Protejați-vă serverul împotriva vulnerabilităților Meltdown și Spectre

Publicat: 2018-01-16

Poate nu știți că majoritatea procesoarelor de computere din lume sunt vulnerabile la vulnerabilitățile Meltdown și Spectre. Ce sunt Meltdown și Spectre și ce ar trebui să faceți pentru a vă proteja serverul? În acest articol, vom arunca o privire asupra acestor vulnerabilități și vom vorbi despre principalii furnizori de hardware care sunt afectați. Cel mai important, vă vom explica pașii pe care ar trebui să-i faceți pe serverele dvs. Windows și Linux pentru a vă securiza datele.

Să ne scufundăm!

Care sunt vulnerabilitățile Meltdown și Spectre?

Meltdown și Spectre sunt vulnerabilități critice în procesoarele computerelor. Ei permit programelor să scurgă informații pe măsură ce rulează, făcând acele informații disponibile hackerilor. Sistemele computerizate moderne sunt configurate astfel încât programele să nu poată accesa datele din alte programe decât dacă utilizatorul permite în mod special acest lucru. Vulnerabilitățile Meltdown și Spectre fac posibil ca un atacator să acceseze datele programului fără permisiunea utilizatorului (și de obicei fără știrea utilizatorului). Aceasta înseamnă că un atacator ar putea să vă acceseze fotografiile personale, e-mailul, orice parole pe care le-ați stocat în managerul de parole al browserului, mesajele instantanee, documentele corporative, declarațiile fiscale și multe altele.

Meltdown permite oricărei aplicații să obțină acces la întreaga memorie a sistemului. Sunt necesare corecții ale sistemului de operare și actualizări de firmware pentru a atenua această vulnerabilitate.

De ce se numește Meltdown?
Această vulnerabilitate „topește” limitele de securitate care sunt în vigoare pentru a vă proteja informațiile sensibile.

Spectre , pe de altă parte, permite unei aplicații să forțeze o altă aplicație să acceseze o parte din memorie. Această vulnerabilitate este mai greu de exploatat decât Meltdown, dar și mai greu de atenuat.

De ce se numește Spectre?
Numele se bazează pe procesul care este cauza principală a vulnerabilității, „execuția speculativă”. (De asemenea, pentru că este greu de reparat și ne va bântui pentru ceva timp!)

Ce furnizori de hardware sunt afectați?

Arhitectura de bază a Intel și procesoarele AMD sunt cele mai afectate. Cu toate acestea, există peste 131 de furnizori afectați pentru aceste vulnerabilități.

Ce dispozitive sunt afectate de Meltdown?
Computerele desktop, laptopurile și cloud sunt toate afectate de Meltdown. Fiecare procesor Intel fabricat după 1995 care utilizează execuția speculativă este potențial afectat, cu excepția Intel Itanium și Atom. Procesoarele Itanium și Atom fabricate după 2013 nu sunt afectate de Meltdown.

Ce dispozitive sunt afectate de Spectre?
Spectre afectează desktop-urile, laptopurile, serverele cloud și smartphone-urile. Toate procesoarele moderne pot fi afectate de vulnerabilitatea Spectre. Spectre a fost confirmat pe procesoarele Intel, AMD și ARM.

Cum să vă protejați serverul Windows de vulnerabilitățile Meltdown și Spectre?

este important să verificați dacă sistemul dvs. Windows este vulnerabil. Dacă este, va trebui să luați măsuri. Ți-am făcut totul ușor, oferindu-ți instrucțiuni pas cu pas.

Cum să verifici dacă serverul tău Windows este protejat împotriva acestor vulnerabilități?

  1. Conectați-vă la serverul dvs. și rulați Windows PowerShell ca administrator și executați următoarea comandă:
     Instalare-Module SpeculationControl

  2. Tastați „ Y ” și apăsați Enter pentru a activa furnizorul NuGet.
  3. Tastați „ Y ” și apăsați Enter dacă sunteți întrebat dacă doriți să instalați un pachet dintr-o sursă neîncrezătoare - este bine!
  4. Rulați următoarea comandă pentru a salva politica de execuție curentă.
     $SaveExecutionPolicy = Obține-ExecutionPolicy
  5. Rulați următoarea comandă pentru a vă asigura că puteți importa modulul în pasul următor.
     Set-ExecutionPolicy RemoteSigned -Scope Currentuser
  6. Tastați „ Y ” și apăsați Enter pentru a confirma modificarea politicii de execuție.
  7. Rulați următoarea comandă pentru a importa modulul SpeculationControl.
     Import-Module SpeculationControl
  8. În cele din urmă, rulați următoarea comandă pentru a vă asigura că dispozitivul dvs. are actualizările necesare.
     Get-SpeculationControlSettings

Veți putea vedea dacă serverul dvs. este încă vulnerabil la defectele de securitate Meltdown și Spectre. Această captură de ecran arată un sistem Windows care nu este protejat.

Cum să vă protejați serverul Windows de aceste vulnerabilități?

Microsoft a colaborat cu furnizorii de procesoare și a lansat actualizări importante de securitate. Va trebui sa:

  1. Instalați toate actualizările de securitate.
  2. Aplicați o actualizare de firmware aplicabilă de la producătorul dispozitivului OEM.

Când verificați actualizările Windows, este posibil să nu primiți actualizările de securitate lansate în ianuarie 2018. Pentru a obține aceste actualizări, va trebui să adăugați următoarea cheie de registry pe serverul dvs. virtual:

Cheie= „HKEY_LOCAL_MACHINE” Subcheie= „SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” Value=”cadca5fe-87d3-4b96-b7fb-a231484277cc”
Tip= „REG_DWORD”
Date= „0x00000000”

După ce ați adăugat această cheie de registry, reporniți serverul. După ce sistemul dvs. pornește din nou, verificați actualizările. Instalați toate actualizările noi și reporniți serverul din nou.

De asemenea, va trebui să vă asigurați că aveți instalate următoarele corecții de securitate:

Windows Server, versiunea 1709 (Server Core Installation) – 4056892
Windows Server 2016 – 4056890
Windows Server 2012 R2 – 4056898
Windows Server 2008 R2 – 4056897

Dacă tot vedeți că aceste patch-uri nu sunt instalate, le puteți descărca de la linkurile menționate în codul de actualizare.

După ce ați actualizat sistemul și ați aplicat actualizările de firmware necesare de la producătorul dispozitivului OEM, executați din nou următoarele comenzi din Windows PowerShell pentru a vă asigura că serverul este în siguranță:

$SaveExecutionPolicy = Obține-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned -Scope Currentuser
Import-Module SpeculationControl
Get-SpeculationControlSettings
Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Ai ieșit din zona de pericol acum! Această captură de ecran arată un sistem Windows care este protejat de vulnerabilitățile Spectre și Meltdown.

Cum să protejați un server Linux de vulnerabilitățile Meltdown și Spectre?

Deoarece aceste vulnerabilități sunt bazate pe hardware, aproape toate sistemele Linux sunt afectate de ele. Multe distribuții Linux au lansat actualizări de software care atenuează Meltdown și Spectre prin dezactivarea sau rezolvarea comportamentului procesorului care duce la vulnerabilități. Sistemele Linux nu sunt încă complet corecţionate.

Mai jos este lista distribuțiilor Linux care au lansat actualizări de kernel cu atenuare parțială:

  • CentOS 7: kernel 3.10.0-693.11.6
  • CentOS 6: kernel 2.6.32-696.18.7
  • Fedora 27: kernel 4.14.11-300
  • Fedora 26: kernel 4.14.11-200
  • Ubuntu 17.10: kernel 4.13.0-25-generic
  • Ubuntu 16.04: kernel 4.4.0-109-generic
  • Ubuntu 14.04: kernel 3.13.0-139-generic
  • Debian 9: kernel 4.9.0-5-amd64
  • Debian 8: kernel 3.16.0-5-amd64
  • Debian 7: kernel 3.2.0-5-amd64
  • Fedora 27 Atomic: kernel 4.14.11-300.fc27.x86_64
  • CoreOS: kernel 4.14.11-coreos

Dacă versiunea de kernel este actualizată la cel puțin versiunea menționată mai sus, atunci au fost aplicate unele actualizări. Distribuția FreeBSD, din 12 ianuarie 2018, nu a lansat încă nicio actualizare de kernel. Ubuntu 17.04 ajunge la EOL (End Of Life) pe 13 ianuarie 2018 și nu va primi nicio actualizare.

Mai jos sunt pașii pe care îi puteți urma pentru a verifica și remedia vulnerabilitățile Spectre și Meltdown în CentOS 7.x.

Pentru a verifica vulnerabilități, rulați comenzile de mai jos:

  1. Pentru a verifica versiunea curentă a sistemului de operare.
    lsb_release -d
  2. Pentru a verifica versiunea curentă a nucleului.
    uname -a
  3. Pentru a verifica dacă sistemul este vulnerabil sau nu.
    cd /tmp
    wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
    sudo sh spectre-meltdown-checker.sh

    Captura de ecran de mai sus este rezultatul de la CentOS 7.x atunci când nu este corectat cu remedierea vulnerabilităților Meltdown/Spectre.

  4. Va trebui să rulați comenzile de mai jos pentru a instala noul patch.
    sudo yum update
  5. Motivul principal al actualizării yum este că trebuie să actualizăm versiunea kernel-ului. Odată ce patch-urile sunt instalate, reporniți folosind comanda de mai jos.
    reporniți
  6. Odată ce computerul pornește din nou, puteți verifica din nou vulnerabilitatea utilizând comanda de mai jos.
    sudo sh spectre-meltdown-checker.sh

    Puteți vedea că această captură de ecran arată NOT VULNERABLE pentru Spectre Varianta 1 și Meltdown.

Concluzie

Meltdown și Spectre sunt vulnerabilități critice. Ele continuă să fie exploatate, iar impactul general al daunelor lor nu a fost încă stabilit.

Vă recomandăm cu căldură să vă păstrați sistemele corectate cu cel mai recent sistem de operare și cu cele mai recente actualizări de firmware lansate de furnizori.