Patches no DCOM da Microsoft “quebram” comunicações OPC DA
A partir de junho de 2022, este patch aumenta por defeito o nível de segurança exigido para as comunicações DCOM.
Nas atualizações cumulativas de junho da Microsoft, está incluído um patch de segurança para limitar a exposição de CVE-2021-26414 com CVSS de 4.3, onde um potencial atacante poderia ignorar as opções de segurança implementadas no DCOM. O patch é o KB5004442.
A partir de junho de 2022, este patch aumenta por defeito o nível de segurança exigido para as comunicações DCOM. Recordamos que DCOM (Distributed Component Object Model) é um protocolo utilizado para expor os objetos de uma aplicação aos RPC (Remote Procedure Calls) e, desta forma, os diferentes componentes de dispositivos podem comunicar por rede.
Todas as aplicações que utilizam a API do Windows para estabelecer ligações DCOM entre dois dispositivos são afetadas. Um exemplo: OPC-DA.
O OPC-DA clássico utiliza as comunicações DCOM para passar informações entre dispositivos. A aplicação deste patch, a partir de 14 de junho de 2022, impacta toda a comunicação OPC-DA, uma vez que os clientes e servidores devem utilizar o mesmo nível de autenticação DCOM.
I Soluções para comunicação OPC-DA
1. (Temporário até 14 de março de 2023) Desativar a mitigação da vulnerabilidade implementada em KB5004442, modificando a chave de registo HKEY_LOCAL_MACHINE SOFTWAREMicrosoftOleAppCompat.
2. Configurar o nível de autenticação de DCOM para “Packet Integrity” ou superior, tanto no servidor OPC como em todos os clientes.
Para os servidores, a alteração é realizada ao nível da Aplicação
Para os clientes, a alteração é realizada ao nível de “My Computer”
Em servidores/clientes baseados em KepserverEX, deve ser configurado para que siga a configuração de DCOM
- KepserverEX: Settings > Runtime Options > Use DCOM configuration settings.
- OPC Quick Client: Tools > Options > Use DCOM for remote security.
- LinkMaster: Tools > Options > Runtime Options > Use DCOM configuration utility settings.
Pode descarregar o guia de configuração atualizado
- Mover o cliente e o servidor de OPC-DA para o mesmo equipamento para evitar as comunicações de rede e a sua autenticação.
- Considerar substituir o uso de OPC-DA por OPC-UA, o qual não requer DCOM.
- “Tunelizar” ou “mascarar” as comunicações OPC-DA entre cliente e servidor. O Communication Hub da Logitek permite realizar de diferentes formas
- Redirecionar o tráfego OPC-DA entre 2 servidores KepserverEX utilizando OPC-UA como meio de transporte.
- Utilizar a sincronização de DataHub para que um cliente OPC-DA possa ler (e escrever) no servidor, mesmo quando este está atrás de uma Firewall sem portas abertas (eliminando a exposição da rede de processo e diminuindo os riscos de cibersegurança).
