Windows DCOM-oppdatering: Dette innebærer det for deg

Den siste fasen av Windows-sikkerhetsoppdateringen KB500442 trer i kraft 14. mars. Med oppdateringen kan ikke DCOM-herdinger lenger omgås. Dette kan føre til at forbindelser som er etablert med klassiske OPC-protokoller brytes, og dataoverføring mellom ulike systemer avbrytes. I denne artikkelen forklarer vi nærmere i hvilke tilfeller det må iverksettes tiltak, og hvordan dataoverføringen kan fortsettes. 

DCOM (Distributed Component Object Model) har vært i bruk siden 1996. Det er en teknologi patentert av Microsoft, for kommunikasjon mellom programvare-komponenter i nettverksenheter. I juni 2021 ble en sikkerhetssårbarhet (CVE-2021-26414) oppdaget i Microsoft Windows-operativsystemer. I sårbarheten ble DCOM avslørt som en vanlig angrepsvektor for hackere. Industrielle automasjonssystemer benytter seg i stor grad av DCOM-protokollen, og har derfor behov for endringer. 

Windows har gitt ut sikkerhetsoppdateringer for den nevnte sårbarheten. Imidlertid vil ikrafttredelsen av DCOM-forbedringene føre til kompatibilitetsproblemer mellom ulike automasjonssystemer. For eksempel kan kommunikasjon mellom PLS-er blir forstyrret. På grunn av kompatibilitetsproblemer ble forbedringene implementert i etapper, for å gi brukerne tid til å forberede seg på endringen.

8. juni 2021
Herdinger deaktivert som standard, aktiveres via konfigurasjon. 

14. juni 2022
Herdinger aktivert som standard, overstyring mulig med konfigurasjon. 

14. mars 2023
Herdinger aktivert som standard. Herdinger kan ikke hoppes over. 

Applikasjoner som kommuniserer ved hjelp av DCOM vil bli påvirket. Dette inkluderer applikasjoner på Windows-operativsystemer som bruker klassiske OPC-standarder for dataoverføring mellom ulike servere. Illustrasjonen nedenfor (Figur 1) viser en situasjon som krever endringer: 

Figur 1: En situasjon som krever endringer, dataflyt kan bli avbrutt mellom klient og server.

Forbindelsen mellom Windows-klienten og serveren er ikke sikker, og forbindelsen vil bli brutt når herdingen trer i kraft. Klassisk OPC-klient inne på serveren vil fortsette å fungere etter forbedringene trer i kraft, fordi den ikke bruker DCOM-tilkoblingen. 

Hvis du ikke er sikker på om det er DCOM-implementeringer i operativ bruk i bedriften din, anbefales det å skanne nettverket for DCOM-bruk. Du kan også be en ekstern ekspert om hjelp, for eksempel oss i Novotek. 

Korrigerende tiltak innebærer å endre den klassiske OPC-serveren til å bruke OPC UA (figur 2), eller å lage OPC UA Tunneling (figur 3 og 4). Konvertering av en klassisk OPC-server til OPC UA er en enkel måte å modernisere systemet på. Tunneling er nødvendig når klienten og/eller serveren ikke støtter OPC UA. Tunneling kan for eksempel gjøres ved hjelp av KEPServerEX.

Figur 2: OPC Classic er erstattet av OPC UA.

Figur 3: OPC UA tunneling hvis serveren ikke støtter OPC UA.

Figur 4: OPC UA tunneling hvis serveren og klienten ikke støtter OPC UA.

14. mars vil Windows utføre den siste fasen av sikkerhetsoppdateringen hvor DCOM-herding trer i kraft som standard, og du vil ikke lenger kunne omgå den. Oppdateringen påvirker dataflyten til industrielle automasjonssystemer som overfører data mellom ulike servere ved hjelp av DCOM-tilkobling. Herdingene har ingen innvirkning på driften av OPC UA, men på eldre, klassiske OPC-standarder. Vi anbefaler på det sterkeste å erstatte OPC Classic-tilkoblinger med OPC UA-tilkoblinger. OPC UA er en moderne og sikker måte å skape forbindelser mellom ulike systemer. 

Vi har lang erfaring med dataoverføringsprosjekter, og hjelper deg gjerne i gang med en OPC UA-løsning. Ta kontakt med oss på info.norway@novotek.com eller via knappen nedenfor hvis du har spørsmål om DCOM-oppdateringen eller vil diskutere mulige løsninger for din bedrift.