Adiós DCOM. Cómo afecta el nuevo parche de Microsoft a la industria

La comunicación y el intercambio de datos entre los diferentes dispositivos que componen una industria es algo muy habitual. De hecho, los procesos de automatización en una fábrica constan de diferentes softwares, controladores y dispositivos de varios fabricantes y marcas, pero que a su vez todos se comunican entre sí mediante protocolos de comunicación.  Uno de ellos es el conocido como DCOM (Distributed Component Object Model o Modelo de Objetos Componentes Distribuidos), creado por Microsoft, el cual se utiliza para la comunicación entre los componentes de software de los dispositivos en red y permite que aplicaciones en diferentes computadoras o diferentes capas se comuniquen y colaboren entre sí. En la industria, se ha utilizado en aplicaciones que requieren de trasvase de información de una capa software a otra superior o viceversa. Como puede ser trazabilidad de la fabricación o el propio histórico de datos de una línea automatizada.. Por su parte, el protocolo OPC (OLE for Process Control)  permite a los programas de Windows comunicarse con dispositivos de hardware industrial. Es el estándar de conectividad de datos más popular que se utiliza para comunicarse entre controladores, dispositivos, aplicaciones y otros sistemas basados en servidores para la transferencia de datos. Este protocolo fue creado a mediados de los años 90 con el fin de encontrar un interfaz común para la comunicación de procesos industriales. La versión nombrada como OPC DA se basa en la tecnología DCOM, que explicamos anteriormente, este protocolo permite de una manera abstracta la comunicación de diferentes elementos de la red de procesos. Ahora bien, el OPC DA utiliza las comunicaciones DCOM para pasar información entre dispositivos y se ha convertido en uno de los estándares de comunicación más utilizados en la automatización industrial.Es utilizado para responder a uno de los mayores retos de la industria de la automatización: cómo comunicar dispositivos, controladores y/o aplicaciones sin caer en los problemas habituales de las conexiones basadas en protocolos propietarios.  Es por ello que más que un protocolo, OPC-DA es un estándar para la conectividad de datos que se basa en una serie de especificaciones OPC gestionadas por la OPC Foundation. Por tanto, cualquier software que sea compatible con estas especificaciones OPC proporciona a usuarios e integradores conectividad abierta e independiente tanto del fabricante del dispositivo como del desarrollador de la aplicación cliente. Es aquí una de sus principales ventajas.  La interoperabilidad facilitada por este protocolo ha permitido la implementación de sistemas de control y automatización avanzados en una amplia variedad de aplicaciones en la industria, como la gestión de la energía, la automatización de la producción y la gestión de infraestructuras críticas. También ha contribuido a la puesta en funcionamiento de tecnologías emergentes en la industria, como el internet de las cosas y la inteligencia artificial, al facilitar la comunicación entre dispositivos y sistemas de diferentes fabricantes y permitir la integración de datos de producción en análisis avanzados. Desde hace un tiempo debido a la necesidad de encontrar unas integraciones entre sistemas más “ciberseguras” y con todas las capas software existentes en la actualidad, surgió la alternativa OPC UA, este nuevo estándar tiene el mismo objetivo del anterior de estandarizar las comunicaciones entre sistemas pero añade potencia en las comunicaciones y seguridad y cifrado necesario para hacer estas comunicaciones seguras. OPC DA y OPC UA, llevan conviviendo un tiempo en la industria con la diferencia que OPC DA está en su final de ciclo de vida ayudado por Microsoft y sus nuevas versiones, y OPC UA, tiene mucho recorrido por como está diseñado cumpliendo con las normativas actuales de ciberseguridad.

El parche KB5004442 de Microsoft: un cambio en el panorama tecnológico

Los parches de seguridad de Windows son actualizaciones diseñadas para resolver las vulnerabilidades de los ordenadores que llevan este sistema operativo. Es común que todos los sistemas operativos tengan vulnerabilidades, pero la solución a este problema radica en la actualización del sistema operativo que incluye los parches o soluciones correspondientes. Pero en las actualizaciones acumulativas de Microsoft de junio de 2022, se incluyó un parche de seguridad para limitar la exposición de CVE-2021-26414 con CVSS de 4.3 donde un potencial atacante podría saltarse las opciones de seguridad implementadas en el protocolo de comunicación DCOM. El parche creado para ello es el KB5004442. Este problema permitía a los atacantes con acceso local no privilegiado leer archivos protegidos del sistema operativo, lo que podría llevar a la exposición de información confidencial y la toma de control no autorizada de dispositivos y sistemas, la interrupción de procesos críticos y la filtración de datos confidenciales. En entornos industriales, esto puede tener consecuencias graves, ya que las interrupciones en la producción pueden tener un impacto financiero significativo y, en algunos casos, incluso poner en peligro la seguridad de los trabajadores. Al instalar el parche de seguridad de Microsoft KB5004442, las empresas pueden protegerse contra esta vulnerabilidad crítica y garantizar la integridad y la disponibilidad de sus sistemas y dispositivos de control y automatización.  Es por ello que este parche incrementa por defecto el nivel de seguridad requerido para las comunicaciones DCOM. Pero todas las aplicaciones que utilizan la API de Windows para establecer conexiones DCOM entre dos dispositivos se ven afectados como el protocolo OPC-DA.  Si bien el parche de Microsoft KB5004442 es importante para la industria porque resuelve una vulnerabilidad crítica de seguridad en DCOM, también genera ciertas inquietudes en las entidades. Y a partir de marzo del 2023 este parche incrementa el nivel de seguridad requerido para las comunicaciones DCOM sin posibilidad de ser deshabilitado. Pero no todas las implementaciones de OPC utilizan DCOM, pero las aplicaciones OPC que se verán afectadas son las DA/AE/HDA1 clásicas distribuidas (remotas), las cuales deberán utilizar una configuración de autenticación con seguridad mínima denominada “integridad de paquetes”. Las aplicaciones que utilicen OPC UA y OPC DA/AE/HDA clásicas locales no utilizan DCOM y por tanto no se ven afectadas ya que la función de cliente OPC se ejecuta de manera local. Los usuarios de OPC-DA que tengan la intención de seguir confiando en DCOM en sus arquitecturas OPC Classic deberán prestar mucha atención a estos nuevos cambios. Si no se mitigan adecuadamente las actualizaciones de seguridad de DCOM, es posible que se pierda la conectividad de datos.  Los especialistas indican que después de la actualización de marzo de 2023, los administradores ya no podrán desactivar las funciones de seguridad. Las únicas opciones en este punto serán por un lado obtener versiones actualizadas de las aplicaciones afectadas de los proveedores de software, cambiar al uso de soluciones como bridge OPC DA/UA, que elimina el uso de DCOM y migrar a otros métodos de comunicación como OPC-UA. Ante los nuevos cambios, muchas de las empresas e industrias que utilizan el protocolo OPC-DA se preguntan cómo les afectará y qué soluciones encontrar cuando surja un problema con este nuevo parche. En HEXA Ingenieros puedes encontrar la respuesta para solucionar esta problemática. Somos un equipo de expertos en el sector y trabajaremos para ayudarte a encontrar las mejores soluciones en software y automatización.