حماية الخادم الخاص بك من الانهيار وثغرات شبح

نشرت: 2018-01-16

قد لا تعرف أن معظم معالجات الكمبيوتر في العالم معرضة لنقاط ضعف Meltdown و Spectre. ما هو Meltdown و Specter ، وماذا يجب أن تفعل لحماية الخادم الخاص بك؟ في هذه المقالة ، سنلقي نظرة على نقاط الضعف هذه ، ونتحدث عن موردي الأجهزة الرئيسيين المتأثرين. الأهم من ذلك ، سنشرح الخطوات التي يجب عليك اتخاذها على خوادم Windows و Linux لتأمين بياناتك.

دعنا نتعمق!

ما هي ثغرات الانهيار وشبح؟

يعد كل من Meltdown و Specter ثغرات خطيرة في معالجات الكمبيوتر. إنها تسمح للبرامج بتسريب المعلومات أثناء تشغيلها ، مما يجعل هذه المعلومات متاحة للقراصنة. يتم إعداد أنظمة الكمبيوتر الحديثة بحيث لا تتمكن البرامج من الوصول إلى البيانات من البرامج الأخرى ما لم يسمح المستخدم على وجه التحديد بحدوث ذلك. تتيح ثغرات Meltdown و Specter للمهاجم الوصول إلى بيانات البرنامج دون إذن المستخدم (وعادة ما يكون ذلك بدون علم المستخدم). هذا يعني أنه من المحتمل أن يصل المهاجم إلى صورك الشخصية وبريدك الإلكتروني وأي كلمات مرور قمت بتخزينها في مدير كلمات المرور بالمتصفح والرسائل الفورية ومستندات الشركة والإقرارات الضريبية والمزيد.

يسمح Meltdown لأي تطبيق بالوصول إلى ذاكرة النظام بأكملها. يلزم وجود تصحيحات لنظام التشغيل وتحديثات البرامج الثابتة للتخفيف من هذه الثغرة الأمنية.

لماذا سميت بالانهيار؟
هذه الثغرة الأمنية "تذيب" الحدود الأمنية الموضوعة لحماية معلوماتك الحساسة.

من ناحية أخرى ، يسمح Specter لتطبيق واحد بفرض تطبيق آخر للوصول إلى جزء من ذاكرته. من الصعب استغلال هذه الثغرة الأمنية مقارنة بالانهيار ، ولكن التخفيف منها أيضًا أصعب.

لماذا سمي سبكتر؟
يعتمد الاسم على العملية التي تعد السبب الجذري للثغرة ، "التنفيذ التخميني". (أيضًا ، لأنه من الصعب إصلاحه وسيطاردنا لبعض الوقت!)

من هم بائعي الأجهزة المتأثرين؟

تعتبر البنية الأساسية لمعالجات Intel ومعالجات AMD هي الأكثر تضرراً. ومع ذلك ، هناك أكثر من 131 بائعًا متأثرًا بهذه الثغرات الأمنية.

ما هي الأجهزة التي تتأثر بـ Meltdown؟
تتأثر أجهزة كمبيوتر سطح المكتب والكمبيوتر المحمول والسحابة ببرنامج Meltdown. من المحتمل أن يتأثر كل معالج Intel تم إنشاؤه بعد عام 1995 والذي يستخدم التنفيذ التخميني ، باستثناء Intel Itanium و Atom. لا تتأثر معالجات Itanium و Atom التي تم تصنيعها بعد عام 2013 بـ Meltdown.

ما هي الأجهزة التي يتأثر بها Spectre؟
يؤثر Spectre على أجهزة الكمبيوتر المكتبية وأجهزة الكمبيوتر المحمولة والخوادم السحابية والهواتف الذكية. يمكن أن تتأثر جميع المعالجات الحديثة بالضعف في Spectre. تم تأكيد Spectre على معالجات Intel و AMD و ARM.

كيف تحمي خادم Windows الخاص بك من ثغرات Meltdown و Specter؟

من المهم التحقق لمعرفة ما إذا كان نظام windows الخاص بك ضعيفًا. إذا كان الأمر كذلك ، فستحتاج إلى اتخاذ إجراء. لقد سهلنا الأمر عليك من خلال إعطائك إرشادات خطوة بخطوة.

كيف تتحقق لمعرفة ما إذا كان خادم Windows الخاص بك محميًا ضد هذه الثغرات الأمنية؟

  1. سجّل الدخول إلى الخادم الخاص بك وقم بتشغيل Windows PowerShell كمسؤول وقم بتشغيل الأمر التالي:
     تثبيت وحدة التحكم في التكتيك

  2. اكتب " Y " واضغط على Enter لتمكين مزود NuGet.
  3. اكتب " Y " واضغط على Enter إذا تم سؤالك عما إذا كنت تريد تثبيت حزمة من مصدر غير موثوق به - لا بأس بذلك!
  4. قم بتشغيل الأمر التالي لحفظ سياسة التنفيذ الحالية.
     $ SaveExecutionPolicy = Get-ExecutionPolicy
  5. قم بتشغيل الأمر التالي للتأكد من أنه يمكنك استيراد الوحدة في الخطوة التالية.
     Set-ExecutionPolicy RemoteSigned - نطاق المستخدم الحالي
  6. اكتب " Y " واضغط على Enter لتأكيد تغيير سياسة التنفيذ.
  7. قم بتشغيل الأمر التالي لاستيراد الوحدة النمطية SpeculationControl.
     التحكم في تكهنات وحدة الاستيراد
  8. أخيرًا ، قم بتشغيل الأمر التالي للتأكد من أن جهازك لديه التحديثات اللازمة.
     Get-SpeculationControlSettings

ستتمكن من معرفة ما إذا كان الخادم الخاص بك لا يزال عرضة لعيوب أمان Meltdown و Specter. تُظهر لقطة الشاشة هذه نظام Windows غير محمي.

كيف تحمي خادم Windows الخاص بك من هذه الثغرات الأمنية؟

عملت Microsoft مع بائعي وحدة المعالجة المركزية وأصدرت تحديثات أمنية مهمة. سوف تحتاج إلى:

  1. قم بتثبيت كافة التحديثات الأمنية.
  2. قم بتطبيق تحديث قابل للتطبيق للبرامج الثابتة من الشركة المصنعة لجهاز OEM.

عند البحث عن تحديثات Windows ، قد لا تحصل على تحديثات الأمان التي تم إصدارها في يناير 2018. للحصول على هذه التحديثات ، ستحتاج إلى إضافة مفتاح التسجيل التالي على الخادم الافتراضي الخاص بك:

المفتاح = "HKEY_LOCAL_MACHINE" المفتاح الفرعي = قيمة "SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ QualityCompat" = "cadca5fe-87d3-4b96-b7fb-a231484277cc"
اكتب = "REG_DWORD"
البيانات = "0x00000000"

بمجرد إضافة مفتاح التسجيل هذا ، أعد تشغيل الخادم الخاص بك. بعد بدء تشغيل النظام مرة أخرى ، تحقق من التحديثات. قم بتثبيت كافة التحديثات الجديدة وأعد تشغيل الخادم مرة أخرى.

ستحتاج أيضًا إلى التأكد من تثبيت تصحيحات الأمان التالية:

Windows Server ، الإصدار 1709 (تثبيت Server Core) - 4056892
خادم ويندوز 2016 - 4056890
Windows Server 2012 R2 - 4056898
نظام التشغيل Windows Server 2008 R2 - 4056897

إذا كنت لا تزال ترى أن هذه التصحيحات غير مثبتة ، فيمكنك تنزيلها من الروابط المذكورة في كود التحديث.

بمجرد تحديث النظام وتطبيق تحديثات البرامج الثابتة المطلوبة من الشركة المصنعة لجهاز OEM ، قم بتشغيل الأوامر التالية مرة أخرى من Windows PowerShell للتأكد من أن الخادم الخاص بك آمن:

$ SaveExecutionPolicy = Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned - نطاق المستخدم الحالي
التحكم في تكهنات وحدة الاستيراد
Get-SpeculationControlSettings
Set-ExecutionPolicy $ SaveExecutionPolicy - نطاق المستخدم الحالي

أنت خارج منطقة الخطر الآن! تُظهر لقطة الشاشة هذه نظام Windows محميًا من ثغرات Specter و Meltdown.

كيف تحمي خادم Linux من ثغرات Meltdown و Specter؟

نظرًا لأن هذه الثغرات تعتمد على الأجهزة ، فإن جميع أنظمة Linux تقريبًا تتأثر بها. أصدرت العديد من توزيعات Linux تحديثات البرامج التي تخفف من Meltdown و Specter من خلال تعطيل سلوك المعالج الذي يؤدي إلى الثغرات الأمنية أو العمل على حله. لم يتم تصحيح أنظمة Linux بالكامل بعد.

فيما يلي قائمة بتوزيعات Linux التي أصدرت تحديثات kernel مع التخفيف الجزئي:

  • CentOS 7: نواة 3.10.0-693.11.6
  • CentOS 6: kernel 2.6.32-696.18.7
  • فيدورا 27: نواة 4.14.11-300
  • فيدورا 26: نواة 4.14.11-200
  • نظام التشغيل Ubuntu 17.10: kernel 4.13.0-25-generic
  • نظام التشغيل Ubuntu 16.04: kernel 4.4.0-109-generic
  • نظام التشغيل Ubuntu 14.04: kernel 3.13.0-139-generic
  • دبيان 9: kernel 4.9.0-5-amd64
  • دبيان 8: kernel 3.16.0-5-amd64
  • دبيان 7: kernel 3.2.0-5-amd64
  • فيدورا 27 أتوميك: نواة 4.14.11-300.fc27.x86_64
  • CoreOS: kernel 4.14.11-coreos

إذا تم تحديث إصدار kernel إلى الإصدار المذكور أعلاه على الأقل ، فسيتم تطبيق بعض التحديثات. لم يصدر توزيع FreeBSD ، اعتبارًا من 12 يناير 2018 ، أي تحديثات kernel. يصل Ubuntu 17.04 إلى EOL (نهاية الحياة) في 13 يناير 2018 ، ولن يتلقى أي تحديثات.

فيما يلي الخطوات التي يمكنك اتخاذها لفحص وإصلاح ثغرات Specter و Meltdown في CentOS 7.x.

للتحقق من الثغرات الأمنية ، قم بتشغيل الأوامر أدناه:

  1. للتحقق من إصدار نظام التشغيل الحالي.
    lsb_release -d
  2. للتحقق من إصدار النواة الحالي.
    uname -a
  3. للتحقق مما إذا كان النظام ضعيفًا أم لا.
    cd / tmp
    wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
    sudo sh spectre-meltdown-checker.sh

    لقطة الشاشة أعلاه هي إخراج من CentOS 7.x عندما لا يتم تصحيحها بإصلاح ثغرات Meltdown / Specter.

  4. ستحتاج إلى تشغيل الأوامر أدناه لتثبيت التصحيح الجديد.
    تحديث sudo yum
  5. السبب الرئيسي لتحديث yum هو أننا بحاجة إلى تحديث إصدار kernel. بمجرد تثبيت التصحيحات ، أعد التشغيل باستخدام الأمر أدناه.
    اعادة التشغيل
  6. بمجرد بدء تشغيل جهاز الكمبيوتر الخاص بك مرة أخرى ، يمكنك التحقق مرة أخرى من الثغرة الأمنية باستخدام الأمر أدناه.
    sudo sh spectre-meltdown-checker.sh

    يمكنك أن ترى أن لقطة الشاشة هذه تظهر "غير قابل للفساد" لـ Specter Variant 1 و Meltdown.

استنتاج

يعد كل من Meltdown و Specter من نقاط الضعف الحرجة. لا يزال يتم استغلالها ، والتأثير العام لأضرارها لم يتضح بعد.

نوصي بشدة بالحفاظ على أنظمتك مصححة بأحدث نظام تشغيل وأحدث تحديثات البرامج الثابتة الصادرة عن البائعين.