Sunucunuzu Meltdown ve Spectre Açıklarına Karşı Koruyun

Yayınlanan: 2018-01-16

Dünyadaki bilgisayar işlemcilerinin çoğunun Meltdown ve Spectre güvenlik açıklarına karşı savunmasız olduğunu bilmiyor olabilirsiniz. Meltdown ve Spectre nedir ve sunucunuzu korumak için ne yapmalısınız? Bu makalede, bu güvenlik açıklarına bir göz atacağız ve etkilenen başlıca donanım satıcılarından bahsedeceğiz. En önemlisi, verilerinizin güvenliğini sağlamak için Windows ve Linux sunucularınızda atmanız gereken adımları açıklayacağız.

Hadi dalalım!

Meltdown ve Spectre Güvenlik Açıkları nelerdir?

Meltdown ve Spectre, bilgisayar işlemcilerindeki kritik güvenlik açıklarıdır. Programların çalışırken bilgi sızdırmasına izin vererek bu bilgileri bilgisayar korsanlarının kullanımına sunarlar. Modern bilgisayar sistemleri, kullanıcı özellikle buna izin vermedikçe, programların diğer programlardan gelen verilere erişemeyeceği şekilde kurulur. Meltdown ve Spectre güvenlik açıkları, bir saldırganın program verilerine kullanıcının izni olmadan (ve genellikle kullanıcının bilgisi olmadan) erişmesini mümkün kılar. Bu, bir saldırganın kişisel fotoğraflarınıza, e-postanıza, tarayıcınızın şifre yöneticisinde sakladığınız şifrelere, anlık mesajlara, kurumsal belgelere, vergi beyannamelerine ve daha fazlasına potansiyel olarak erişebileceği anlamına gelir.

Meltdown , herhangi bir uygulamanın tüm sistem belleğine erişmesine izin verir. Bu güvenlik açığını azaltmak için işletim sistemi yamaları ve ürün yazılımı güncellemeleri gerekir.

Neden Meltdown deniyor?
Bu güvenlik açığı, hassas bilgilerinizi korumak için yürürlükte olan güvenlik sınırlarını "eritir".

Spectre ise bir uygulamanın başka bir uygulamayı belleğinin bir kısmına erişmeye zorlamasına izin verir. Bu güvenlik açığından yararlanmak Meltdown'dan daha zordur, ancak hafifletilmesi de daha zordur.

Neden Spectre deniyor?
Ad, güvenlik açığının temel nedeni olan "spekülatif yürütme" sürecine dayanmaktadır. (Ayrıca, düzeltilmesi zor olduğu ve bir süre bizi rahatsız edeceği için!)

Hangi donanım satıcıları etkilenir?

Intel'in çekirdek mimarisi ve AMD işlemcileri en çok etkilenenlerdir. Ancak, bu güvenlik açıklarından 131'den fazla etkilenen satıcı var.

Meltdown'dan hangi cihazlar etkilenir?
Masaüstü, dizüstü bilgisayar ve bulut bilgisayarların tümü Meltdown'dan etkilenir. 1995'ten sonra yapılan ve spekülatif yürütme kullanan her Intel işlemcisi, Intel Itanium ve Atom dışında potansiyel olarak etkilenir. 2013'ten sonra üretilen Itanium ve Atom işlemciler Meltdown'dan etkilenmez.

Hangi cihazlar Spectre'dan etkilenir?
Spectre masaüstü bilgisayarları, dizüstü bilgisayarları, bulut sunucularını ve akıllı telefonları etkiler. Tüm modern işlemciler Spectre güvenlik açığından etkilenebilir. Spectre Intel, AMD ve ARM işlemcilerde onaylandı.

Windows sunucunuzu Meltdown ve Spectre açıklarından nasıl korursunuz?

Windows sisteminizin savunmasız olup olmadığını kontrol etmek önemlidir. Eğer öyleyse, harekete geçmeniz gerekecek. Size adım adım talimatlar vererek işinizi kolaylaştırdık.

Windows sunucunuzun bu güvenlik açıklarına karşı korunup korunmadığını nasıl kontrol edebilirsiniz?

  1. Sunucunuzda oturum açın ve Windows PowerShell'i yönetici olarak çalıştırın ve aşağıdaki komutu çalıştırın:
     Kurulum Modülü Spekülasyon Kontrolü

  2. NuGet sağlayıcısını etkinleştirmek için “ Y ” yazın ve Enter tuşuna basın.
  3. Güvenilmeyen bir kaynaktan paket yüklemek isteyip istemediğiniz sorulursa “ Y ” yazın ve Enter'a basın - bunda bir sorun yok!
  4. Geçerli yürütme ilkesini kaydetmek için aşağıdaki komutu çalıştırın.
     $SaveExecutionPolicy = Get-ExecutionPolicy
  5. Modülü bir sonraki adımda içe aktarabildiğinizden emin olmak için aşağıdaki komutu çalıştırın.
     Set-ExecutionPolicy RemoteSigned -Scope Currentuser
  6. Yürütme ilkesi değişikliğini onaylamak için “ Y ” yazın ve Enter'a basın.
  7. SpeculationControl modülünü içe aktarmak için aşağıdaki komutu çalıştırın.
     Import-Modül Spekülasyon Kontrolü
  8. Son olarak, cihazınızın gerekli güncellemelere sahip olduğundan emin olmak için aşağıdaki komutu çalıştırın.
     Get-SpekülasyonKontrol Ayarları

Sunucunuzun Meltdown ve Spectre güvenlik açıklarına karşı hala savunmasız olup olmadığını görebileceksiniz. Bu ekran görüntüsü, korunmayan bir Windows sistemini göstermektedir.

Windows sunucunuzu bu güvenlik açıklarından nasıl korursunuz?

Microsoft, CPU satıcılarıyla birlikte çalıştı ve önemli güvenlik güncelleştirmeleri yayınladı. İhtiyacın olacak:

  1. Tüm güvenlik güncellemelerini yükleyin.
  2. OEM cihaz üreticisinden geçerli bir ürün yazılımı güncellemesi uygulayın.

Windows Güncellemelerini kontrol ettiğinizde Ocak 2018'de yayınlanan güvenlik güncellemelerini alamayabilirsiniz. Bu güncellemeleri alabilmek için sanal sunucunuza aşağıdaki kayıt defteri anahtarını eklemeniz gerekecektir:

Anahtar= “HKEY_LOCAL_MACHINE” Alt Anahtar= “YAZILIM\Microsoft\Windows\CurrentVersion\QualityCompat” Değer=”cadca5fe-87d3-4b96-b7fb-a231484277cc”
Tür= “REG_DWORD”
Veri= “0x00000000”

Bu kayıt defteri anahtarını ekledikten sonra sunucunuzu yeniden başlatın. Sisteminiz yeniden başladıktan sonra güncellemeleri kontrol edin. Tüm yeni güncellemeleri yükleyin ve sunucuyu yeniden başlatın.

Ayrıca aşağıdaki güvenlik yamalarının kurulu olduğundan emin olmanız gerekir:

Windows Server, sürüm 1709 (Sunucu Çekirdeği Kurulumu) – 4056892
Windows Sunucusu 2016 – 4056890
Windows Server 2012 R2 – 4056898
Windows Server 2008 R2 – 4056897

Hala bu yamaların kurulu olmadığını görüyorsanız, güncelleme kodunda belirtilen bağlantılardan indirebilirsiniz.

Sistemi güncelledikten ve OEM cihaz üreticisinden gerekli ürün yazılımı güncellemelerini uyguladıktan sonra, sunucunuzun güvenli olduğundan emin olmak için Windows PowerShell'den aşağıdaki komutları tekrar çalıştırın:

$SaveExecutionPolicy = Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned -Scope Currentuser
Import-Modül Spekülasyon Kontrolü
Get-SpekülasyonKontrol Ayarları
Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Artık tehlike bölgesinden çıktınız! Bu ekran görüntüsü, Spectre ve Meltdown güvenlik açıklarından korunan bir Windows sistemini gösterir.

Bir Linux sunucusunu Meltdown ve Spectre güvenlik açıklarından nasıl korursunuz?

Bu güvenlik açıkları donanım tabanlı olduğundan, hemen hemen tüm Linux sistemleri bunlardan etkilenir. Birçok Linux dağıtımı, güvenlik açıklarına yol açan işlemci davranışını devre dışı bırakarak veya bu davranışın çevresinde çalışarak Meltdown ve Spectre'ı azaltan yazılım güncellemeleri yayınladı. Linux sistemleri henüz tam olarak yamalı değil.

Kısmi azaltma ile çekirdek güncellemeleri yayınlayan Linux dağıtımlarının listesi aşağıdadır:

  • CentOS 7: çekirdek 3.10.0-693.11.6
  • CentOS 6: çekirdek 2.6.32-696.18.7
  • Fedora 27: çekirdek 4.14.11-300
  • Fedora 26: çekirdek 4.14.11-200
  • Ubuntu 17.10: çekirdek 4.13.0-25-genel
  • Ubuntu 16.04: çekirdek 4.4.0-109-genel
  • Ubuntu 14.04: çekirdek 3.13.0-139-genel
  • Debian 9: çekirdek 4.9.0-5-amd64
  • Debian 8: çekirdek 3.16.0-5-amd64
  • Debian 7: çekirdek 3.2.0-5-amd64
  • Fedora 27 Atom: çekirdek 4.14.11-300.fc27.x86_64
  • CoreOS: çekirdek 4.14.11-coreos

Çekirdek sürümü en azından yukarıda belirtilen sürüme güncellenirse, bazı güncellemeler uygulanmış demektir. 12 Ocak 2018 itibariyle FreeBSD dağıtımı hala herhangi bir çekirdek güncellemesi yayınlamadı. Ubuntu 17.04, 13 Ocak 2018'de EOL'ye (Ömür Sonu) ulaşıyor ve herhangi bir güncelleme almayacak.

CentOS 7.x'te Spectre ve Meltdown güvenlik açıklarını kontrol etmek ve düzeltmek için atabileceğiniz adımlar aşağıdadır.

Güvenlik açıklarını kontrol etmek için aşağıdaki komutları çalıştırın:

  1. Mevcut işletim sistemi sürümünü kontrol etmek için.
    lsb_release -d
  2. Mevcut çekirdek sürümünü kontrol etmek için.
    unname -a
  3. Sistemin savunmasız olup olmadığını kontrol etmek için.
    cd /tmp
    wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
    sudo sh spectre-meltdown-checker.sh

    Yukarıdaki ekran görüntüsü, Meltdown/Spectre güvenlik açıkları için düzeltme eklenmediğinde CentOS 7.x'in çıktısıdır.

  4. Yeni yamayı yüklemek için aşağıdaki komutları çalıştırmanız gerekecek.
    sudo yum güncellemesi
  5. Yum güncellemesinin ana nedeni, çekirdek sürümünü güncellememiz gerektiğidir. Yamalar yüklendikten sonra aşağıdaki komutu kullanarak yeniden başlatın.
    yeniden başlat
  6. Bilgisayarınız yeniden başladığında, aşağıdaki komutu kullanarak güvenlik açığını tekrar kontrol edebilirsiniz.
    sudo sh spectre-meltdown-checker.sh

    Bu ekran görüntüsünün Spectre Variant 1 ve Meltdown için KESİNLİKLE DEĞİL olduğunu görebilirsiniz.

Çözüm

Meltdown ve Spectre kritik güvenlik açıklarıdır. Sömürülmeye devam ediyorlar ve zararlarının genel etkisi henüz belirlenmedi.

Sistemlerinizi en son işletim sistemi ve satıcılar tarafından yayınlanan en son üretici yazılımı güncellemeleri ile yamalanmış halde tutmanızı önemle tavsiye ederiz.