Proteja su servidor contra vulnerabilidades Meltdown y Spectre

Publicado: 2018-01-16

Es posible que no sepa que la mayoría de los procesadores de computadoras del mundo son vulnerables a las vulnerabilidades Meltdown y Spectre. ¿Qué son Meltdown y Spectre y qué debe hacer para proteger su servidor? En este artículo, analizaremos estas vulnerabilidades y hablaremos sobre los principales proveedores de hardware que se ven afectados. Lo más importante es que le explicaremos los pasos que debe seguir en sus servidores Windows y Linux para proteger sus datos.

¡Vamos a sumergirnos!

¿Qué son las vulnerabilidades Meltdown y Spectre?

Meltdown y Spectre son vulnerabilidades críticas en los procesadores de computadoras. Permiten que los programas filtren información mientras se ejecutan, poniendo esa información a disposición de los piratas informáticos. Los sistemas informáticos modernos están configurados para que los programas no puedan acceder a los datos de otros programas a menos que el usuario lo permita específicamente. Las vulnerabilidades Meltdown y Spectre hacen posible que un atacante acceda a los datos del programa sin el permiso del usuario (y generalmente sin el conocimiento del usuario). Esto significa que un atacante podría acceder potencialmente a sus fotos personales, correo electrónico, cualquier contraseña que haya almacenado en el administrador de contraseñas de su navegador, mensajes instantáneos, documentos corporativos, declaraciones de impuestos y más.

Meltdown permite que cualquier aplicación obtenga acceso a toda la memoria del sistema. Se requieren parches del sistema operativo y actualizaciones de firmware para mitigar esta vulnerabilidad.

¿Por qué se llama Fusión?
Esta vulnerabilidad “derrite” los límites de seguridad establecidos para proteger su información confidencial.

Spectre , por otro lado, permite que una aplicación obligue a otra aplicación a acceder a una parte de su memoria. Esta vulnerabilidad es más difícil de explotar que Meltdown, pero también más difícil de mitigar.

¿Por qué se llama Espectro?
El nombre se basa en el proceso que es la causa raíz de la vulnerabilidad, "ejecución especulativa". (¡Además, porque es difícil de arreglar y nos perseguirá por algún tiempo!)

¿Qué proveedores de hardware se ven afectados?

La arquitectura central de Intel y los procesadores AMD son los más afectados. Sin embargo, hay más de 131 proveedores afectados por estas vulnerabilidades.

¿Qué dispositivos se ven afectados por Meltdown?
Las computadoras de escritorio, portátiles y en la nube se ven afectadas por Meltdown. Todos los procesadores Intel fabricados después de 1995 que usan ejecución especulativa se ven potencialmente afectados, con la excepción de Intel Itanium y Atom. Los procesadores Itanium y Atom fabricados después de 2013 no se ven afectados por Meltdown.

¿Qué dispositivos se ven afectados por Spectre?
Spectre afecta a equipos de escritorio, portátiles, servidores en la nube y teléfonos inteligentes. Todos los procesadores modernos pueden verse afectados por la vulnerabilidad de Spectre. Spectre ha sido confirmado en procesadores Intel, AMD y ARM.

¿Cómo proteger su servidor Windows de las vulnerabilidades Meltdown y Spectre?

es importante verificar si su sistema de Windows es vulnerable. Si es así, deberá tomar medidas. Te lo hemos puesto fácil al darte instrucciones paso a paso.

¿Cómo verificar si su servidor Windows está protegido contra estas vulnerabilidades?

  1. Inicie sesión en su servidor y ejecute Windows PowerShell como administrador y ejecute el siguiente comando:
     Install-Module SpeculationControl

  2. Escriba " Y " y presione Entrar para habilitar el proveedor NuGet.
  3. Escriba " Y " y presione Entrar si se le pregunta si desea instalar un paquete de una fuente que no es de confianza. ¡Está bien!
  4. Ejecute el siguiente comando para guardar la política de ejecución actual.
     $SaveExecutionPolicy = Get-ExecutionPolicy
  5. Ejecute el siguiente comando para asegurarse de que puede importar el módulo en el siguiente paso.
     Set-ExecutionPolicy RemoteSigned -Scope Currentuser
  6. Escriba " Y " y presione Entrar para confirmar el cambio de política de ejecución.
  7. Ejecute el siguiente comando para importar el módulo SpeculationControl.
     Control de especulación del módulo de importación
  8. Finalmente, ejecute el siguiente comando para asegurarse de que su dispositivo tenga las actualizaciones necesarias.
     Get-SpeculationControlSettings

Podrá ver si su servidor aún es vulnerable a las fallas de seguridad de Meltdown y Spectre. Esta captura de pantalla muestra un sistema Windows que no está protegido.

¿Cómo proteger su servidor Windows de estas vulnerabilidades?

Microsoft ha trabajado con proveedores de CPU y ha publicado importantes actualizaciones de seguridad. Necesitaras:

  1. Instale todas las actualizaciones de seguridad.
  2. Aplique una actualización de firmware aplicable del fabricante del dispositivo OEM.

Cuando busca actualizaciones de Windows, es posible que no obtenga las actualizaciones de seguridad lanzadas en enero de 2018. Para obtener estas actualizaciones, deberá agregar la siguiente clave de registro en su servidor virtual:

Clave= “HKEY_LOCAL_MACHINE” Subclave= “SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” Valor=”cadca5fe-87d3-4b96-b7fb-a231484277cc”
Tipo = "REG_DWORD"
Datos = "0x00000000"

Una vez que haya agregado esta clave de registro, reinicie su servidor. Después de que su sistema se reinicie, verifique las actualizaciones. Instale todas las actualizaciones nuevas y reinicie el servidor nuevamente.

También deberá asegurarse de tener instalados los siguientes parches de seguridad:

Windows Server, versión 1709 (Instalación Server Core) – 4056892
Servidor Windows 2016 – 4056890
Windows Server 2012 R2 – 4056898
Windows Server 2008 R2 – 4056897

Si aún ve que estos parches no están instalados, puede descargarlos desde los enlaces mencionados en el código de actualización.

Una vez que haya actualizado el sistema y aplicado las actualizaciones de firmware requeridas del fabricante del dispositivo OEM, ejecute los siguientes comandos nuevamente desde Windows PowerShell para asegurarse de que su servidor esté seguro:

$SaveExecutionPolicy = Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned -Scope Currentuser
Control de especulación del módulo de importación
Get-SpeculationControlSettings
Set-ExecutionPolicy $SaveExecutionPolicy -Scope Usuario actual

¡Ya estás fuera de la zona de peligro! Esta captura de pantalla muestra un sistema Windows que está protegido contra las vulnerabilidades Spectre y Meltdown.

¿Cómo proteger un servidor Linux de las vulnerabilidades Meltdown y Spectre?

Debido a que estas vulnerabilidades están basadas en hardware, casi todos los sistemas Linux se ven afectados por ellas. Muchas distribuciones de Linux han lanzado actualizaciones de software que mitigan Meltdown y Spectre al deshabilitar o solucionar el comportamiento del procesador que conduce a las vulnerabilidades. Los sistemas Linux aún no están completamente parcheados.

A continuación se muestra la lista de distribuciones de Linux que han lanzado actualizaciones de kernel con mitigación parcial:

  • CentOS 7: núcleo 3.10.0-693.11.6
  • CentOS 6: núcleo 2.6.32-696.18.7
  • Fedora 27: núcleo 4.14.11-300
  • Fedora 26: núcleo 4.14.11-200
  • Ubuntu 17.10: kernel 4.13.0-25-genérico
  • Ubuntu 16.04: kernel 4.4.0-109-genérico
  • Ubuntu 14.04: kernel 3.13.0-139-genérico
  • Debian 9: núcleo 4.9.0-5-amd64
  • Debian 8: núcleo 3.16.0-5-amd64
  • Debian 7: núcleo 3.2.0-5-amd64
  • Fedora 27 Atómico: núcleo 4.14.11-300.fc27.x86_64
  • CoreOS: núcleo 4.14.11-coreos

Si la versión del kernel se actualiza al menos a la versión mencionada anteriormente, entonces se han aplicado algunas actualizaciones. La distribución de FreeBSD, a partir del 12 de enero de 2018, aún no ha publicado ninguna actualización del kernel. Ubuntu 17.04 llegará a EOL (End Of Life) el 13 de enero de 2018 y no recibirá ninguna actualización.

A continuación se muestran los pasos que puede seguir para verificar y corregir las vulnerabilidades de Spectre y Meltdown en CentOS 7.x.

Para comprobar si hay vulnerabilidades, ejecute los siguientes comandos:

  1. Para comprobar la versión actual del sistema operativo.
    lsb_release -d
  2. Para comprobar la versión actual del kernel.
    uname -a
  3. Para comprobar si el sistema es vulnerable o no.
    cd/tmp
    wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
    sudo sh espectro-meltdown-checker.sh

    La captura de pantalla anterior es el resultado de CentOS 7.x cuando no está parcheado con la solución para las vulnerabilidades de Meltdown/Spectre.

  4. Deberá ejecutar los siguientes comandos para instalar el nuevo parche.
    actualización sudo yum
  5. La razón principal de la actualización de yum es que necesitamos actualizar la versión del kernel. Una vez que los parches estén instalados, reinicie usando el siguiente comando.
    reiniciar
  6. Una vez que su computadora se inicie nuevamente, puede verificar nuevamente la vulnerabilidad usando el comando a continuación.
    sudo sh espectro-meltdown-checker.sh

    Puede ver que esta captura de pantalla muestra NO VULNERABLE para Spectre Variant 1 y Meltdown.

Conclusión

Meltdown y Spectre son vulnerabilidades críticas. Continúan siendo explotados y aún no se ha establecido el impacto general de su daño.

Recomendamos enfáticamente mantener sus sistemas parcheados con el último sistema operativo y las últimas actualizaciones de firmware lanzadas por los proveedores.