ปกป้องเซิร์ฟเวอร์ของคุณจากการล่มสลายและช่องโหว่ของ Spectre

เผยแพร่แล้ว: 2018-01-16

คุณอาจไม่ทราบว่าโปรเซสเซอร์คอมพิวเตอร์ส่วนใหญ่ของโลกมีความเสี่ยงต่อช่องโหว่ Meltdown และ Spectre Meltdown และ Spectre คืออะไร และคุณควรทำอย่างไรเพื่อปกป้องเซิร์ฟเวอร์ของคุณ? ในบทความนี้ เราจะพิจารณาช่องโหว่เหล่านี้ และพูดคุยเกี่ยวกับผู้จำหน่ายฮาร์ดแวร์รายใหญ่ที่ได้รับผลกระทบ ที่สำคัญที่สุด เราจะอธิบายขั้นตอนที่คุณควรทำบนเซิร์ฟเวอร์ Windows และ Linux เพื่อรักษาความปลอดภัยข้อมูลของคุณ

มาดำน้ำกันเถอะ!

ช่องโหว่ Meltdown และ Spectre คืออะไร?

Meltdown และ Spectre เป็นช่องโหว่ที่สำคัญในตัวประมวลผลคอมพิวเตอร์ พวกเขาอนุญาตให้โปรแกรมต่างๆ รั่วไหลข้อมูลในขณะที่ทำงาน ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลนั้นได้ ระบบคอมพิวเตอร์สมัยใหม่ได้รับการตั้งค่าเพื่อให้โปรแกรมไม่สามารถเข้าถึงข้อมูลจากโปรแกรมอื่นได้ เว้นแต่ผู้ใช้จะยอมให้เกิดขึ้นโดยเฉพาะ ช่องโหว่ Meltdown และ Spectre ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลโปรแกรมโดยไม่ได้รับอนุญาตจากผู้ใช้ (และโดยปกติโดยที่ผู้ใช้ไม่ทราบ) ซึ่งหมายความว่าผู้โจมตีอาจเข้าถึงรูปถ่ายส่วนตัวของคุณ อีเมล รหัสผ่านใดๆ ที่คุณจัดเก็บไว้ในตัวจัดการรหัสผ่านของเบราว์เซอร์ ข้อความโต้ตอบแบบทันที เอกสารบริษัท การคืนภาษี และอื่นๆ

การ ล่มสลาย อนุญาตให้แอปพลิเคชันใด ๆ เข้าถึงหน่วยความจำระบบทั้งหมดได้ จำเป็นต้องมีแพตช์ระบบปฏิบัติการและการอัพเดตเฟิร์มแวร์เพื่อบรรเทาช่องโหว่นี้

ทำไมถึงเรียกว่าล่มสลาย?
ช่องโหว่นี้ "ละลาย" ขอบเขตการรักษาความปลอดภัยที่มีอยู่เพื่อปกป้องข้อมูลที่ละเอียดอ่อนของคุณ

ในทางกลับกัน Spectre อนุญาตให้แอปพลิเคชันหนึ่งบังคับให้แอปพลิเคชันอื่นเข้าถึงหน่วยความจำบางส่วน ช่องโหว่นี้หาประโยชน์ได้ยากกว่า Meltdown แต่ก็ยากที่จะบรรเทาได้

ทำไมถึงเรียกว่า Spectre?
ชื่อนี้ขึ้นอยู่กับกระบวนการที่เป็นสาเหตุของช่องโหว่ "การดำเนินการเก็งกำไร" (เพราะว่าแก้ไขยากและจะหลอกหลอนเราไปอีกนาน!)

ผู้จำหน่ายฮาร์ดแวร์รายใดบ้างที่ได้รับผลกระทบ

สถาปัตยกรรมหลักของ Intel และโปรเซสเซอร์ AMD ได้รับผลกระทบอย่างกว้างขวางที่สุด อย่างไรก็ตาม มีผู้ให้บริการที่ได้รับผลกระทบมากกว่า 131 รายสำหรับช่องโหว่เหล่านี้

อุปกรณ์ใดบ้างที่ได้รับผลกระทบจาก Meltdown
คอมพิวเตอร์เดสก์ท็อป แล็ปท็อป และคลาวด์ล้วนได้รับผลกระทบจาก Meltdown โปรเซสเซอร์ของ Intel ทุกตัวที่ผลิตหลังปี 1995 ที่ใช้การประมวลผลแบบคาดเดาอาจได้รับผลกระทบ ยกเว้น Intel Itanium และ Atom โปรเซสเซอร์ Itanium และ Atom ที่ผลิตหลังปี 2013 จะไม่ได้รับผลกระทบจาก Meltdown

อุปกรณ์ใดบ้างที่ได้รับผลกระทบจาก Spectre
Spectre ส่งผลกระทบต่อเดสก์ท็อป แล็ปท็อป เซิร์ฟเวอร์คลาวด์ และสมาร์ทโฟน โปรเซสเซอร์ที่ทันสมัยทั้งหมดสามารถได้รับผลกระทบจากช่องโหว่ของ Spectre Spectre ได้รับการยืนยันในโปรเซสเซอร์ Intel, AMD และ ARM

จะป้องกันเซิร์ฟเวอร์ Windows ของคุณจากช่องโหว่ Meltdown และ Spectre ได้อย่างไร

สิ่งสำคัญคือต้องตรวจสอบเพื่อดูว่าระบบ windows ของคุณมีช่องโหว่หรือไม่ หากเป็นเช่นนั้น คุณจะต้องดำเนินการ เราได้ทำให้มันง่ายสำหรับคุณโดยให้คำแนะนำทีละขั้นตอนแก่คุณ

จะตรวจสอบได้อย่างไรว่าเซิร์ฟเวอร์ Windows ของคุณได้รับการป้องกันจากช่องโหว่เหล่านี้หรือไม่

  1. เข้าสู่ระบบเซิร์ฟเวอร์ของคุณและเรียกใช้ Windows PowerShell ในฐานะผู้ดูแลระบบ และเรียกใช้คำสั่งต่อไปนี้:
     ติดตั้ง-Module SpeculationControl

  2. พิมพ์ “ Y ” แล้วกด Enter เพื่อเปิดใช้งานผู้ให้บริการ NuGet
  3. พิมพ์ “ Y ” แล้วกด Enter หากคุณถูกถามว่าต้องการติดตั้งแพ็คเกจจากแหล่งที่ไม่น่าเชื่อถือหรือไม่ – ไม่เป็นไร!
  4. เรียกใช้คำสั่งต่อไปนี้เพื่อบันทึกนโยบายการดำเนินการปัจจุบัน
     $SaveExecutionPolicy = รับ-ExecutionPolicy
  5. เรียกใช้คำสั่งต่อไปนี้เพื่อให้แน่ใจว่าคุณสามารถนำเข้าโมดูลได้ในขั้นตอนถัดไป
     Set-ExecutionPolicy RemoteSigned -Scope ปัจจุบันผู้ใช้
  6. พิมพ์ “ Y ” แล้วกด Enter เพื่อยืนยันการเปลี่ยนแปลงนโยบายการดำเนินการ
  7. เรียกใช้คำสั่งต่อไปนี้เพื่อนำเข้าโมดูล SpeculationControl
     นำเข้า-โมดูล SpeculationControl
  8. สุดท้าย ให้รันคำสั่งต่อไปนี้เพื่อให้แน่ใจว่าอุปกรณ์ของคุณมีการอัปเดตที่จำเป็น
     รับการเก็งกำไรControlSettings

คุณจะสามารถดูว่าเซิร์ฟเวอร์ของคุณยังคงเสี่ยงต่อข้อบกพร่องด้านความปลอดภัย Meltdown และ Spectre หรือไม่ สกรีนช็อตนี้แสดงระบบ Windows ที่ไม่ได้รับการปกป้อง

จะป้องกันเซิร์ฟเวอร์ Windows ของคุณจากช่องโหว่เหล่านี้ได้อย่างไร

Microsoft ได้ทำงานร่วมกับผู้จำหน่าย CPU และเผยแพร่การอัปเดตด้านความปลอดภัยที่สำคัญ คุณจะต้อง:

  1. ติดตั้งการอัปเดตความปลอดภัยทั้งหมด
  2. ใช้การอัปเดตเฟิร์มแวร์ที่เกี่ยวข้องจากผู้ผลิตอุปกรณ์ OEM

เมื่อคุณตรวจหา Windows Updates คุณอาจไม่ได้รับการอัปเดตด้านความปลอดภัยที่เผยแพร่ในเดือนมกราคม 2018 หากต้องการรับการอัปเดตเหล่านี้ คุณจะต้องเพิ่มคีย์รีจิสทรีต่อไปนี้บนเซิร์ฟเวอร์เสมือนของคุณ:

คีย์ = “HKEY_LOCAL_MACHINE” คีย์ย่อย = “SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” ค่า =”cadca5fe-87d3-4b96-b7fb-a231484277cc”
ประเภท= “REG_DWORD”
ข้อมูล = “0x00000000”

เมื่อคุณเพิ่มคีย์รีจิสทรีนี้แล้ว ให้รีบูตเซิร์ฟเวอร์ของคุณ หลังจากที่ระบบของคุณเริ่มทำงานอีกครั้ง ให้ตรวจสอบการอัปเดต ติดตั้งการอัปเดตใหม่ทั้งหมดและรีบูตเซิร์ฟเวอร์อีกครั้ง

นอกจากนี้ คุณจะต้องตรวจสอบให้แน่ใจว่าคุณได้ติดตั้งแพตช์ความปลอดภัยดังต่อไปนี้:

Windows Server เวอร์ชัน 1709 (การติดตั้งเซิร์ฟเวอร์หลัก) – 4056892
Windows Server 2016 – 4056890
Windows Server 2012 R2 – 4056898
Windows Server 2008 R2 – 4056897

หากคุณยังคงเห็นว่าไม่ได้ติดตั้งโปรแกรมแก้ไขเหล่านี้ คุณสามารถดาวน์โหลดได้จากลิงก์ที่กล่าวถึงในรหัสอัปเดต

เมื่อคุณได้อัปเดตระบบและใช้การอัปเดตเฟิร์มแวร์ที่จำเป็นจากผู้ผลิตอุปกรณ์ OEM แล้ว ให้เรียกใช้คำสั่งต่อไปนี้อีกครั้งจาก Windows PowerShell เพื่อให้แน่ใจว่าเซิร์ฟเวอร์ของคุณปลอดภัย:

$SaveExecutionPolicy = รับ-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned -Scope ปัจจุบันผู้ใช้
นำเข้า-โมดูล SpeculationControl
รับการเก็งกำไรControlSettings
Set-ExecutionPolicy $SaveExecutionPolicy -Scope ปัจจุบันผู้ใช้

ตอนนี้คุณออกจากเขตอันตรายแล้ว! สกรีนช็อตนี้แสดงระบบ Windows ที่ได้รับการปกป้องจากช่องโหว่ Spectre และ Meltdown

จะป้องกันเซิร์ฟเวอร์ Linux จากช่องโหว่ Meltdown และ Spectre ได้อย่างไร

เนื่องจากช่องโหว่เหล่านี้ใช้ฮาร์ดแวร์ ระบบ Linux เกือบทั้งหมดจึงได้รับผลกระทบจากช่องโหว่เหล่านี้ ลีนุกซ์รุ่นต่างๆ ได้ออกอัพเดตซอฟต์แวร์ที่ช่วยบรรเทาปัญหา Meltdown และ Spectre โดยการปิดใช้งานหรือแก้ไขพฤติกรรมของโปรเซสเซอร์ที่นำไปสู่ช่องโหว่ ระบบ Linux ยังไม่ได้รับการแก้ไขอย่างสมบูรณ์

ด้านล่างนี้คือรายการของการแจกจ่าย Linux ที่เผยแพร่การอัปเดตเคอร์เนลพร้อมการลดบางส่วน:

  • CentOS 7: เคอร์เนล 3.10.0-693.11.6
  • CentOS 6: เคอร์เนล 2.6.32-696.18.7
  • Fedora 27: เคอร์เนล 4.14.11-300
  • Fedora 26: เคอร์เนล 4.14.11-200
  • Ubuntu 17.10: เคอร์เนล 4.13.0-25-generic
  • Ubuntu 16.04: เคอร์เนล 4.4.0-109-generic
  • Ubuntu 14.04: เคอร์เนล 3.13.0-139-generic
  • เดเบียน 9: เคอร์เนล 4.9.0-5-amd64
  • เดเบียน 8: เคอร์เนล 3.16.0-5-amd64
  • เดเบียน 7: เคอร์เนล 3.2.0-5-amd64
  • Fedora 27 Atomic: เคอร์เนล 4.14.11-300.fc27.x86_64
  • CoreOS: เคอร์เนล 4.14.11-coreos

หากเวอร์ชันเคอร์เนลได้รับการอัปเดตเป็นเวอร์ชันที่กล่าวถึงข้างต้นเป็นอย่างน้อย แสดงว่ามีการใช้การอัปเดตบางรายการ การแจกจ่าย FreeBSD ณ วันที่ 12 มกราคม 2018 ยังไม่ได้เผยแพร่การอัปเดตเคอร์เนลใดๆ Ubuntu 17.04 จะถึง EOL (End Of Life) ในวันที่ 13 มกราคม 2018 และจะไม่ได้รับการอัปเดตใดๆ

ด้านล่างนี้คือขั้นตอนที่คุณสามารถใช้ตรวจสอบและแก้ไขช่องโหว่ของ Spectre และ Meltdown ใน CentOS 7.x

ในการตรวจสอบช่องโหว่ ให้รันคำสั่งด้านล่าง:

  1. เพื่อตรวจสอบเวอร์ชันของระบบปฏิบัติการปัจจุบัน
    lsb_release -d
  2. เพื่อตรวจสอบเวอร์ชันเคอร์เนลปัจจุบัน
    uname -a
  3. เพื่อตรวจสอบว่าระบบมีช่องโหว่หรือไม่
    cd /tmp
    wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
    sudo sh spectre-meltdown-checker.sh

    ภาพหน้าจอด้านบนเป็นผลลัพธ์จาก CentOS 7.x เมื่อไม่มีการแก้ไขช่องโหว่ Meltdown/Spectre

  4. คุณจะต้องเรียกใช้คำสั่งด้านล่างเพื่อติดตั้งโปรแกรมแก้ไขใหม่
    sudo yum update
  5. สาเหตุหลักของการอัปเดต yum คือเราจำเป็นต้องอัปเดตเวอร์ชันเคอร์เนล เมื่อติดตั้งแพตช์แล้ว ให้รีบูตโดยใช้คำสั่งด้านล่าง
    รีบูต
  6. เมื่อคอมพิวเตอร์ของคุณเริ่มทำงานอีกครั้ง คุณสามารถตรวจสอบช่องโหว่อีกครั้งโดยใช้คำสั่งด้านล่าง
    sudo sh spectre-meltdown-checker.sh

    คุณจะเห็นว่าภาพหน้าจอนี้แสดงว่าไม่มีช่องโหว่สำหรับ Spectre Variant 1 และ Meltdown

บทสรุป

Meltdown และ Spectre เป็นช่องโหว่ที่สำคัญ พวกเขายังคงถูกเอารัดเอาเปรียบและผลกระทบโดยรวมของความเสียหายยังไม่ได้รับการจัดตั้งขึ้น

เราขอแนะนำอย่างยิ่งให้ติดตั้งระบบของคุณกับระบบปฏิบัติการล่าสุดและอัพเดตเฟิร์มแวร์ล่าสุดที่ออกโดยผู้ขาย