Becolve Digital
Select Page

Patches no DCOM da Microsoft “quebram” comunicações OPC DA

Todas as aplicações que utilizam a API do Windows para estabelecer ligações DCOM entre dois dispositivos são afetadas.

Becolve Digital
Lista de blogs

vidro preto partido

Nas atualizações cumulativas da Microsoft de junho de 2021, foi incluída uma correção de segurança para limitar a exposição de CVE-2021-26414 com CVSS de 4.3, onde um potencial atacante poderia contornar as opções de segurança implementadas no DCOM. A correção é a KB5004442.

Esta correção tinha uma série de etapas para facilitar a atualização de todos os tipos de sistemas:

  • 8 de junho de 2021, correção por defeito desativada.
  • 14 de junho de 2022, correção por defeito ativada, mas com a possibilidade de desativá-la.
  • 14 de março de 2023, correção ativada e sem possibilidade de desativá-la.

A partir de março de 2023, esta correção aumenta o nível de segurança exigido para as comunicações DCOM sem possibilidade de ser desativado. Recordamos que o DCOM (Distributed Component Object Model) é um protocolo empregado para expor os objetos de uma aplicação aos RPC (Remote Procedure Calls) e, desta forma, os diferentes componentes de dispositivos possam comunicar por rede.

Todas as aplicações que utilizam a API do Windows para estabelecer ligações DCOM entre dois dispositivos são afetadas. Um exemplo: OPC-DA.

O OPC-DA clássico utiliza as comunicações DCOM para passar informação entre dispositivos. A aplicação desta correção, a partir de 14 de março de 2023, tem impacto em toda a comunicação OPC-DA, já que os clientes e servidores devem utilizar o mesmo nível de autenticação DCOM.

A ligação entre servidores e clientes OPC DA através de uma rede requer DCOM. Com a aplicação obrigatória da correção de segurança KB5004442 da Microsoft, só serão permitidos os dois níveis mais altos de autorização DCOM. Qualquer ligação de clientes OPC com configurações de segurança mais baixas falhará.

Gráfico OPC-DA

Produtos e versões afetadas

  • System Platform 2020 R2 SP1 e posteriores.
  • System Platform 2017 U3 SP1 P01 e posteriores.
  • System Platform 2014 R2 SP1 P02.
  • OI Gateway e FS Gateway.
  • Edge 2020 R2 SP1 e posteriores.
  • KEPServerEX 5.20.396 até 6.12.

Soluções

Em geral, a melhor solução é atualizar as aplicações para a sua versão mais recente. Não só para não ser afetado pela correção KB5004442 da Microsoft, mas também para garantir o nível de segurança máximo dos seus sistemas.

Se não for possível atualizar para a versão mais recente disponível, entre em contacto com o nosso departamento de suporte técnico e eles irão aconselhá-lo sobre a melhor opção para o seu caso concreto.

  • FSGateway (todas as versões) – Atualizar para OI Gateway.
  • OI Gateway G-2.1 (v5.2 e anteriores) – Atualizar para versão superior.
  • OI Gateway G-3.0 a 2020 R3 – Consultar hotfix adequado para a versão.
  • OI Gateway 2023 – Compatível com atualização KB5004442

De maneira genérica, se falarmos das comunicações mediante OPC DA, podemos considerar as seguintes soluções:

  1. Mover cliente e servidor OPC DA para o mesmo equipamento para evitar comunicações de rede e a sua autenticação.
  2. Configurar o nível de autenticação de DCOM tanto no servidor OPC como em todos os clientes.
  3. Substituir o uso de OPC DA por OPC UA, o qual não requer DCOM.
  4. Realizar um “túnel” das comunicações OPC DA entre cliente e servidor.
  • Redirecionar o tráfego OPC-DA entre 2 servidores KepserverEX utilizando OPC-UA como meio de transporte.
  • Utilizar a sincronização de DataHub para que um cliente OPC-DA possa ler (e escrever) no servidor, inclusive quando este está detrás de uma Firewall sem portas abertas (eliminando a exposição da rede de processo e diminuindo os riscos de cibersegurança).

Não sabe como aplicar qualquer um destes pontos? Ou, pior ainda, não sabe sequer em que ponto se encontra? Não se preocupe, na Becolve Digital temos claro como ajudá-lo, entre em contacto connosco e estudaremos o seu caso particular.

Inscreva-se no webinar!
Contacte a Becolve Digital

Postagens Relacionadas