilitado los cambios de protección de DCOM rechacen las solicitudes de activación.

La fase final será publicada en marzo del 2023, manteniendo la habilitación del fortalecimiento de la seguridad en DCOM, pero eliminando la posibilidad de deshabilitarlo, por lo que estas medidas quedarán activadas de forma permanente y con ello sus efectos sobre los diversos programas que hagan uso del DCOM.

Por lo que respecta a la afectación del fortalecimiento de la seguridad de DCOM en los productos que gestiona Becolve se recoge la siguiente lista:

 

Productos y versiones afectadas:

  • System Platform - Todas las versiones
  • Historian - Todas las versiones
  • OI Gateway y FS Gateway - Todas las versiones 
  • Edge 2020 R2 SP1 y anteriores
  • KEPServerEX 5.20.396 hasta 6.12

Las versiones anteriores a las indicadas, son tan antiguas que se encuentran fuera de soporte. Por lo que se recomienda encarecidamente que se actualicen a versiones más recientes.


System Platform

System Platform 2014 R2 SP1 y posteriores: No hay efectos negativos al habilitar el fortalecimiento de DCOM siempre que se cumplan los siguientes requisitos:
      - Todos los equipos del sistema deben ejecutar System Platform versión 2014 R2 SP1 o posterior.
      - Aplicar todas las actualizaciones de Microsoft relacionadas con el fortalecimiento de DCOM, incluyendo actualizaciones de seguridad y las actualizaciones mensuales publicadas hasta la de enero del 2023 incluida
      - Debido a que en marzo del 2023 se activará de forma permanente el fortalecimiento de DCOM, se recomienda habilitar previamente dicho fortalecimiento para verificar que sus efectos son los esperados. El procedimiento se encuentra descrito al final de esta Nota Técnica en el apartado "Habilitación manual del fortalecimiento DCOM".
System Platform 2014 R2 y anteriores: Tras la habilitación del fortalecimiento de DCOM, pueden experimentarse efectos negativos relacionados con el "deployment", administración remota y "browsing" de servidores OPC y tags. 
      - Se debe actualizar a una versión más reciente de System Platform, ya que en el caso de aplicar las actualizaciones de Microsoft, se experimentarán los efectos descritos anteriormente. En el caso que no sea posible dicha actualización, contactar con Soporte Técnico para obtener una solución específica de la versión.

Historian

Historian todas las versiones: La administración remota de un Historian Server desde el SMC/OCMC no funciona correctamente.
      - Para administrar remotamente un Historian Server, realizar una conexión RDP al equipo que ejecuta la función de Historian Server para realizar la administración de forma local.

OI Gateway y FS Gateway

OI Gateway 5.2 o posterior: No hay efectos negativos al habilitar el fortalecimiento de DCOM, siempre que todas las actualizaciones relacionadas con el fortalecimiento de DCOM, que incluyen actualizaciones de seguridad y actualizaciones de paquetes acumulativos mensuales hasta las publicadas en enero de 2023 inclusive, se hayan aplicado a todos los equipos que ejecuten este programa.
      - Aplicar todas las actualizaciones de Microsoft relacionadas con el fortalecimiento de DCOM, incluyendo actualizaciones de seguridad y las actualizaciones mensuales publicadas hasta la de enero del 2023 incluida      
      - Debido a que en marzo del 2023 se activará de forma permanente el fortalecimiento de DCOM, se recomienda habilitar previamente dicho fortalecimiento para verificar que sus efectos son los esperados. El procedimiento se encuentra descrito al final de esta Nota Técnica en el apartado "Habilitación manual del fortalecimiento DCOM".

OI Gateway 5.1 o anterior y cualquier versión de FS Gateway: La funcionalidad se ve afectada por la habilitación del fortalecimiento de DCOM.
      - No hay un hotfix disponible para estas versiones. Se debe actualizar a una versión más reciente de OI Gateway, ya que en el caso de aplicar las actualizaciones de Microsoft, se experimentarán los efectos descritos anteriormente. En el caso que no sea posible dicha actualización, contactar con Soporte Técnico para obtener una solución específica de la versión.


Edge

Edge 2020 R2 SP2: No hay efectos negativos al habilitar el fortalecimiento  de DCOM.
Edge 2020 R2 SP1 y anteriores: Tras la habilitación del fortalecimiento  de DCOM en equipos que ejecutan un servidor OPC DA, OPC HDA, OPC DA 2.05 o clientes OPC XML/DA; se pueden experimentar efectos negativos al realizar un "browse" de servidores remotos OPC o en la lectura/escritura de datos en servidores OPC remotos. 
      - Estos efectos están solucionados en la versión Edge 2020 R2 SP2, por lo que se debe actualizar a esta versión ya que en el caso de aplicar las actualizaciones de Microsoft, se experimentarán los efectos descritos anteriormente. En el caso que no sea posible dicha actualización, contactar con Soporte Técnico para obtener una solución específica de la versión.

Kepware

Para los usuarios de Kepware, no es necesario instalar un hotfix, sino que se deberá configurar adecuadamente el nivel de autenticación introducido por Microsoft. El nivel de autenticación DCOM se deberá establecer en "Packet Integrity" a partir del uso de la herramienta de configuración para DCOM (DCOMCNFG.EXE) tanto para el equipo cliente como el equipo servidor.
  1. En el servidor, el cambio debe hacerse al nivel de la aplicación

  1. En el cliente, el cambio debe realizarse a nivel de Mi equipo

Cabe destacar que a parte de la configuración anteriormente realizada, es necesario que el siguiente ajuste se encuentre habilitado:

KepServer
      Settings>Runtime Options>Use DCOM configuration settings
OPC Quick Client
      Tools>Options>Use DCOM for remote security

Para consultar otras formas de evitar esta problemática gracias al Communication Hub de Becolve, acceda al siguiente enlace.
 

Habilitación manual del fortalecimiento DCOM

Hasta que se aplique el fortalecimiento permanente de Microsoft previsto para Marzo del 2023, es posible habilitar manualmente dicho fortalecimiento. En el caso que anteriormente se haya creado la clave de registro, será necesario modificarla manualmente. En caso contrario, el fortalecimiento ya se encuentra activo por defecto

Ruta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

Nombre: "RequireIntegrityActivationAuthenticationLevel"

Tipo: dword

Dato: Modificar el valor a 0x00000001 = habilitado.