OTORIO DCOM Hardening Toolkit für Windows für OT-Systeme veröffentlicht

Publiziert am 25. Januar 2023 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]In Microsofts Windows DCOM-Implementierung gibt es eine Schwachstelle, die eine Umgehung der Sicherheitsfunktionen ermöglicht. Microsoft hat das dokumentiert und gepatcht, und will im März 2023 aber einen letzten einen Patch freigeben. Sicherheitsanbieter OTORIO hat im Vorfeld ein OpenSource DCOM Hardening Toolkit für OT-Systeme veröffentlicht, mit dem Unternehmen ihre DCOM-Umgebungen analysieren und ggf. härten können.

Anzeige

DCOM Schwachstelle CVE-2021-26414

Das OPC Data Access (OPC DA)-Protokoll wurde 1995 eingeführt, um die Kommunikation von Echtzeitdaten zwischen der speicherprogrammierbaren Steuerung (SPS/PLC) und der Software in OT-Netzwerken zu ermöglichen. OPC DA basiert jedoch auf der DCOM-Technologie, die Sicherheitsschwachstellen aufweist. Im Jahr 2008 führte Microsoft das nicht DCOM-abhängige OPC Unified Architecture (OPC UA)-Protokoll ein, aber viele Industrieunternehmen nutzen immer noch OPC DA.

Im Jahr 2021 räumte Microsoft eine kritische Schwachstelle in seinem DCOM-Protokoll ein und kündigte einen Härtungspatch an, um die Authentifizierung zwischen DCOM-Clients und -Servern zu stärken. Um Betriebsunterbrechungen zu minimieren, wurde der Patch in mehreren Phasen veröffentlicht.

  • Der erste Patch führte die Möglichkeit ein, die Härtung der schwachen Authentifizierungsebenen in DCOM zu aktivieren, war aber standardmäßig deaktiviert.
  • Der zweite Patch erzwang die Härtung standardmäßig mit der Option, sie zu deaktivieren.
  • Der Rollout des dritten DCOM-Härtungspatches hatte automatisch alle nicht-anonymen Aktivierungsanfragen von DCOM-Clients erhöht.
  • Am 14. März 2023 wird Microsoft einen neuen Patch herausgeben, der die Option, ungesichertes DCOM zu aktivieren, ganz entfernt.

Microsoft hat dazu den Support-Beitrag KB5004442—Manage changes for Windows DCOM Server Security Feature Bypass (CVE-2021-26414) veröffentlicht und gibt an, dass folgende Windows-Versionen davon betroffen seien:

  • Windows 11  21H2 – 22H2
  • Windows Server 2022
  • Windows 10, Version 2004 – 21H1, Windows Server, Version 20H2
  • Windows 10 Enterprise, Version 1909
  • Windows 10 IoT Enterprise, Version 1909
  • Win 10 Enterprise LTSC Version 2019
  • Windows 10 IoT Enterprise LTSC Version 2019
  • Windows Server 2019
  • Windows 10, Version 1607, Windows Server 2016
  • Windows 8. 1, Windows Server 2012 R2
  • Windows Embedded 8.1 Industry Enterprise
  • Windows Server 2012
  • Windows Embedded 8 Standard
  • Windows 7, Windows Server 2008 R2
  • Windows Embedded Standard 7 ESU
  • Windows Embedded POSReady 7 ESU
  • Windows Thin PC Windows Server 2008

Windows 7 SP1 und Windows 8.1 werden im März 2023 wohl keine Sicherheitsupdates mehr bekommen, da diese aus dem Support gefallen sind.

OTORIO DCOM Hardening Toolkit für OT-Systeme

Sicherheitsanbieter OTORIO hat nun das Open-Source-basierte Microsoft Distributed Component Object Model (DCOM) Hardening Toolkit auf GitHub veröffentlicht. Ziel ist es, OT-Systeme (Operational Technology-Systeme)  vor möglichen Problemen im Zusammenhang mit einem bevorstehenden Microsoft-Patch zu schützen. Das eigenständige Open-Source-Toolkit können alle Unternehmen nutzen, um schwache Anwendungen für die DCOM-Authentifizierung zu erkennen und temporäre Umgehungslösungen anzubieten. OTORIO RAM²-Anwender haben außerdem automatisch Zugriff auf einen neuen Alarm in der Safe Active Query, der eine Erkennung im gesamten Netzwerk ermöglicht.

Mit dem DCOM Hardening Toolkit von OTORIO können Anwender schnell feststellen, ob ihre Netzwerke ungesichertes DCOM enthalten, das durch den neuen Patch unbrauchbar gemacht wird. Anschließend bietet es Anweisungen zur Behebung, um sicherzustellen, dass Unternehmen die volle Kontrolle über ihre OT-Geräte behalten.

RAM² von OTORIO sammelt und analysiert mehrere Datenquellen, die in der OT-Umgebung vorhanden sind. Hierzu zählen z. B. SCADA (Supervisory Control and Data Acquisition), speicherprogrammierbare Steuerungen (SPS/PLC), verteilte Steuerungssysteme (Distributed Control Systems, DCS), historische Datenbanken, technische Systeme und mehr. Anschließend reichert die Lösung diese Analyse mit dem betrieblichen Kontext, Schwachstellen und Gefährdungen an, um die Sicherheitslage zu bewerten und OT-Sicherheitsbedrohungen zu identifizieren und zu priorisieren.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu OTORIO DCOM Hardening Toolkit für Windows für OT-Systeme veröffentlicht

  1. 1ST1 sagt:
    25. Januar 2023 um 12:07 Uhr

    Hat das schon jemand ausprobiert? Ich sehe da nur die Parameter "disable", "enable", "raise" und "lower", also das macht auf jeden Fall irgendwas? Mir fehlt da als Parameter "scan", um erstmal nur zu gucken…

    Antworten
    • Joachim sagt:
      26. Januar 2023 um 09:16 Uhr

      Ich hab mir das Script angesehen. Das werden alle Werte standardmäßig auf $False gesetzt und man kann es daher ohne Parameter ausführen

      [Parameter(Mandatory=$false)][Switch]$Disable = $false,
      [Parameter(Mandatory=$false)][Switch]$Enable = $false,
      [Parameter(Mandatory=$false)][Switch]$Raise = $false,
      [Parameter(Mandatory=$false)][Switch]$Lower = $false,
      [Parameter(Mandatory=$false)][Switch]$Help = $false

      Zur Sicherheit empfehle ich noch, diesen Codeblock zu entfernen

      if ($Disable) {
      if ($notSetWell){
      set_registry_key $KeyPath $RequiresubKey $valueDisable
      }
      Remove-ItemProperty -Path $KeyPath -Name $RaisesubKey -Force
      }

      if ($Enable -And $notSetWell) {
      set_registry_key $KeyPath $RequiresubKey $valueEnable
      }

      if ($Enable -And ($Raise -Or $Lower)){
      try{
      $result = Get-ItemProperty -Path $KeyPath -Name $RaisesubKey -ErrorAction Stop
      $result_value = $result.($RaisesubKey)
      $data_to_print = "$($RaisesubKey) value is: $($result_value)`n"
      if ($result_value -eq $RaiseValue){
      $data_to_print = "Activation Authentication Level is raised."
      }
      elseif ($result_value -eq $LowerValue){
      $data_to_print = "Activation Authentication Level is Default."
      }
      Write-Host $data_to_print
      if(($result_value -eq $RaiseValue -And $Raise) -or ($result_value -eq $LowerValue -And $Lower)){
      Write-Host "Value is already set for $($RaisesubKey) – no change is required"
      }
      else {$notSetWell = $true}
      }
      catch {$notSetWell = $true}
      if ($notSetWell){
      $val_to_set = if ($Raise) { $RaiseValue } else { $LowerValue }
      set_registry_key $KeyPath $RaisesubKey $val_to_set
      }
      }

      und die komplette Funktion function set_registry_key

      Dann gibt es nichts mehr im Script, dass etwas schreibt/ändert. Aber bitte selbst prüfen vor dem Ausführen, das Skript ist sehr kurz und einfach zu verstehen.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.