Llegamos a ustedes gracias a:



Alertas de Seguridad

Microsoft refuerza la autenticación de su servidor DCOM

En respuesta a una vulnerabilidad

[06/07/2021] La actualización de seguridad de junio de Microsoft es poco detallada, pero tiene un gran impacto a largo plazo en los entornos de red. Actualiza un parche que corrige un problema de elusión de la función de seguridad del servidor DCOM (CVE-2021-26414). ¿Qué soluciona exactamente? Un boletín de seguridad japonés ofrece algunas pistas.

Según el boletín, un atacante explotaría primero la vulnerabilidad dirigiendo a un cliente DCOM para que se conecte a un servidor especialmente diseñado de alguna manera, normalmente enviando un correo electrónico de suplantación de identidad a un usuario para que se haga con el sistema. A continuación, el atacante utilizará esa información para acceder al servidor DCOM y comprometerlo.

El parche corrige y refuerza la autenticación utilizada entre clientes y servidores DCOM. En concreto, introduce una autenticación más fuerte (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY) en el cliente DCOM. Este nivel de integridad garantiza que ninguno de los datos transferidos entre el cliente y el servidor ha sido modificado.

¿Qué es DCOM?

El Modelo de Objetos de Componentes Distribuidos (DCOM, por sus siglas en inglés) es una tecnología de Microsoft para la comunicación entre componentes de software en computadoras conectadas en red. Muchos de nosotros no la entendemos realmente, ni podemos diagnosticar errores de DCOM en nuestros registros de eventos que no parecen tener mayor impacto en nuestras redes. Esta tecnología es un protocolo para exponer objetos de aplicación mediante llamadas a procedimientos remotos (RPC). Como resultado de la CVE-2021-26414, es necesario realizar cambios en las RPC para endurecerlas y garantizar que estén protegidas contra una vulnerabilidad de "elusión de funciones de seguridad".

Las RPC son una parte clave de Windows. RPC es un protocolo cliente/servidor que los desarrolladores de aplicaciones pueden utilizar para llamar a procedimientos en un nodo local o remoto de una red. La capa RPC se encarga de los detalles de la conexión y de la transmisión de datos, lo que permite a los desarrolladores conectar directamente las aplicaciones cliente con una máquina remota. Esto permite a los desarrolladores no preocuparse por conocer los detalles de cómo se pasan los datos entre las dos máquinas y cómo se llaman los procedimientos.

Aunque facilita las conexiones, este desconocimiento también puede dificultar el diagnóstico y la anticipación del impacto que este cambio tendrá en los sistemas. Por lo tanto, es imperativo que instruya a su personal para que pruebe e identifique cualquier aplicación que falle y se ponga en contacto con sus proveedores para ver si pueden cambiar su software o encontrar un proceso o procedimiento alternativo para cualquier aplicación o proceso afectado por este cambio.

Compruebe el nivel de autenticación del servidor DCOM

Antes del 2022, debe probar y determinar si se verá afectado por esta actualización. Investigue si la conexión del Servidor DCOM no aprovecha el nivel de autenticación fuerte. Microsoft tiene previsto introducir gradualmente medidas para aumentar los niveles de autenticación. Microsoft publicó por primera vez la actualización el 8 de junio del 2021 que habilita RPC_C_AUTHN_LEVEL_PKT_INTEGRITY en los clientes DCOM de forma predeterminada. Para tener una protección completa, establezca manualmente una clave de registro de RequireIntegrityActivationAuthenticationLevel = 1 en los servidores DCOM. La mera instalación de las actualizaciones de seguridad publicadas el 8 de junio habilita las protecciones del lado del cliente en un entorno puramente Windows, pero no proporciona protección en entornos con clientes DCOM no Windows.

¿Cuáles son estas interacciones DCOM no Windows que pueden verse afectadas? Lamentablemente, no hay una lista maestra. Tendrá que probar y revisar el impacto en su entorno. Primero despliegue las actualizaciones publicadas en junio. A continuación, pruebe el impacto de la aplicación en su red. A principios del cuarto trimestre del 2021, Microsoft activará el endurecimiento por defecto y le dará la opción de desactivarlo. A finales del 2021 o principios del 2022, el endurecimiento se activará sin la opción de desactivarlo. Es imperativo que pruebe el impacto ahora.

Cómo probar los cambios en la autenticación DCOM

Para probar el impacto en su red:

  • Despliegue la actualización de junio en clientes y servidores.
  • Añada una clave de registro para probar el impacto de la próxima aplicación del endurecimiento. En primer lugar, añada la clave de registro HKEY_LOCAL_MACHINE\NSOFTWARE\NMicrosoft\NOle\AppCompat.
  • Añade un valor llamado RequireIntegrityActivationAuthenticationLevel.
  • Introduzca "dword".
  • Introduzca los datos del valor como se indica: default = not defined or 0x00000000 significa deshabilitado. 0x00000001 = habilitado.

Revise los tipos de aplicaciones que tiene instaladas y seleccione una serie de servidores y estaciones de trabajo de prueba en los que desplegar esta clave de registro para probar el impacto. En las primeras pruebas, los encargados de aplicar los parches han visto que cuando han habilitado y activado la clave en los clústeres de prueba de Hyper-V, la conexión desde la Consola de administración de Microsoft de conmutación por error al clúster solo funciona en el nodo del clúster que es el propietario del mismo. Además, las conexiones WMI desde otros hosts a los hosts de conmutación por error de Hyper-V también fallaron con un error de "Acceso denegado". Afortunadamente, como solución alternativa se puede utilizar PowerShell para gestionar el sistema o utilizar el Centro de Administración de Windows.

Probar el impacto ahora y comprender las implicaciones para su red le asegurará que no se encuentre en la situación de tener bloqueada la instalación de una actualización y todas las actualizaciones futuras. Microsoft, en su despliegue por etapas, anticipa que veremos efectos secundarios de este parche y su aplicación de la protección de la autenticación. Pruebe esta configuración durante los próximos meses para asegurarse de que su red no tenga un impacto que le haga lidiar con los efectos secundarios.