Proteggi il tuo server dalle vulnerabilità di Meltdown e Spectre

Pubblicato: 2018-01-16

Potresti non sapere che la maggior parte dei processori per computer del mondo sono vulnerabili alle vulnerabilità di Meltdown e Spectre. Cosa sono Meltdown e Spectre e cosa dovresti fare per proteggere il tuo server? In questo articolo, daremo un'occhiata a queste vulnerabilità e parleremo dei principali fornitori di hardware interessati. Soprattutto, spiegheremo i passaggi che dovresti eseguire sui tuoi server Windows e Linux per proteggere i tuoi dati.

Immergiamoci!

Quali sono le vulnerabilità di Meltdown e Spectre?

Meltdown e Spectre sono vulnerabilità critiche nei processori dei computer. Consentono ai programmi di trapelare informazioni durante l'esecuzione, rendendo tali informazioni disponibili agli hacker. I moderni sistemi informatici sono impostati in modo che i programmi non possano accedere ai dati di altri programmi a meno che l'utente non lo consenta specificamente. Le vulnerabilità Meltdown e Spectre consentono a un utente malintenzionato di accedere ai dati del programma senza il permesso dell'utente (e di solito all'insaputa dell'utente). Ciò significa che un utente malintenzionato potrebbe potenzialmente accedere alle tue foto personali, alla posta elettronica, alle password memorizzate nel gestore delle password del browser, ai messaggi istantanei, ai documenti aziendali, alle dichiarazioni dei redditi e altro ancora.

Meltdown consente a qualsiasi applicazione di accedere all'intera memoria di sistema. Per mitigare questa vulnerabilità sono necessari patch del sistema operativo e aggiornamenti del firmware.

Perché si chiama Meltdown?
Questa vulnerabilità "scioglie" i limiti di sicurezza in atto per proteggere le tue informazioni sensibili.

Spectre , d'altra parte, consente a un'applicazione di forzare un'altra applicazione ad accedere a una parte della sua memoria. Questa vulnerabilità è più difficile da sfruttare rispetto a Meltdown, ma anche da mitigare.

Perché si chiama Spettro?
Il nome si basa sul processo che è la causa principale della vulnerabilità, "esecuzione speculativa". (Inoltre, perché è difficile da sistemare e ci perseguiterà per un po' di tempo!)

Quali fornitori di hardware sono interessati?

L'architettura core di Intel e i processori AMD sono i più colpiti. Tuttavia, ci sono oltre 131 fornitori interessati da queste vulnerabilità.

Quali dispositivi sono interessati da Meltdown?
I computer desktop, laptop e cloud sono tutti interessati da Meltdown. Tutti i processori Intel realizzati dopo il 1995 che utilizzano l'esecuzione speculativa sono potenzialmente interessati, ad eccezione di Intel Itanium e Atom. I processori Itanium e Atom realizzati dopo il 2013 non sono interessati da Meltdown.

Quali dispositivi sono interessati da Spectre?
Spectre colpisce desktop, laptop, server cloud e smartphone. Tutti i moderni processori possono essere interessati dalla vulnerabilità Spectre. Spectre è stato confermato su processori Intel, AMD e ARM.

Come proteggere il tuo server Windows dalle vulnerabilità di Meltdown e Spectre?

è importante verificare se il tuo sistema Windows è vulnerabile. Se lo è, dovrai agire. Ti abbiamo semplificato le cose fornendoti istruzioni dettagliate.

Come verificare se il tuo server Windows è protetto da queste vulnerabilità?

  1. Accedi al tuo server ed esegui Windows PowerShell come amministratore ed esegui il comando seguente:
     Installa-Modulo SpeculationControl 

  2. Digita " Y " e premi Invio per abilitare il provider NuGet.
  3. Digita " Y " e premi Invio se ti viene chiesto se desideri installare un pacchetto da una fonte non attendibile: va bene!
  4. Eseguire il comando seguente per salvare la politica di esecuzione corrente.
     $SaveExecutionPolicy = Get-ExecutionPolicy
  5. Esegui il comando seguente per assicurarti di poter importare il modulo nel passaggio successivo.
     Set-ExecutionPolicy RemoteSigned -Scope Currentuser
  6. Digitare " Y " e premere Invio per confermare la modifica del criterio di esecuzione.
  7. Eseguire il comando seguente per importare il modulo SpeculationControl.
     Import-Module SpeculationControl
  8. Infine, esegui il comando seguente per assicurarti che il tuo dispositivo abbia gli aggiornamenti necessari.
     Get-SpeculationControlSettings 

Sarai in grado di vedere se il tuo server è ancora vulnerabile ai difetti di sicurezza di Meltdown e Spectre. Questa schermata mostra un sistema Windows non protetto.

Come proteggere il tuo server Windows da queste vulnerabilità?

Microsoft ha collaborato con i fornitori di CPU e ha rilasciato importanti aggiornamenti di sicurezza. Avrai bisogno di:

  1. Installa tutti gli aggiornamenti di sicurezza.
  2. Applicare un aggiornamento firmware applicabile dal produttore del dispositivo OEM.

Quando controlli gli aggiornamenti di Windows, potresti non ricevere gli aggiornamenti di sicurezza rilasciati a gennaio 2018. Per ottenere questi aggiornamenti, dovrai aggiungere la seguente chiave di registro sul tuo server virtuale:

Chiave= “HKEY_LOCAL_MACHINE” Sottochiave= “SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” Valore=”cadca5fe-87d3-4b96-b7fb-a231484277cc”
Digita= “REG_DWORD”
Dati= “0x00000000”

Dopo aver aggiunto questa chiave di registro, riavvia il server. Dopo il riavvio del sistema, controlla gli aggiornamenti. Installa tutti i nuovi aggiornamenti e riavvia nuovamente il server.

Dovrai anche assicurarti di aver installato le seguenti patch di sicurezza:

Windows Server, versione 1709 (Installazione di base del server) – 4056892
Windows Server 2016 – 4056890
Windows Server 2012 R2 – 4056898
Windows Server 2008 R2 – 4056897

Se vedi ancora che queste patch non sono installate, puoi scaricarle dai link indicati nel codice di aggiornamento.

Dopo aver aggiornato il sistema e applicato gli aggiornamenti firmware richiesti dal produttore del dispositivo OEM, eseguire nuovamente i seguenti comandi da Windows PowerShell per assicurarsi che il server sia sicuro:

$SaveExecutionPolicy = Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned -Scope Currentuser
Import-Module SpeculationControl
Get-SpeculationControlSettings
Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser 

Ora sei fuori dalla zona di pericolo! Questa schermata mostra un sistema Windows protetto dalle vulnerabilità Spectre e Meltdown.

Come proteggere un server Linux dalle vulnerabilità di Meltdown e Spectre?

Poiché queste vulnerabilità sono basate sull'hardware, quasi tutti i sistemi Linux ne sono interessati. Molte distribuzioni Linux hanno rilasciato aggiornamenti software che mitigano Meltdown e Spectre disabilitando o aggirando il comportamento del processore che porta alle vulnerabilità. I sistemi Linux non sono ancora completamente aggiornati.

Di seguito è riportato l'elenco delle distribuzioni Linux che hanno rilasciato aggiornamenti del kernel con mitigazione parziale:

  • CentOS 7: kernel 3.10.0-693.11.6
  • CentOS 6: kernel 2.6.32-696.18.7
  • Fedora 27: kernel 4.14.11-300
  • Fedora 26: kernel 4.14.11-200
  • Ubuntu 17.10: kernel 4.13.0-25 generico
  • Ubuntu 16.04: kernel 4.4.0-109-generico
  • Ubuntu 14.04: kernel 3.13.0-139-generico
  • Debian 9: kernel 4.9.0-5-amd64
  • Debian 8: kernel 3.16.0-5-amd64
  • Debian 7: kernel 3.2.0-5-amd64
  • Fedora 27 Atomic: kernel 4.14.11-300.fc27.x86_64
  • CoreOS: kernel 4.14.11-coreo

Se la versione del kernel viene aggiornata almeno alla versione sopra menzionata, sono stati applicati alcuni aggiornamenti. La distribuzione di FreeBSD, al 12 gennaio 2018, non ha ancora rilasciato alcun aggiornamento del kernel. Ubuntu 17.04 sta raggiungendo EOL (End Of Life) il 13 gennaio 2018 e non riceverà alcun aggiornamento.

Di seguito sono riportati i passaggi che puoi eseguire per controllare e correggere le vulnerabilità di Spectre e Meltdown in CentOS 7.x.

Per verificare la presenza di vulnerabilità, esegui i comandi seguenti:

  1. Per controllare la versione corrente del sistema operativo.
    lsb_release -d
  2. Per controllare la versione corrente del kernel.
    uname -a
  3. Per verificare se il sistema è vulnerabile o meno.
    cd /tmp
    wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
    sudo sh spectre-meltdown-checker.sh

    Lo screenshot sopra è l'output di CentOS 7.x quando non è stato corretto con la correzione per le vulnerabilità Meltdown/Spectre.

  4. Dovrai eseguire i comandi seguenti per installare la nuova patch.
    sudo yum aggiornamento
  5. Il motivo principale per l'aggiornamento di yum è che dobbiamo aggiornare la versione del kernel. Una volta installate le patch, riavviare utilizzando il comando seguente.
    riavviare
  6. Una volta riavviato il computer, puoi verificare di nuovo la vulnerabilità utilizzando il comando seguente.
    sudo sh spectre-meltdown-checker.sh

    Puoi vedere che questo screenshot mostra NON VULNERABILE per Spectre Variant 1 e Meltdown.

Conclusione

Meltdown e Spectre sono vulnerabilità critiche. Continuano a essere sfruttati e l'impatto complessivo dei loro danni deve ancora essere stabilito.

Ti consigliamo vivamente di mantenere i tuoi sistemi aggiornati con il sistema operativo più recente e gli ultimi aggiornamenti del firmware rilasciati dai fornitori.