Chroń swój serwer przed lukami w zabezpieczeniach i widmami

Opublikowany: 2018-01-16

Możesz nie wiedzieć, że większość procesorów komputerowych na świecie jest podatna na luki Meltdown i Spectre. Czym są Meltdown i Spectre i co należy zrobić, aby chronić swój serwer? W tym artykule przyjrzymy się tym usterkom i omówimy głównych dostawców sprzętu, których dotyczą. Co najważniejsze, wyjaśnimy kroki, które należy podjąć na serwerach Windows i Linux, aby zabezpieczyć swoje dane.

Zanurzmy się!

Jakie są luki w zabezpieczeniach Meltdown i Spectre?

Meltdown i Spectre to krytyczne luki w procesorach komputerowych. Pozwalają programom na wyciek informacji podczas działania, udostępniając je hakerom. Nowoczesne systemy komputerowe są skonfigurowane tak, aby programy nie miały dostępu do danych z innych programów, chyba że użytkownik wyraźnie na to pozwoli. Luki Meltdown i Spectre umożliwiają atakującemu dostęp do danych programu bez zgody użytkownika (i zwykle bez wiedzy użytkownika). Oznacza to, że osoba atakująca może potencjalnie uzyskać dostęp do Twoich osobistych zdjęć, wiadomości e-mail, wszelkich haseł przechowywanych w menedżerze haseł przeglądarki, wiadomości błyskawicznych, dokumentów firmowych, deklaracji podatkowych i innych.

Meltdown umożliwia dowolnej aplikacji uzyskanie dostępu do całej pamięci systemowej. Aby złagodzić tę lukę, wymagane są poprawki systemu operacyjnego i aktualizacje oprogramowania układowego.

Dlaczego nazywa się Meltdown?
Ta luka „topi” granice bezpieczeństwa, które obowiązują w celu ochrony poufnych informacji.

Spectre , z drugiej strony, pozwala jednej aplikacji zmusić inną aplikację do uzyskania dostępu do pewnej części jej pamięci. Ta luka jest trudniejsza do wykorzystania niż Meltdown, ale także trudniejsza do złagodzenia.

Dlaczego nazywa się Spectre?
Nazwa opiera się na procesie, który jest główną przyczyną luki, „wykonywanie spekulacyjne”. (Również dlatego, że jest to trudne do naprawienia i będzie nas prześladować przez jakiś czas!)

Których dostawców sprzętu dotyczy problem?

Najpowszechniej dotknięta jest architektura rdzenia Intela i procesory AMD. Istnieje jednak ponad 131 dostawców, których dotyczy problem z tymi lukami.

Na jakie urządzenia ma wpływ Meltdown?
Meltdown ma wpływ na komputery stacjonarne, laptopy i komputery w chmurze. Potencjalnie zagrożony jest każdy procesor Intel wyprodukowany po 1995 roku, który wykorzystuje wykonanie spekulacyjne, z wyjątkiem procesorów Intel Itanium i Atom. Procesory Itanium i Atom wyprodukowane po 2013 roku nie są dotknięte przez Meltdown.

Na jakie urządzenia ma wpływ Spectre?
Spectre wpływa na komputery stacjonarne, laptopy, serwery w chmurze i smartfony. Luka Spectre może dotyczyć wszystkich nowoczesnych procesorów. Spectre zostało potwierdzone na procesorach Intel, AMD i ARM.

Jak chronić serwer Windows przed lukami Meltdown i Spectre?

ważne jest, aby sprawdzić, czy twój system Windows jest zagrożony. Jeśli tak, musisz podjąć działania. Ułatwiliśmy Ci to, podając szczegółowe instrukcje.

Jak sprawdzić, czy serwer Windows jest chroniony przed tymi lukami?

  1. Zaloguj się do serwera i uruchom Windows PowerShell jako administrator i uruchom następujące polecenie:
     Kontrolowanie spekulacji modułu instalacji

  2. Wpisz „ Y ” i naciśnij klawisz Enter, aby włączyć dostawcę NuGet.
  3. Wpisz „ Y ” i naciśnij Enter, jeśli pojawi się pytanie, czy chcesz zainstalować pakiet z niezaufanego źródła – jest w porządku!
  4. Uruchom następujące polecenie, aby zapisać bieżące zasady wykonywania.
     $SaveExecutionPolicy = Get-ExecutionPolicy
  5. Uruchom następujące polecenie, aby upewnić się, że możesz zaimportować moduł w następnym kroku.
     Set-ExecutionPolicy RemoteSigned -Scope Currentuser
  6. Wpisz „ Y ” i naciśnij klawisz Enter, aby potwierdzić zmianę zasad wykonywania.
  7. Uruchom następujące polecenie, aby zaimportować moduł SpeculationControl.
     Kontrola spekulacji modułu importu
  8. Na koniec uruchom następujące polecenie, aby upewnić się, że urządzenie ma niezbędne aktualizacje.
     Ustawienia sterowania pobieraniem spekulacji

Będziesz mógł sprawdzić, czy Twój serwer jest nadal podatny na luki w zabezpieczeniach Meltdown i Spectre. Ten zrzut ekranu pokazuje system Windows, który nie jest chroniony.

Jak chronić serwer Windows przed tymi lukami?

Firma Microsoft współpracowała z dostawcami procesorów i wydała ważne aktualizacje zabezpieczeń. Będziesz musiał:

  1. Zainstaluj wszystkie aktualizacje zabezpieczeń.
  2. Zastosuj odpowiednią aktualizację oprogramowania układowego od producenta urządzenia OEM.

Podczas sprawdzania aktualizacji systemu Windows możesz nie uzyskać aktualizacji zabezpieczeń wydanych w styczniu 2018 r. Aby uzyskać te aktualizacje, musisz dodać następujący klucz rejestru na serwerze wirtualnym:

Klucz = „HKEY_LOCAL_MACHINE” Podklucz = „SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” Wartość =”cadca5fe-87d3-4b96-b7fb-a231484277cc”
Typ= „REG_DWORD”
Dane= „0x00000000”

Po dodaniu tego klucza rejestru uruchom ponownie serwer. Po ponownym uruchomieniu systemu sprawdź dostępność aktualizacji. Zainstaluj wszystkie nowe aktualizacje i ponownie uruchom serwer.

Musisz także upewnić się, że masz zainstalowane następujące poprawki bezpieczeństwa:

Windows Server, wersja 1709 (Instalacja Server Core) – 4056892
Windows Server 2016 – 4056890
Windows Server 2012 R2 – 4056898
Windows Server 2008 R2 – 4056897

Jeśli nadal widzisz, że te poprawki nie są zainstalowane, możesz je pobrać, korzystając z łączy wymienionych w kodzie aktualizacji.

Po zaktualizowaniu systemu i zastosowaniu wymaganych aktualizacji oprogramowania układowego od producenta urządzenia OEM ponownie uruchom następujące polecenia w programie Windows PowerShell, aby upewnić się, że serwer jest bezpieczny:

$SaveExecutionPolicy = Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned -Scope Currentuser
Kontrola spekulacji modułu importu
Ustawienia sterowania pobieraniem spekulacji
Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Jesteś teraz poza strefą zagrożenia! Ten zrzut ekranu pokazuje system Windows, który jest chroniony przed lukami Spectre i Meltdown.

Jak chronić serwer Linux przed lukami Meltdown i Spectre?

Ponieważ te luki są oparte na sprzęcie, dotyczy to prawie wszystkich systemów Linux. Wiele dystrybucji Linuksa wydało aktualizacje oprogramowania, które łagodzą Meltdown i Spectre poprzez wyłączenie lub obejście zachowania procesora, które prowadzi do luk. Systemy Linux nie są jeszcze w pełni poprawione.

Poniżej znajduje się lista dystrybucji Linuksa, które wydały aktualizacje jądra z częściowym ograniczeniem:

  • CentOS 7: jądro 3.10.0-693.11.6
  • CentOS 6: jądro 2.6.32-696.18.7
  • Fedora 27: jądro 4.14.11-300
  • Fedora 26: jądro 4.14.11-200
  • Ubuntu 17.10: jądro 4.13.0-25-generyczne
  • Ubuntu 16.04: jądro 4.4.0-109-generic
  • Ubuntu 14.04: jądro 3.13.0-139-generyczne
  • Debian 9: jądro 4.9.0-5-amd64
  • Debian 8: jądro 3.16.0-5-amd64
  • Debian 7: jądro 3.2.0-5-amd64
  • Fedora 27 Atomic: jądro 4.14.11-300.fc27.x86_64
  • CoreOS: jądro 4.14.11-coreos

Jeśli wersja jądra zostanie zaktualizowana co najmniej do wersji wymienionej powyżej, zostały zastosowane pewne aktualizacje. Dystrybucja FreeBSD, na dzień 12 stycznia 2018, nadal nie wydała żadnych aktualizacji jądra. Ubuntu 17.04 osiągnie EOL (End Of Life) 13 stycznia 2018 r. i nie otrzyma żadnych aktualizacji.

Poniżej znajdują się kroki, które możesz podjąć, aby sprawdzić i naprawić luki w zabezpieczeniach Spectre i Meltdown w CentOS 7.x.

Aby sprawdzić luki, uruchom poniższe polecenia:

  1. Aby sprawdzić aktualną wersję systemu operacyjnego.
    lsb_release -d
  2. Aby sprawdzić aktualną wersję jądra.
    uname -a
  3. Aby sprawdzić, czy system jest podatny na ataki, czy nie.
    cd /tmp
    wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
    sudo sh spectre-meltdown-checker.sh

    Powyższy zrzut ekranu to dane wyjściowe z CentOS 7.x, gdy nie jest on załatany poprawką dla luk Meltdown/Spectre.

  4. Aby zainstalować nową poprawkę, musisz uruchomić poniższe polecenia.
    aktualizacja sudo mniam
  5. Głównym powodem aktualizacji yum jest to, że musimy zaktualizować wersję jądra. Po zainstalowaniu poprawek uruchom ponownie, korzystając z poniższego polecenia.
    restart
  6. Po ponownym uruchomieniu komputera możesz ponownie sprawdzić lukę za pomocą poniższego polecenia.
    sudo sh spectre-meltdown-checker.sh

    Widać, że ten zrzut ekranu pokazuje NOT VULNERABLE dla Spectre Variant 1 i Meltdown.

Wniosek

Meltdown i Spectre to krytyczne luki. Nadal są eksploatowane, a ogólny wpływ ich szkód nie został jeszcze ustalony.

Zdecydowanie zalecamy aktualizowanie systemów za pomocą najnowszego systemu operacyjnego i najnowszych aktualizacji oprogramowania układowego wydanych przez dostawców.