{"id":278469,"date":"2023-03-05T08:15:35","date_gmt":"2023-03-05T07:15:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278469"},"modified":"2023-03-05T08:30:40","modified_gmt":"2023-03-05T07:30:40","slug":"dcom-hrtung-cve-2021-26414-zum-14-mrz-2023-patchday-fr-windows-10-11-und-server","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/03\/05\/dcom-hrtung-cve-2021-26414-zum-14-mrz-2023-patchday-fr-windows-10-11-und-server\/","title":{"rendered":"DCOM-H&auml;rtung (CVE-2021-26414) zum 14. M&auml;rz 2023-Patchday f&uuml;r Windows 10\/11 und Server"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/03\/05\/dcom-hardening-cve-2021-26414-on-march-14-2023-patchday-for-windows-10-11-and-server\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Kleine Erinnerung f\u00fcr Administratoren von Windows in Unternehmensumgebungen. In Microsofts Windows DCOM-Implementierung gibt es eine Schwachstelle (Windows DCOM Server Security Feature Bypass, CVE-2021-26414), die eine Umgehung der Sicherheitsfunktionen erm\u00f6glichte. Microsoft hat das 2021 dokumentiert, und dann auch gepatcht, wobei das Schlie\u00dfen dieser Schwachstelle in mehreren Stufen erfolgt. K\u00fcrzlich wurde ich <a href=\"https:\/\/www.neowin.net\/news\/microsoft-is-making-dcom-hardening-mandatory-on-windows-10-11-and-server-soon\/\" target=\"_blank\" rel=\"noopener\">erinnert<\/a>, dass Microsoft am 14. M\u00e4rz 2023 einen letzten Patch freigeben wird, der die M\u00f6glichkeit zum Abschalten dieser DCOM-H\u00e4rtung entfernt.<\/p>\n<p><!--more--><\/p>\n<h2>DCOM Schwachstelle CVE-2021-26414<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/63a9617d00904ee08e549fc1f02b508e\" alt=\"\" width=\"1\" height=\"1\" \/>Das OPC Data Access (OPC DA)-Protokoll wurde 1995 eingef\u00fchrt, um die Kommunikation von Echtzeitdaten zwischen der speicherprogrammierbaren Steuerung (SPS\/PLC) und der Software in OT-Netzwerken zu erm\u00f6glichen. OPC DA basiert jedoch auf der DCOM-Technologie, die Sicherheitsschwachstellen aufweist. Im Jahr 2008 f\u00fchrte Microsoft das nicht DCOM-abh\u00e4ngige OPC Unified Architecture (OPC UA)-Protokoll ein, aber viele Industrieunternehmen nutzen immer noch OPC DA.<\/p>\n<h2>Stufenweises patchen der Schwachstelle<\/h2>\n<p>Im Jahr 2021 r\u00e4umte Microsoft eine kritische Schwachstelle in seinem DCOM-Protokoll ein und k\u00fcndigte einen H\u00e4rtungspatch an, um die Authentifizierung zwischen DCOM-Clients und -Servern zu st\u00e4rken. Um Betriebsunterbrechungen zu minimieren, wurde der Patch in mehreren Phasen ver\u00f6ffentlicht.<\/p>\n<ul>\n<li>Der erste Patch vom 8. Juni 2021 f\u00fchrte die H\u00e4rtung der schwachen Authentifizierungsebenen in DCOM durch, aber die Option war noch deaktiviert. Windows bot aber die M\u00f6glichkeit, diese H\u00e4rtung per Registrierung zu aktivieren.<\/li>\n<li>Der zweite Patch vom 14. Juni 2022 erzwang die H\u00e4rtung standardm\u00e4\u00dfig mit der Option, dies per Registrierungseingriff wieder zu deaktivieren.<\/li>\n<li>Der Rollout des dritten DCOM-H\u00e4rtungspatches zum 8. November 2022\u00a0 bot die M\u00f6glichkeit <em>RaiseActivationAuthenticationLevel =2 <\/em>zu setzen. Dies erh\u00f6hte automatisch alle nicht-anonymen Aktivierungsanfragen von DCOM-Clients auf RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.<\/li>\n<li>Am 14. M\u00e4rz 2023 wird Microsoft einen neuen Patch herausgeben, der die Option, ungesichertes DCOM per Registrierungseintrag zu aktivieren, entfernt.<\/li>\n<\/ul>\n<p>Microsoft hat dazu den Support-Beitrag <a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/kb5004442-manage-changes-for-windows-dcom-server-security-feature-bypass-cve-2021-26414-f1400b52-c141-43d2-941e-37ed901c769c\" target=\"_blank\" rel=\"noopener\">KB5004442\u2014Manage changes for Windows DCOM Server Security Feature Bypass (CVE-2021-26414)<\/a> mit weiteren Erl\u00e4uterungen ver\u00f6ffentlicht und gibt an, dass folgende Windows-Versionen davon betroffen seien:<\/p>\n<ul>\n<li>Windows 11\u00a0 21H2 \u2013 22H2<\/li>\n<li>Windows Server 2022<\/li>\n<li>Windows 10, Version 2004 \u2013 21H1, Windows Server, Version 20H2<\/li>\n<li>Windows 10 Enterprise, Version 1909<\/li>\n<li>Windows 10 IoT Enterprise, Version 1909<\/li>\n<li>Win 10 Enterprise LTSC Version 2019<\/li>\n<li>Windows 10 IoT Enterprise LTSC Version 2019<\/li>\n<li>Windows Server 2019<\/li>\n<li>Windows 10, Version 1607, Windows Server 2016<\/li>\n<li>Windows 8. 1, Windows Server 2012 R2<\/li>\n<li>Windows Embedded 8.1 Industry Enterprise<\/li>\n<li>Windows Server 2012<\/li>\n<li>Windows Embedded 8 Standard<\/li>\n<li>Windows 7, Windows Server 2008 R2<\/li>\n<li>Windows Embedded Standard 7 ESU<\/li>\n<li>Windows Embedded POSReady 7 ESU<\/li>\n<li>Windows Thin PC Windows Server 2008<\/li>\n<\/ul>\n<p>Microsoft empfiehlt Administratoren diesen H\u00e4rtungspatch zu installieren. Allerdings sind Windows 7 SP1 und Windows 8.1 aus dem Support gefallen und werden im M\u00e4rz 2023 wohl keine Sicherheitsupdates mehr bekommen. Gleiches gilt wohl f\u00fcr Windows 10 Version 2004.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2021\/09\/26\/windows-schwachstelle-cve-2021-36942-petitpotam-und-dcom-hrtung\/\">Windows-Schwachstelle CVE-2021-36942 (Petitpotam) und DCOM-H\u00e4rtung<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/01\/28\/microsoft-sicherheitsrevisionen-27-1-2022\/\">Microsoft Sicherheitsrevisionen (27.1.2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/01\/25\/otorio-dcom-hardening-toolkit-fr-windows-fr-ot-systeme-verffentlicht\/\">OTORIO DCOM Hardening Toolkit f\u00fcr Windows f\u00fcr OT-Systeme ver\u00f6ffentlicht<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/02\/25\/microsoft-security-update-revisions-windows-schwachstelle-cve-2021-26414-feb-24-2022\/\">Microsoft Security Update Revisions: Windows-Schwachstelle CVE-2021-26414 (24. Feb. 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/06\/29\/revision-von-cve-2022-26414-windows-dcom-server-security-feature-bypass-vom-28-juni-2022\/\">Revision von CVE-2021-26414 (Windows DCOM Server Security Feature Bypass) vom 28. Juni 2022<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/06\/15\/patchday-nachlese-juni-2022-probleme-mit-windows-updates-intel-schwachstelle-dokumentation\/\">Patchday-Nachlese Juni 2022: Probleme mit Windows-Updates, Intel-Schwachstelle, Dokumentation<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kleine Erinnerung f\u00fcr Administratoren von Windows in Unternehmensumgebungen. In Microsofts Windows DCOM-Implementierung gibt es eine Schwachstelle (Windows DCOM Server Security Feature Bypass, CVE-2021-26414), die eine Umgehung der Sicherheitsfunktionen erm\u00f6glichte. Microsoft hat das 2021 dokumentiert, und dann auch gepatcht, wobei das &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/03\/05\/dcom-hrtung-cve-2021-26414-zum-14-mrz-2023-patchday-fr-windows-10-11-und-server\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[185,301,3694,2557],"tags":[4328,4315,4378,8257,4364],"class_list":["post-278469","post","type-post","status-publish","format-standard","hentry","category-update","category-windows","category-windows-10","category-windows-server","tag-sicherheit","tag-update","tag-windows-10","tag-windows-11","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278469","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=278469"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278469\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=278469"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=278469"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=278469"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}