Proteja seu servidor contra vulnerabilidades Meltdown e Spectre

Publicados: 2018-01-16

Você pode não saber que a maioria dos processadores de computador do mundo são vulneráveis ​​às vulnerabilidades Meltdown e Spectre. O que são Meltdown e Spectre, e o que você deve fazer para proteger seu servidor? Neste artigo, examinaremos essas vulnerabilidades e falaremos sobre os principais fornecedores de hardware afetados. Mais importante ainda, explicaremos as etapas que você deve seguir em seus servidores Windows e Linux para proteger seus dados.

Vamos mergulhar!

Quais são as vulnerabilidades Meltdown e Spectre?

Meltdown e Spectre são vulnerabilidades críticas em processadores de computador. Eles permitem que os programas vazem informações enquanto são executados, tornando essas informações disponíveis para hackers. Os sistemas de computador modernos são configurados para que os programas não possam acessar dados de outros programas, a menos que o usuário permita especificamente que isso aconteça. As vulnerabilidades Meltdown e Spectre possibilitam que um invasor acesse dados do programa sem a permissão do usuário (e geralmente sem o conhecimento do usuário). Isso significa que um invasor pode acessar suas fotos pessoais, e-mail, quaisquer senhas armazenadas no gerenciador de senhas do seu navegador, mensagens instantâneas, documentos corporativos, declarações fiscais e muito mais.

O Meltdown permite que qualquer aplicativo tenha acesso a toda a memória do sistema. Patches do sistema operacional e atualizações de firmware são necessários para mitigar essa vulnerabilidade.

Por que se chama Meltdown?
Essa vulnerabilidade “derrete” os limites de segurança que existem para proteger suas informações confidenciais.

Spectre , por outro lado, permite que um aplicativo force outro aplicativo a acessar alguma parte de sua memória. Essa vulnerabilidade é mais difícil de explorar do que Meltdown, mas também mais difícil de mitigar.

Por que se chama Espectro?
O nome é baseado no processo que é a causa raiz da vulnerabilidade, “execução especulativa”. (Além disso, porque é difícil de consertar e vai nos assombrar por algum tempo!)

Quais fornecedores de hardware são afetados?

A arquitetura central da Intel e os processadores AMD são os mais afetados. No entanto, existem mais de 131 fornecedores afetados por essas vulnerabilidades.

Quais dispositivos são afetados pelo Meltdown?
Computadores desktop, laptop e nuvem são todos afetados pelo Meltdown. Todo processador Intel feito depois de 1995 que usa execução especulativa é potencialmente afetado, com exceção do Intel Itanium e Atom. Os processadores Itanium e Atom feitos após 2013 não são afetados pelo Meltdown.

Quais dispositivos são afetados pelo Spectre?
Spectre afeta desktops, laptops, servidores em nuvem e smartphones. Todos os processadores modernos podem ser afetados pela vulnerabilidade Spectre. Spectre foi confirmado nos processadores Intel, AMD e ARM.

Como proteger seu servidor Windows das vulnerabilidades Meltdown e Spectre?

é importante verificar se o seu sistema Windows está vulnerável. Se for, você precisará agir. Nós facilitamos para você, fornecendo instruções passo a passo.

Como verificar se o seu servidor Windows está protegido contra essas vulnerabilidades?

  1. Faça login no seu servidor e execute o Windows PowerShell como administrador e execute o seguinte comando:
     Controle de especulação do módulo de instalação

  2. Digite “ Y ” e pressione Enter para habilitar o provedor NuGet.
  3. Digite “ Y ” e pressione Enter se for perguntado se deseja instalar um pacote de uma fonte não confiável – tudo bem!
  4. Execute o seguinte comando para salvar a política de execução atual.
     $SaveExecutionPolicy = Get-ExecutionPolicy
  5. Execute o comando a seguir para garantir que você possa importar o módulo na próxima etapa.
     Set-ExecutionPolicy RemoteSigned -Scope Currentuser
  6. Digite “ Y ” e pressione Enter para confirmar a alteração da política de execução.
  7. Execute o seguinte comando para importar o módulo SpeculationControl.
     Controle de especulação do módulo de importação
  8. Por fim, execute o seguinte comando para garantir que seu dispositivo tenha as atualizações necessárias.
     Get-SpeculationControlSettings

Você poderá ver se o seu servidor ainda está vulnerável às falhas de segurança Meltdown e Spectre. Esta captura de tela mostra um sistema Windows que não está protegido.

Como proteger seu servidor Windows dessas vulnerabilidades?

A Microsoft trabalhou com fornecedores de CPU e lançou importantes atualizações de segurança. Você vai precisar:

  1. Instale todas as atualizações de segurança.
  2. Aplique uma atualização de firmware aplicável do fabricante do dispositivo OEM.

Ao verificar as atualizações do Windows, você pode não obter as atualizações de segurança lançadas em janeiro de 2018. Para obter essas atualizações, você precisará adicionar a seguinte chave de registro em seu servidor virtual:

Chave= “HKEY_LOCAL_MACHINE” Subchave= “SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” Valor=”cadca5fe-87d3-4b96-b7fb-a231484277cc”
Tipo = “REG_DWORD”
Dados = “0x00000000”

Depois de adicionar essa chave de registro, reinicie o servidor. Depois que o sistema for inicializado novamente, verifique as atualizações. Instale todas as novas atualizações e reinicie o servidor novamente.

Você também precisará certificar-se de ter os seguintes patches de segurança instalados:

Windows Server, versão 1709 (Instalação Server Core) – 4056892
Windows Server 2016 – 4056890
Windows Server 2012 R2 – 4056898
Windows Server 2008 R2 – 4056897

Se você ainda vir que esses patches não estão instalados, você pode baixá-los nos links mencionados no código de atualização.

Depois de atualizar o sistema e aplicar as atualizações de firmware necessárias do fabricante do dispositivo OEM, execute os seguintes comandos novamente no Windows PowerShell para garantir que seu servidor esteja seguro:

$SaveExecutionPolicy = Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned -Scope Currentuser
Controle de especulação do módulo de importação
Get-SpeculationControlSettings
Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Você está fora da zona de perigo agora! Esta captura de tela mostra um sistema Windows protegido contra as vulnerabilidades Spectre e Meltdown.

Como proteger um servidor Linux das vulnerabilidades Meltdown e Spectre?

Como essas vulnerabilidades são baseadas em hardware, quase todos os sistemas Linux são afetados por elas. Muitas distribuições do Linux lançaram atualizações de software que atenuam o Meltdown e o Spectre desativando ou contornando o comportamento do processador que leva às vulnerabilidades. Os sistemas Linux ainda não estão totalmente corrigidos.

Abaixo está a lista de distribuições Linux que lançaram atualizações de kernel com mitigação parcial:

  • CentOS 7: kernel 3.10.0-693.11.6
  • CentOS 6: kernel 2.6.32-696.18.7
  • Fedora 27: kernel 4.14.11-300
  • Fedora 26: kernel 4.14.11-200
  • Ubuntu 17.10: kernel 4.13.0-25-generic
  • Ubuntu 16.04: kernel 4.4.0-109-generic
  • Ubuntu 14.04: kernel 3.13.0-139-generic
  • Debian 9: kernel 4.9.0-5-amd64
  • Debian 8: kernel 3.16.0-5-amd64
  • Debian 7: kernel 3.2.0-5-amd64
  • Fedora 27 Atomic: kernel 4.14.11-300.fc27.x86_64
  • CoreOS: kernel 4.14.11-coreos

Se a versão do kernel for atualizada para pelo menos a versão mencionada acima, algumas atualizações foram aplicadas. A distribuição do FreeBSD, em 12 de janeiro de 2018, ainda não lançou nenhuma atualização do kernel. O Ubuntu 17.04 está chegando ao EOL (End Of Life) em 13 de janeiro de 2018 e não receberá atualizações.

Abaixo estão as etapas que você pode seguir para verificar e corrigir as vulnerabilidades Spectre e Meltdown no CentOS 7.x.

Para verificar vulnerabilidades, execute os comandos abaixo:

  1. Para verificar a versão atual do sistema operacional.
    lsb_release -d
  2. Para verificar a versão atual do kernel.
    uname -a
  3. Para verificar se o sistema é vulnerável ou não.
    cd /tmp
    wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
    sudo sh spectre-meltdown-checker.sh

    A captura de tela acima é a saída do CentOS 7.x quando não é corrigido com a correção para as vulnerabilidades Meltdown/Spectre.

  4. Você precisará executar os comandos abaixo para instalar o novo patch.
    sudo yum update
  5. A principal razão para a atualização do yum é que precisamos atualizar a versão do kernel. Depois que os patches estiverem instalados, reinicie usando o comando abaixo.
    reinício
  6. Depois que seu computador for inicializado novamente, você poderá verificar novamente a vulnerabilidade usando o comando abaixo.
    sudo sh spectre-meltdown-checker.sh

    Você pode ver que esta captura de tela mostra NÃO VULNERÁVEL para Spectre Variant 1 e Meltdown.

Conclusão

Meltdown e Spectre são vulnerabilidades críticas. Eles continuam a ser explorados e o impacto geral de seus danos ainda não foi estabelecido.

É altamente recomendável manter seus sistemas atualizados com o sistema operacional mais recente e as atualizações de firmware mais recentes lançadas pelos fornecedores.