Lindungi Server Anda Terhadap Kerentanan Meltdown dan Spectre

Diterbitkan: 2018-01-16

Anda mungkin tidak tahu bahwa sebagian besar prosesor komputer dunia rentan terhadap kerentanan Meltdown dan Spectre. Apa itu Meltdown dan Spectre, dan apa yang harus Anda lakukan untuk melindungi server Anda? Pada artikel ini, kita akan melihat kerentanan ini, dan berbicara tentang vendor perangkat keras utama yang terpengaruh. Yang terpenting, kami akan menjelaskan langkah-langkah yang harus Anda ambil di server Windows dan Linux untuk mengamankan data Anda.

Mari selami!

Apa Kerentanan Meltdown dan Spectre?

Meltdown dan Spectre adalah kerentanan kritis dalam prosesor komputer. Mereka mengizinkan program untuk membocorkan informasi saat dijalankan, membuat informasi itu tersedia bagi peretas. Sistem komputer modern diatur sehingga program tidak dapat mengakses data dari program lain kecuali pengguna secara khusus mengizinkan hal itu terjadi. Kerentanan Meltdown dan Spectre memungkinkan penyerang mengakses data program tanpa izin pengguna (dan biasanya tanpa sepengetahuan pengguna). Ini berarti bahwa penyerang berpotensi mengakses foto pribadi Anda, email, kata sandi apa pun yang Anda simpan di pengelola kata sandi browser Anda, pesan instan, dokumen perusahaan, pengembalian pajak, dan banyak lagi.

Meltdown mengizinkan aplikasi apa pun untuk mendapatkan akses ke seluruh memori sistem. Patch sistem operasi dan pembaruan firmware diperlukan untuk mengurangi kerentanan ini.

Mengapa disebut Meltdown?
Kerentanan ini “mencairkan” batasan keamanan yang ada untuk melindungi informasi sensitif Anda.

Spectre , di sisi lain, mengizinkan satu aplikasi untuk memaksa aplikasi lain untuk mengakses beberapa bagian dari memorinya. Kerentanan ini lebih sulit untuk dieksploitasi daripada Meltdown, tetapi juga lebih sulit untuk dimitigasi.

Kenapa disebut Spectre?
Nama ini didasarkan pada proses yang merupakan akar penyebab kerentanan, "eksekusi spekulatif". (Juga, karena sulit untuk diperbaiki dan akan menghantui kita untuk beberapa waktu!)

Vendor perangkat keras mana yang terpengaruh?

Arsitektur inti Intel dan prosesor AMD adalah yang paling terpengaruh. Namun, ada 131+ vendor yang terpengaruh untuk kerentanan ini.

Perangkat mana yang terpengaruh oleh Meltdown?
Komputer desktop, laptop, dan cloud semuanya terpengaruh oleh Meltdown. Setiap prosesor Intel yang dibuat setelah tahun 1995 yang menggunakan eksekusi spekulatif berpotensi terpengaruh, kecuali Intel Itanium dan Atom. Prosesor Itanium dan Atom yang dibuat setelah tahun 2013 tidak terpengaruh oleh Meltdown.

Perangkat mana yang terpengaruh oleh Spectre?
Spectre memengaruhi desktop, laptop, server cloud, dan ponsel cerdas. Semua prosesor modern dapat dipengaruhi oleh kerentanan Spectre. Spectre telah dikonfirmasi pada prosesor Intel, AMD, dan ARM.

Bagaimana cara melindungi server Windows Anda dari kerentanan Meltdown dan Spectre?

penting untuk memeriksa apakah sistem windows Anda rentan. Jika ya, Anda harus mengambil tindakan. Kami telah mempermudah Anda dengan memberikan petunjuk langkah demi langkah.

Bagaimana cara memeriksa untuk melihat apakah server Windows Anda terlindungi dari kerentanan ini?

  1. Masuk ke server Anda dan jalankan Windows PowerShell sebagai administrator dan jalankan perintah berikut:
     Kontrol Spekulasi Modul-Instal

  2. Ketik " Y " dan tekan Enter untuk mengaktifkan penyedia NuGet.
  3. Ketik " Y " dan tekan Enter jika Anda ditanya apakah Anda ingin menginstal paket dari sumber yang tidak tepercaya – ini tidak masalah!
  4. Jalankan perintah berikut untuk menyimpan kebijakan eksekusi saat ini.
     $SaveExecutionPolicy = Get-ExecutionPolicy
  5. Jalankan perintah berikut untuk memastikan Anda dapat mengimpor modul di langkah berikutnya.
     Set-ExecutionPolicy RemoteSigned -Scope Currentuser
  6. Ketik " Y " dan tekan Enter untuk mengonfirmasi perubahan kebijakan eksekusi.
  7. Jalankan perintah berikut untuk mengimpor modul SpeculationControl.
     Kontrol Spekulasi Modul Impor
  8. Terakhir, jalankan perintah berikut untuk memastikan perangkat Anda memiliki pembaruan yang diperlukan.
     Dapatkan-SpekulasiKontrolPengaturan

Anda akan dapat melihat apakah server Anda masih rentan terhadap kelemahan keamanan Meltdown dan Spectre. Tangkapan layar ini menunjukkan sistem Windows yang tidak dilindungi.

Bagaimana melindungi server Windows Anda dari kerentanan ini?

Microsoft telah bekerja dengan vendor CPU dan merilis pembaruan keamanan penting. Kamu akan membutuhkan:

  1. Instal semua pembaruan keamanan.
  2. Terapkan pembaruan firmware yang berlaku dari produsen perangkat OEM.

Saat Anda memeriksa Pembaruan Windows, Anda mungkin tidak mendapatkan pembaruan keamanan yang dirilis pada Januari 2018. Untuk mendapatkan pembaruan ini, Anda perlu menambahkan kunci registri berikut di server virtual Anda:

Key= “HKEY_LOCAL_MACHINE” Subkey= “SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” Nilai=”cadca5fe-87d3-4b96-b7fb-a231484277cc”
Ketik = “REG_DWORD”
Data = “0x00000000”

Setelah Anda menambahkan kunci registri ini, reboot server Anda. Setelah sistem Anda mulai lagi, periksa pembaruan. Instal semua pembaruan baru dan reboot server lagi.

Anda juga harus memastikan bahwa Anda telah menginstal patch keamanan berikut:

Windows Server, versi 1709 (Instalasi Inti Server) – 4056892
Windows Server 2016 – 4056890
Windows Server 2012 R2 – 4056898
Windows Server 2008 R2 – 4056897

Jika Anda masih melihat bahwa tambalan ini tidak diinstal, Anda dapat mengunduhnya dari tautan yang disebutkan pada kode pembaruan.

Setelah Anda memperbarui sistem dan menerapkan pembaruan firmware yang diperlukan dari produsen perangkat OEM, jalankan kembali perintah berikut dari Windows PowerShell untuk memastikan bahwa server Anda aman:

$SaveExecutionPolicy = Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned -Scope Currentuser
Kontrol Spekulasi Modul Impor
Dapatkan-SpekulasiKontrolPengaturan
Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Anda keluar dari zona bahaya sekarang! Tangkapan layar ini menunjukkan sistem Windows yang dilindungi dari kerentanan Spectre dan Meltdown.

Bagaimana cara melindungi server Linux dari kerentanan Meltdown dan Spectre?

Karena kerentanan ini berbasis perangkat keras, hampir semua sistem Linux terpengaruh olehnya. Banyak distribusi Linux telah merilis pembaruan perangkat lunak yang mengurangi Meltdown dan Spectre dengan menonaktifkan atau mengatasi perilaku prosesor yang mengarah ke kerentanan. Sistem Linux belum sepenuhnya ditambal.

Di bawah ini adalah daftar distribusi Linux yang telah merilis pembaruan kernel dengan mitigasi parsial:

  • CentOS 7: kernel 3.10.0-693.11.6
  • CentOS 6: kernel 2.6.32-696.18.7
  • Fedora 27: kernel 4.14.11-300
  • Fedora 26: kernel 4.14.11-200
  • Ubuntu 17.10: kernel 4.13.0-25-generic
  • Ubuntu 16.04: kernel 4.4.0-109-generik
  • Ubuntu 14.04: kernel 3.13.0-139-generik
  • Debian 9: kernel 4.9.0-5-amd64
  • Debian 8: kernel 3.16.0-5-amd64
  • Debian 7: kernel 3.2.0-5-amd64
  • Fedora 27 Atomic: kernel 4.14.11-300.fc27.x86_64
  • CoreOS: kernel 4.14.11-coreos

Jika versi kernel diperbarui setidaknya ke versi yang disebutkan di atas, maka beberapa pembaruan telah diterapkan. Distribusi FreeBSD, pada 12 Januari 2018, masih belum merilis pembaruan kernel apa pun. Ubuntu 17.04 mencapai EOL (End Of Life) pada 13 Januari 2018, dan tidak akan menerima pembaruan apa pun.

Berikut adalah langkah-langkah yang dapat Anda ambil untuk memeriksa dan memperbaiki kerentanan Spectre dan Meltdown di CentOS 7.x.

Untuk memeriksa kerentanan, jalankan perintah di bawah ini:

  1. Untuk memeriksa versi OS saat ini.
    lsb_release -d
  2. Untuk memeriksa versi kernel saat ini.
    uname -a
  3. Untuk memeriksa apakah sistem rentan atau tidak.
    cd /tmp
    wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
    sudo sh momok-meltdown-checker.sh

    Tangkapan layar di atas adalah output dari CentOS 7.x ketika tidak ditambal dengan perbaikan untuk kerentanan Meltdown/Spectre.

  4. Anda harus menjalankan perintah di bawah ini untuk menginstal tambalan baru.
    pembaruan sudo yum
  5. Alasan utama pembaruan yum adalah karena kita perlu memperbarui versi kernel. Setelah patch diinstal, reboot menggunakan perintah di bawah ini.
    menyalakan ulang
  6. Setelah komputer Anda dinyalakan kembali, Anda dapat memeriksa kembali kerentanannya menggunakan perintah di bawah ini.
    sudo sh momok-meltdown-checker.sh

    Anda dapat melihat bahwa tangkapan layar ini menunjukkan TIDAK RENTAN untuk Spectre Variant 1 dan Meltdown.

Kesimpulan

Meltdown dan Spectre adalah kerentanan kritis. Mereka terus dieksploitasi, dan dampak keseluruhan dari kerusakan mereka belum diketahui.

Kami sangat menyarankan agar sistem Anda tetap ditambal dengan sistem operasi terbaru dan pembaruan firmware terbaru yang dirilis oleh vendor.