Recientemente, Microsoft reconoció una vulnerabilidad crítica en la conexión WMI. Esta afectaba al protocolo DCOM y permitía a los atacantes eludir la seguridad del servidor DCOM, elevar sus privilegios y obtener acceso no autorizado a los sistemas. Microsoft publicó una serie de actualizaciones de seguridad (KB5004442) en los últimos dos años, conocidas popularmente como Fortalecimiento DCOM, para superar el problema. Este afectaba a varias aplicaciones de terceros que hacían uso del protocolo DCOM.

Este blog explica la vulnerabilidad, discute las medidas tomadas por Microsoft para superarla, y examina el impacto de estas medidas en aplicaciones basadas en WMI como ManageEngine Applications Manager.

Acerca de la vulnerabilidad

La vulnerabilidad omisión de características de seguridad de Windows DCOM Server (CVE-2021-26414) permite a los atacantes elevar sus privilegios y obtener acceso no autorizado a un sistema explotando la forma en que se realizan las conexiones WMI a través del protocolo DCOM.

El modelo de objetos de componentes distribuidos (DCOM) es un protocolo de comunicación utilizado en Windows para la comunicación entre los componentes de software de dispositivos en red a través de llamadas a procedimiento remoto (RPC). Habilita que los programas de software se comuniquen con otros programas y componentes a través de una red. La mencionada vulnerabilidad permite a los atacantes explotar la conexión DCOM haciéndose pasar por un usuario y elevando sus privilegios.

Fortalecimiento de Windows DCOM: la solución alternativa de Microsoft para abordar la vulnerabilidad

Microsoft adoptó un enfoque gradual para mitigar la vulnerabilidad mediante la publicación de una serie de actualizaciones de seguridad en tres fases para evitar fallos en varias aplicaciones basadas en WMI. Esta es la lista de actualizaciones de seguridad, conocidas como fortalecimiento de DCOM:

Lanzamiento de actualizaciones

Cambio de comportamiento

8 de junio de 2021

Los ajustes de fortalecimiento se desactivan de forma predeterminada, pero existe la opción de habilitarlos mediante una clave de registro.

14 de junio de 2022

Los ajustes de fortalecimiento se desactivan de forma predeterminada, pero existe la opción de deshabilitarlos mediante una clave de registro.

14 de marzo de 2023

Los ajustes de fortalecimiento se hacen obligatorios y se habilitarán por defecto sin opción de deshabilitarlos. Para entonces, deberá resolver cualquier problema de compatibilidad con los cambios de fortalecimiento y las aplicaciones de su entorno.

Impacto del fortalecimiento de DCOM en Applications Manager

Numerosas aplicaciones basadas en Windows dependen de las conexiones WMI para comunicarse con los sistemas Windows. Las aplicaciones que requieren estas conexiones se construyen normalmente sobre la infraestructura WMI proporcionada por Windows. Esto significa que son susceptibles a cualquier tipo de modificación realizada en la infraestructura WMI subyacente.

Ahora que las actualizaciones de seguridad de Microsoft han fortalecido la configuración de DCOM, estos cambios tienen un impacto adverso en varias aplicaciones basadas en WMI. Entre estas se encuentra Applications Manager. Debido a estos cambios, los usuarios de esta herramienta han experimentado fallos de autenticación y errores en las solicitudes al monitorear recursos basados en WMI. Esto ha causado problemas en la recopilación de datos.

Parche de fortalecimiento de Microsoft DCOM

Para resolver los impactos causados por el fortalecimiento de Windows DCOM, Microsoft publicó el parche de elevación automática de solicitudes del cliente. Este automatiza el proceso de elevación de los niveles de autorización de las solicitudes DCOM del cliente al servidor DCOM. También garantiza que las solicitudes realizadas para establecer conexiones WMI sólo se permitan desde aplicaciones que estén explícitamente autorizadas para realizar dichas solicitudes. Esto impide que los atacantes se hagan pasar por un usuario con privilegios elevados a través de una conexión WMI. El parche gestiona el proceso de autorización de forma automática, sin necesidad de que las aplicaciones basadas en WMI modifiquen su código existente para manejar el impacto.

Esta es la lista de actualizaciones de seguridad que se publicaron posteriormente como parte del parche de fortalecimiento de Windows DCOM:

Lanzamiento de actualizaciones

Cambio de comportamiento

Noviembre de 2022

Esta actualización elevó automáticamente el nivel de autenticación de activación a integridad de paquetes. Este cambio estaba deshabilitado de forma predeterminada en Windows Server 2016 y 2019.

Diciembre de 2022

El cambio de noviembre se habilitó de forma predeterminada para Windows Server 2016 y 2019. Esta actualización también solucionó un problema que afectaba a la activación anónima en Windows Server 2016 y 2019.

Enero de 2022

Esta actualización solucionó un problema que afectaba a la activación anónima en plataformas desde Windows Server 2008 hasta Windows 10 (versión inicial lanzada en julio de 2015).

Si ha instalado las actualizaciones de seguridad acumulativas a partir de enero de 2023 en sus clientes y servidores, estos tendrán el último parche de elevación automática totalmente habilitado.

Cómo ayuda el parche a Applications Manager

Ahora que el parche de fortalecimiento de DCOM de Microsoft gestiona automáticamente el proceso de autorización, a las aplicaciones basadas en WMI como Applications Manager les resulta más fácil superar el impacto causado por el fortalecimiento de DCOM. También ayuda a reducir los problemas de compatibilidad.

Cuando Applications Manager intenta conectarse a un servidor Windows remoto, el servidor instalado de Applications Manager actúa como cliente DCOM. Al mismo tiempo, el servidor remoto actúa como servidor DCOM. Lo anterior permite que Applications Manager siga funcionando con normalidad y garantiza que las conexiones WMI se realicen sin necesidad de modificaciones manuales.

Conclusión

Las actualizaciones de fortalecimiento de Windows DCOM publicadas por Microsoft tuvieron un impacto significativo en las aplicaciones que utilizaban conexiones WMI para comunicarse con los sistemas Windows. Provocaron errores de autenticación y solicitud durante el monitoreo de recursos basados en WMI, lo que causó problemas de recopilación de datos en Applications Manager. No obstante, el parche de elevación automática de solicitudes del lado del cliente lanzado por Microsoft sirve como un salvavidas al manejar el proceso de autorización automáticamente y permitir que las aplicaciones dependientes funcionen normalmente.

Recomendamos encarecidamente a los usuarios de Applications Manager aplicar el parche en sus entornos de Windows para garantizar la seguridad y la integridad de sus sistemas. Además, asegúrese de mantenerse actualizado con las actualizaciones y parches de fortalecimiento de DCOM lanzados por Microsoft. Instálelos tan pronto como sea posible para habilitar una protección avanzada contra las últimas amenazas de seguridad.