Sikkerhetsoppdatering fra Microsoft Security Respons Center
Microsoft Security Response Center kommer med en sikkerhetsoppdatering som påvirker OPC DA-servere som bruker DCOM.
Som svar på en oppdaget sårbarhet, detaljert i CVE-2021-26414, er Microsoft i gang med en sikkerhetsoppdatering. Som konsekvens kan OPC-servere som bruker DCOM slutte å fungere når oppdateringen trer i kraft i 2022.
Microsoft kommer til å distribuere den komplette DCOM-sikkerhetsoppdateringen i etapper, for å gi Windows-brukere tid til å gjøre nødvendige oppdateringer før det blir obligatorisk.
Microsoft sine tiltak i gradvis lansering:
- Implementeringsfasen startet med Windows-oppdateringer 8. juni 2021. Oppdateringene gjorde det mulig å verifisere at alle klient-/serverapplikasjoner fungerer som forventet med endringene i herdingen aktivert.
- Fase to er planlagt utgivelse tidlig i første kvartal 2022. Dette muliggjør programmering på DCOM-server som standard, og kan deaktiveres via registernøkkelen RequireIntegrityActivationAuthenticationLevel hvis nødvendig.
- Fase tre er planlagt i løpet av andre kvartal 2022. Denne aktiverer herding på DCOM-servere som standard, og vil ikke lenger kunne deaktiveres.
Brukere som vil fortsette å benytte OPC DA-server, og som i dag er avhengig av DCOM-basert kommunikasjon, anbefales sterkt å implementere følgende løsning:
- Eliminere DCOM-avhengigheten ved å bytte til en løsning som består av Kepware OPC Connectivity Suite og OPC UA. Kepwares OPC Connectivity Suite påvirkes ikke av denne eller fremtidige DCOM-oppdateringer, og krever ikke modifikasjoner av eksisterende OPC-applikasjoner.
Når DCOM-sikkerhetsoppdateringen er tatt i bruk vil det gi følgende konsekvenser:
- Klassiske OPC-klienter som ikke støtter Packet Integrity-autentisering og bruker DCOM vil ikke lenger kunne kobles til eksterne OPC DA Classic-servere.
- Lokal OPC Classic klient-/serverkommunikasjon via COM vil ikke bli påvirket.
- OPC UA-applikasjoner vil ikke bli påvirket fordi de ikke benytter DCOM.
