Microsoft DCOM Hardening-Tool entdeckt Schwachstellen

B2B Cyber Security ShortNews

Beitrag teilen

Open-Source-Erkennungstool deckt vor dem Microsoft-Patch im März 2023 Schwachstellen in DCOM auf. Anwender schnell feststellen, ob ihre Netzwerke ungesichertes DCOM enthalten, das durch den neuen Microsoft-Patch unbrauchbar gemacht wird.

OTORIO hat das Open-Source-basierte Microsoft Distributed Component Object Model (DCOM) Hardening Toolkit veröffentlicht. Ziel ist es, OT-Systeme vor möglichen Problemen im Zusammenhang mit einem bevorstehenden Microsoft-Patch zu schützen. Denn Microsoft schreibt selbst: “14. März 2023, Hardening-Änderungen sind standardmäßig aktiviert, ohne dass sie deaktiviert werden können. Zu diesem Zeitpunkt müssen Sie alle Kompatibilitätsprobleme mit den Härtungsänderungen und Anwendungen in Ihrer Umgebung beheben.”

Prüfen, bevor Microsoft umschaltet

Das eigenständige Open-Source-Toolkit können alle Unternehmen nutzen, um schwache Anwendungen für die DCOM-Authentifizierung zu erkennen und temporäre Umgehungslösungen anzubieten. OTORIO RAM²-Anwender haben außerdem automatisch Zugriff auf einen neuen Alarm in der Safe Active Query, der eine Erkennung im gesamten Netzwerk ermöglicht.

Das OPC Data Access (OPC DA)-Protokoll wurde 1995 eingeführt, um die Kommunikation von Echtzeitdaten zwischen der speicherprogrammierbaren Steuerung (SPS/PLC) und der Software in OT-Netzwerken zu ermöglichen. OPC DA basiert jedoch auf der DCOM-Technologie, die Sicherheitsschwachstellen aufweist. Im Jahr 2008 führte Microsoft das nicht DCOM-abhängige OPC Unified Architecture (OPC UA)-Protokoll ein, aber viele Industrieunternehmen nutzen immer noch OPC DA.

Microsoft-Patch kommt in Phasen

Im Jahr 2021 räumte Microsoft eine kritische Schwachstelle in seinem DCOM-Protokoll ein und kündigte einen Härtungspatch an, um die Authentifizierung zwischen DCOM-Clients und -Servern zu stärken. Um Betriebsunterbrechungen zu minimieren, wurde der Patch in mehreren Phasen veröffentlicht. Der erste Patch führte die Möglichkeit ein, die Härtung der schwachen Authentifizierungsebenen in DCOM zu aktivieren, war aber standardmäßig deaktiviert; der zweite erzwang die Härtung standardmäßig mit der Option, sie zu deaktivieren; der dritte Rollout des DCOM-Härtungspatches hatte automatisch alle nicht-anonymen Aktivierungsanfragen von DCOM-Clients erhöht; und am 14. März 2023 wird Microsoft einen neuen Patch herausgeben, der die Option, ungesichertes DCOM zu aktivieren, ganz entfernt.

Haben der Code ein Problem oder nicht?

Mit dem DCOM Hardening Toolkit von OTORIO können Anwender schnell feststellen, ob ihre Netzwerke ungesichertes DCOM enthalten, das durch den neuen Patch unbrauchbar gemacht wird. Anschließend bietet es Anweisungen zur Behebung, um sicherzustellen, dass Unternehmen die volle Kontrolle über ihre OT-Geräte behalten.

„Unternehmen müssen verstehen, ob sie ein Problem haben oder nicht, und genau hier kommt unser Toolkit ins Spiel“, erklärt Yair Attar, CTO und Mitbegründer von OTORIO. „Wenn ein Unternehmen den März-Patch aufspielt und die kritische Sichtbarkeit und Kommunikation zwischen den Knoten in seinem Netzwerk verliert, könnte es erhebliche finanzielle Verluste erleiden. Unser Ziel ist es, eine solche Katastrophe zu verhindern.“

RAM² von OTORIO sammelt und analysiert mehrere Datenquellen, die in der OT-Umgebung vorhanden sind. Hierzu zählen z. B. SCADA (Supervisory Control and Data Acquisition), speicherprogrammierbare Steuerungen (SPS/PLC), verteilte Steuerungssysteme (Distributed Control Systems, DCS), historische Datenbanken, technische Systeme und mehr. Anschließend reichert die Lösung diese Analyse mit dem betrieblichen Kontext, Schwachstellen und Gefährdungen an, um die Sicherheitslage zu bewerten und OT-Sicherheitsbedrohungen zu identifizieren und zu priorisieren.

Zum OORIO-Tool auf GitHub

 


Über OTORIO

OTORIO ist ein OT-Sicherheitsunternehmen (Operational Technology bzw. Betriebstechnologie), das „End-to-End“-Lösungen für proaktives digitales Risikomanagement anbietet. Diese helfen Industrieunternehmen weltweit dabei die Geschäftskontinuität zu wahren und den laufenden Betrieb zu schützen. OTORIO bietet umfassende Lösungen und Dienstleistungen zur Bewertung, Überwachung und Verwaltung des Sicherheitsrisikos für kritische Infrastrukturen, intelligente Transport- und Logistiksysteme und industrielle Fertigungsunternehmen.


 

Passende Artikel zum Thema

Bösartiges Site Hopping

In letzter Zeit wird vermehrt eine neue Technik zur Umgehung von Sicherheitsscannern eingesetzt, nämlich das „Site Hopping“. Diese Technik ist ➡ Weiterlesen

Neue Ransomware-Gruppe Money Message entdeckt

Bereits im April dieses Jahres wurde eine neue Ransomware-Gruppe namens „Money Message“ aktiv. Während die Cyberkriminellen bislang unter dem Radar ➡ Weiterlesen

Wardriving mit künstlicher Intelligenz

Mittlerweile werden KI-Tools millionenfach eingesetzt, um Themen zu recherchieren, Briefe zu schreiben und Bilder zu erstellen. Doch auch im Bereich ➡ Weiterlesen

LockBit veröffentlich 43 GByte gestohlene Boeing-Daten

Bereits im Oktober vermeldete die APT-Gruppe LockBit, dass man bei Boeing in die Systeme eingedrungen sei und viele Daten gestohlen ➡ Weiterlesen

Veeam ONE: Hotfix für kritische Schwachstellen steht bereit 

Veeam informiert seine Nutzer über zwei kritische und zwei mittlere Schwachstellen in Veeam One für die bereits Patches bereitstehen. Die ➡ Weiterlesen

Cyberattacke auf Deutsche Energie-Agentur – dena

Die Deutsche Energie-Agentur vermeldet nach eigenen Angaben eine Cyberattacke am Wochenende vom 11. auf den 12. November. Die Server sind ➡ Weiterlesen

LockBit: Gestohlene Shimano-Daten wohl veröffentlicht

Der japanische Hersteller für Fahrradteile Shimano wurde Ziel laut LockBit Opfer eines Ransomware-Angriffs und zeigte sich offenbar nicht bereit, Lösegeld ➡ Weiterlesen

IoT-Geräte: Bedrohung aus dem Darknet

IoT-Geräte sind ein beliebtes Angriffsziel für Cyberkriminelle. Im Darknet werden diese Angriffe als Dienstleistung angeboten. Insbesondere Services für DDoS-Angriffe die ➡ Weiterlesen