ACTUALIZADO 20 de marzo de 2023: sección Disponibilidad

Resumen

El protocolo remoto de modelo de objetos componentes distribuidos (DCOM) es un protocolo para exponer objetos de aplicación mediante llamadas a procedimiento remoto (RPCs). DCOM se utiliza para la comunicación entre los componentes de software de los dispositivos en red. Para el CVE-2021-26414 se necesitaban cambios de endurecimiento en DCOM. Por lo tanto, le recomendamos que compruebe si las aplicaciones cliente o de servidor en su entorno que usan DCOM o RPC funcionan según lo esperado con los cambios de protección habilitados.

Nota Te recomendamos encarecidamente que instales la actualización de seguridad más reciente disponible. Proporcionan protecciones avanzadas contra las amenazas de seguridad más recientes. También proporcionan funcionalidades que hemos agregado para admitir la migración. Para obtener más información y contexto sobre cómo estamos endureciendo DCOM, consulte Protección de autenticación DCOM: lo que necesita saber.

La primera fase de las actualizaciones de DCOM se publicó el 8 de junio de 2021. En esa actualización, el protección de DCOM se deshabilitó de forma predeterminada. Puede habilitarlos modificando el Registro como se describe en la sección "Configuración del Registro para habilitar o deshabilitar los cambios de protección" a continuación. La segunda fase de las actualizaciones del DCOM se publicó el 14 de junio de 2022. Esto cambió el protección a habilitado de forma predeterminada, pero conservó la capacidad de deshabilitar los cambios mediante la configuración de la clave del Registro. La fase final de las actualizaciones de DCOM se publicará en marzo de 2023. Mantendrá habilitado el endurecimiento DCOM y quitará la posibilidad de deshabilitarlo.

Escala de tiempo

Versión de actualización

Cambio de comportamiento

8 de junio de 2021

Versión de fase 1: los cambios de protección están deshabilitados de forma predeterminada, pero con la capacidad de habilitarlos mediante una clave del Registro.

14 de junio de 2022

Versión de fase 2: los cambios de protección están habilitados de forma predeterminada, pero con la capacidad de deshabilitarlos mediante una clave del Registro.

14 de marzo de 2023

Versión de fase 3: los cambios de protección están habilitados de forma predeterminada sin la posibilidad de deshabilitarlos. En este punto, debe resolver los problemas de compatibilidad con los cambios de protección y las aplicaciones de su entorno.

Pruebas de compatibilidad de protección de DCOM

Nuevos eventos de error DCOM

Para ayudarle a identificar las aplicaciones que podrían tener problemas de compatibilidad después de habilitar los cambios de protección de seguridad DCOM, hemos agregado nuevos eventos de error DCOM en el registro del sistema. Vea las tablas siguientes. El sistema registrará estos eventos si detecta que una aplicación cliente DCOM está intentando activar un servidor DCOM con un nivel de autenticación menor que RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Puede realizar un seguimiento del dispositivo cliente desde el registro de eventos del lado del servidor y usar los registros de eventos de información del cliente para encontrar la aplicación.

Eventos de servidor: Indicar que el servidor está recibiendo solicitudes de nivel inferior

Id. del evento

Mensaje

10036

"La directiva de nivel de autenticación del lado servidor no permite al usuario %1\%2 SID (%3) desde la dirección %4 activar el servidor DCOM. Eleva el nivel de autenticación de activación al menos a RPC_C_AUTHN_LEVEL_PKT_INTEGRITY en la aplicación cliente".

(%1 – dominio, %2 – nombre de usuario, %3 – SID de usuario, %4 – Dirección IP del cliente)

Eventos de cliente : indicar qué aplicación envía solicitudes de nivel inferior

Id. del evento

Mensaje

10037

"La aplicación %1 con PID %2 solicita activar CLSID %3 en el equipo %4 con el nivel de autenticación explícitamente establecido en %5. El nivel de autenticación de activación más bajo requerido por DCOM es 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Para aumentar el nivel de autenticación de activación, póngase en contacto con el proveedor de la aplicación".

10038

"La aplicación %1 con PID %2 solicita activar CLSID %3 en el equipo %4 con el nivel de autenticación de activación predeterminado en %5. El nivel de autenticación de activación más bajo requerido por DCOM es 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Para aumentar el nivel de autenticación de activación, póngase en contacto con el proveedor de la aplicación".

(%1 – Ruta de aplicación, %2 – PID de la aplicación, %3 – CLSID de la clase COM que la aplicación está solicitando activar, %4 – Nombre del equipo, %5 – Valor del nivel de autenticación)

Disponibilidad

Estos eventos de error solo están disponibles para un subconjunto de versiones de Windows; consulta la tabla siguiente.

Versión de Windows

Disponible en estas fechas o después

Windows Server 2022

27 de septiembre de 2021

KB5005619

Windows 10, versión 2004, Windows 10, versión 20H2, Windows 10, versión 21H1

1 de septiembre de 2021

KB5005101

Windows 10, versión 1909

26 de agosto de 2021

KB5005103

Windows Server 2019, Windows 10, versión 1809

26 de agosto de 2021

KB5005102

Windows Server 2016, Windows 10, versión 1607

Martes, 14 de septiembre de 2021

KB5005573

Windows Server 2012 R2 y Windows 8.1

12 de octubre de 2021

KB5006714

Windows 11, versión 22H2

30 de septiembre de 2022

KB5017389

Revisión de elevación automática de solicitudes del lado cliente

Nivel de autenticación para todas las solicitudes de activación no anónimas

Para ayudar a reducir los problemas de compatibilidad de aplicaciones, hemos elevado automáticamente el nivel de autenticación para todas las solicitudes de activación no anónimas de clientes DCOM basados en Windows a RPC_C_AUTHN_LEVEL_PKT_INTEGRITY como mínimo. Con este cambio, la mayoría de las solicitudes de cliente DCOM basadas en Windows se aceptarán automáticamente con los cambios de protección DCOM habilitados en el lado del servidor sin ninguna modificación en el cliente DCOM. Además, la mayoría de los clientes DCOM de Windows trabajarán automáticamente con los cambios de protección DCOM en el lado del servidor sin ninguna modificación en el cliente DCOM.

Nota Esta revisión seguirá incluyándose en las actualizaciones acumulativas.

Escala de tiempo de actualización de revisiones

Desde la publicación inicial en noviembre de 2022, la revisión de elevación automática ha tenido algunas actualizaciones.

  • Actualización de noviembre de 2022

    • Esta actualización elevó automáticamente el nivel de autenticación de activación a la integridad de paquetes. Este cambio se ha deshabilitado de forma predeterminada en Windows Server 2016 y Windows Server 2019.

  • Actualización de diciembre de 2022

    • El cambio de noviembre se ha habilitado de forma predeterminada para Windows Server 2016 y Windows Server 2019.

    • Esta actualización también abordó un problema que afectaba a la activación anónima en Windows Server 2016 y Windows Server 2019.

  • Actualización de enero de 2023

    • Esta actualización abordó un problema que afectaba a la activación anónima en plataformas de Windows Server 2008 a Windows 10 (versión inicial publicada en julio de 2015).

Si ha instalado las actualizaciones de seguridad acumulativas a partir de enero de 2023 en sus clientes y servidores, tendrán la revisión de elevación automática más reciente completamente habilitada.

Configuración del Registro para habilitar o deshabilitar los cambios de protección

Durante las fases de escala de tiempo en las que puede habilitar o deshabilitar los cambios de protección para CVE-2021-26414, puede usar la siguiente clave del Registro:

  • Ruta de acceso: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • Nombre del valor: "RequireIntegrityActivationAuthenticationLevel"

  • Tipo: dword

  • Datos de valor: valor predeterminado= 0x00000000 significa deshabilitado. 0x00000001 medios habilitados. Si este valor no está definido, se habilitará de forma predeterminada.

Nota: Debe escribir Datos del valor en formato hexadecimal.

Importante Debes reiniciar el dispositivo después de establecer esta clave del Registro para que surta efecto.

Nota Si habilita la clave del Registro anterior, los servidores DCOM exigirán una Authentication-Level de RPC_C_AUTHN_LEVEL_PKT_INTEGRITY o superior para la activación. Esto no afecta a la activación anónima (activación con RPC_C_AUTHN_LEVEL_NONE de nivel de autenticación). Si el servidor DCOM permite la activación anónima, seguirá estando permitido incluso con los cambios de protección de DCOM habilitados.

Nota Este valor del Registro no existe de forma predeterminada; debes crearla. Windows lo leerá si existe y no lo sobrescribirá.

Nota La instalación de actualizaciones posteriores no cambiará ni quitará las entradas y la configuración del Registro existentes.

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.