Open-Source-Erkennungstool deckt vor dem Microsoft-Patch im März 2023 Schwachstellen in DCOM auf. Anwender schnell feststellen, ob ihre Netzwerke ungesichertes DCOM enthalten, das durch den neuen Microsoft-Patch unbrauchbar gemacht wird.
OTORIO hat das Open-Source-basierte Microsoft Distributed Component Object Model (DCOM) Hardening Toolkit veröffentlicht. Ziel ist es, OT-Systeme vor möglichen Problemen im Zusammenhang mit einem bevorstehenden Microsoft-Patch zu schützen. Denn Microsoft schreibt selbst: „14. März 2023, Hardening-Änderungen sind standardmäßig aktiviert, ohne dass sie deaktiviert werden können. Zu diesem Zeitpunkt müssen Sie alle Kompatibilitätsprobleme mit den Härtungsänderungen und Anwendungen in Ihrer Umgebung beheben.“
Prüfen, bevor Microsoft umschaltet
Das eigenständige Open-Source-Toolkit können alle Unternehmen nutzen, um schwache Anwendungen für die DCOM-Authentifizierung zu erkennen und temporäre Umgehungslösungen anzubieten. OTORIO RAM²-Anwender haben außerdem automatisch Zugriff auf einen neuen Alarm in der Safe Active Query, der eine Erkennung im gesamten Netzwerk ermöglicht.
Das OPC Data Access (OPC DA)-Protokoll wurde 1995 eingeführt, um die Kommunikation von Echtzeitdaten zwischen der speicherprogrammierbaren Steuerung (SPS/PLC) und der Software in OT-Netzwerken zu ermöglichen. OPC DA basiert jedoch auf der DCOM-Technologie, die Sicherheitsschwachstellen aufweist. Im Jahr 2008 führte Microsoft das nicht DCOM-abhängige OPC Unified Architecture (OPC UA)-Protokoll ein, aber viele Industrieunternehmen nutzen immer noch OPC DA.
Microsoft-Patch kommt in Phasen
Im Jahr 2021 räumte Microsoft eine kritische Schwachstelle in seinem DCOM-Protokoll ein und kündigte einen Härtungspatch an, um die Authentifizierung zwischen DCOM-Clients und -Servern zu stärken. Um Betriebsunterbrechungen zu minimieren, wurde der Patch in mehreren Phasen veröffentlicht. Der erste Patch führte die Möglichkeit ein, die Härtung der schwachen Authentifizierungsebenen in DCOM zu aktivieren, war aber standardmäßig deaktiviert; der zweite erzwang die Härtung standardmäßig mit der Option, sie zu deaktivieren; der dritte Rollout des DCOM-Härtungspatches hatte automatisch alle nicht-anonymen Aktivierungsanfragen von DCOM-Clients erhöht; und am 14. März 2023 wird Microsoft einen neuen Patch herausgeben, der die Option, ungesichertes DCOM zu aktivieren, ganz entfernt.
Haben der Code ein Problem oder nicht?
Mit dem DCOM Hardening Toolkit von OTORIO können Anwender schnell feststellen, ob ihre Netzwerke ungesichertes DCOM enthalten, das durch den neuen Patch unbrauchbar gemacht wird. Anschließend bietet es Anweisungen zur Behebung, um sicherzustellen, dass Unternehmen die volle Kontrolle über ihre OT-Geräte behalten.
„Unternehmen müssen verstehen, ob sie ein Problem haben oder nicht, und genau hier kommt unser Toolkit ins Spiel“, erklärt Yair Attar, CTO und Mitbegründer von OTORIO. „Wenn ein Unternehmen den März-Patch aufspielt und die kritische Sichtbarkeit und Kommunikation zwischen den Knoten in seinem Netzwerk verliert, könnte es erhebliche finanzielle Verluste erleiden. Unser Ziel ist es, eine solche Katastrophe zu verhindern.“
RAM² von OTORIO sammelt und analysiert mehrere Datenquellen, die in der OT-Umgebung vorhanden sind. Hierzu zählen z. B. SCADA (Supervisory Control and Data Acquisition), speicherprogrammierbare Steuerungen (SPS/PLC), verteilte Steuerungssysteme (Distributed Control Systems, DCS), historische Datenbanken, technische Systeme und mehr. Anschließend reichert die Lösung diese Analyse mit dem betrieblichen Kontext, Schwachstellen und Gefährdungen an, um die Sicherheitslage zu bewerten und OT-Sicherheitsbedrohungen zu identifizieren und zu priorisieren.
Zum OORIO-Tool auf GitHub
Über OTORIO OTORIO ist ein OT-Sicherheitsunternehmen (Operational Technology bzw. Betriebstechnologie), das „End-to-End“-Lösungen für proaktives digitales Risikomanagement anbietet. Diese helfen Industrieunternehmen weltweit dabei die Geschäftskontinuität zu wahren und den laufenden Betrieb zu schützen. OTORIO bietet umfassende Lösungen und Dienstleistungen zur Bewertung, Überwachung und Verwaltung des Sicherheitsrisikos für kritische Infrastrukturen, intelligente Transport- und Logistiksysteme und industrielle Fertigungsunternehmen.