Parches en DCOM de Microsoft “rompen” comunicaciones OPC DA
A partir de Junio del 2022, este parche incrementa por defecto el nivel de seguridad requerido para las comunicaciones DCOM.
En las actualizaciones acumulativas de Microsoft de Junio, se incluye un parche de seguridad para limitar la exposición de CVE-2021-26414 con CVSS de 4.3 donde un potencial atacante podría saltarse las opciones de seguridad implementadas en DCOM. El parche es el KB5004442
A partir de Junio del 2022, este parche incrementa por defecto el nivel de seguridad requerido para las comunicaciones DCOM. Recordemos que DCOM (Distributed Component Object Model) es un protocolo empleado para exponer los objetos de una aplicación a los RPC (Remote Procedure Calls) y, de esta manera, los diferentes componentes de dispositivos puedan comunicarse por red.
Todas las aplicaciones que utilizan la API de Windows para establecer conexiones DCOM entre dos dispositivos se ven afectados. Un ejemplo: OPC-DA.
OPC-DA clásico utiliza las comunicaciones DCOM para pasar información entre dispositivos. La aplicación de este parche, a partir del 14 de Junio de 2022 impacta a toda comunicación OPC-DA ya que los clientes y servidores deben utilizar el mismo nivel de autenticación DCOM.
I Soluciones para comunicación OPC-DA
1. (Temporal hasta 14 de Marzo de 2023) Deshabilitar la mitigación de la vulnerabilidad implementada en KB5004442 modificando la clave de registro HKEY_LOCAL_MACHINE SOFTWAREMicrosoftOleAppCompat.
2. Configurar el nivel de autenticación de DCOM a “Packet Integrity” o superior, tanto en el servidor OPC como a todos los clientes.
Para los servidores, el cambio se realiza a nivel de Aplicación
Para los clientes, el cambio se realiza a nivel de “My Computer”
En servidores/clientes basados en KepserverEX, se debe configurar para que siga la configuración de DCOM
- KepserverEX: Settings > Runtime Options > Use DCOM configuration settings.
- OPC Quick Client: Tools > Options > Use DCOM for remote security.
- LinkMaster: Tools > Options > Runtime Options > Use DCOM configuration utility settings.
Puedes descargarte la guía de configuración actualizada
- Mover cliente y servidor de OPC-DA en el mismo equipo para evitar las comunicaciones de red y su autenticación.
- Plantear reemplazar el uso de OPC-DA por OPC-UA, el cual no requiere de DCOM.
- “Tunelizar” o “enmascarar” las comunicaciones OPC-DA entre cliente y servidor. El Communication Hub de Logitek lo permite realizar de diferentes formas
- Redirigir el tráfico OPC-DA entre 2 servidores KepserverEX utilizando OPC-UA como medio de transporte.
- Utilizar la sincronización de DataHub para que un cliente OPC-DA pueda leer (y escribir) en el servidor, incluso cuando éste está detrás de un Firewall sin puertos abiertos (eliminando la exposición de la red de proceso y disminuyendo los riesgos de ciberseguridad).
