Schützen Sie Ihren Server vor Meltdown- und Spectre-Schwachstellen
Veröffentlicht: 2018-01-16Sie wissen vielleicht nicht, dass die meisten Computerprozessoren der Welt für die Schwachstellen Meltdown und Spectre anfällig sind. Was sind Meltdown und Spectre und was sollten Sie tun, um Ihren Server zu schützen? In diesem Artikel werfen wir einen Blick auf diese Schwachstellen und sprechen über die großen betroffenen Hardwareanbieter. Am wichtigsten ist, dass wir die Schritte erläutern, die Sie auf Ihren Windows- und Linux-Servern unternehmen sollten, um Ihre Daten zu sichern.
Tauchen wir ein!
Was sind die Schwachstellen Meltdown und Spectre?
Meltdown und Spectre sind kritische Schwachstellen in Computerprozessoren. Sie erlauben Programmen, während ihrer Ausführung Informationen zu verlieren, und stellen diese Informationen Hackern zur Verfügung. Moderne Computersysteme sind so eingerichtet, dass Programme nicht auf Daten anderer Programme zugreifen können, es sei denn, der Benutzer erlaubt dies ausdrücklich. Die Sicherheitslücken Meltdown und Spectre ermöglichen es einem Angreifer, ohne Erlaubnis des Benutzers (und normalerweise ohne Wissen des Benutzers) auf Programmdaten zuzugreifen. Dies bedeutet, dass ein Angreifer möglicherweise auf Ihre persönlichen Fotos, E-Mails, alle Passwörter zugreifen kann, die Sie im Passwort-Manager Ihres Browsers gespeichert haben, Sofortnachrichten, Unternehmensdokumente, Steuererklärungen und mehr.
Meltdown erlaubt jeder Anwendung den Zugriff auf den gesamten Systemspeicher. Betriebssystem-Patches und Firmware-Updates sind erforderlich, um diese Schwachstelle zu mindern.
Warum heißt es Meltdown?
Diese Schwachstelle „schmilzt“ Sicherheitsgrenzen, die zum Schutz Ihrer sensiblen Informationen vorhanden sind.
Spectre hingegen erlaubt es einer Anwendung, eine andere Anwendung zu zwingen, auf einen Teil ihres Speichers zuzugreifen. Diese Schwachstelle ist schwerer auszunutzen als Meltdown, aber auch schwerer zu entschärfen.
Warum heißt es Spectre?
Der Name basiert auf dem Prozess, der die eigentliche Ursache der Schwachstelle ist, „spekulative Ausführung“. (Auch weil es schwer zu beheben ist und uns noch einige Zeit verfolgen wird!)
Welche Hardwarehersteller sind betroffen?
Am stärksten betroffen sind Intels Core-Architektur und AMD-Prozessoren. Es gibt jedoch mehr als 131 betroffene Anbieter für diese Schwachstellen.
Welche Geräte sind von Meltdown betroffen?
Desktop-, Laptop- und Cloud-Computer sind alle von Meltdown betroffen. Jeder Intel-Prozessor, der nach 1995 hergestellt wurde und spekulative Ausführung verwendet, ist potenziell betroffen, mit Ausnahme von Intel Itanium und Atom. Itanium- und Atom-Prozessoren, die nach 2013 hergestellt wurden, sind von Meltdown nicht betroffen.
Welche Geräte sind von Spectre betroffen?
Spectre betrifft Desktops, Laptops, Cloud-Server und Smartphones. Alle modernen Prozessoren können von der Spectre-Schwachstelle betroffen sein. Spectre wurde auf Intel-, AMD- und ARM-Prozessoren bestätigt.
Wie schützen Sie Ihren Windows-Server vor den Schwachstellen Meltdown und Spectre?
Es ist wichtig zu überprüfen, ob Ihr Windows-System anfällig ist. Wenn dies der Fall ist, müssen Sie Maßnahmen ergreifen. Wir haben es Ihnen leicht gemacht, indem wir Ihnen Schritt-für-Schritt-Anleitungen gegeben haben.
Wie können Sie überprüfen, ob Ihr Windows-Server vor diesen Schwachstellen geschützt ist?
- Melden Sie sich bei Ihrem Server an, führen Sie Windows PowerShell als Administrator aus und führen Sie den folgenden Befehl aus:
Install-Modul SpeculationControl
- Geben Sie „ Y “ ein und drücken Sie die Eingabetaste, um den NuGet-Anbieter zu aktivieren.
- Geben Sie „ Y “ ein und drücken Sie die Eingabetaste, wenn Sie gefragt werden, ob Sie ein Paket aus einer nicht vertrauenswürdigen Quelle installieren möchten – das ist in Ordnung!
- Führen Sie den folgenden Befehl aus, um die aktuelle Ausführungsrichtlinie zu speichern.
$SaveExecutionPolicy = Get-ExecutionPolicy
- Führen Sie den folgenden Befehl aus, um sicherzustellen, dass Sie das Modul im nächsten Schritt importieren können.
Set-ExecutionPolicy RemoteSigned -Scope Currentuser
- Geben Sie „ Y “ ein und drücken Sie die Eingabetaste, um die Änderung der Ausführungsrichtlinie zu bestätigen.
- Führen Sie den folgenden Befehl aus, um das SpeculationControl-Modul zu importieren.
Import-Modul SpeculationControl
- Führen Sie abschließend den folgenden Befehl aus, um sicherzustellen, dass Ihr Gerät über die erforderlichen Updates verfügt.
Get-SpeculationControlSettings
Sie können sehen, ob Ihr Server immer noch anfällig für die Sicherheitslücken Meltdown und Spectre ist. Dieser Screenshot zeigt ein nicht geschütztes Windows-System.
Wie können Sie Ihren Windows-Server vor diesen Schwachstellen schützen?
Microsoft hat mit CPU-Anbietern zusammengearbeitet und wichtige Sicherheitsupdates veröffentlicht. Du wirst brauchen:

- Installieren Sie alle Sicherheitsupdates.
- Wenden Sie ein entsprechendes Firmware-Update vom OEM-Gerätehersteller an.
Wenn Sie nach Windows-Updates suchen, erhalten Sie möglicherweise nicht die im Januar 2018 veröffentlichten Sicherheitsupdates. Um diese Updates zu erhalten, müssen Sie den folgenden Registrierungsschlüssel auf Ihrem virtuellen Server hinzufügen:
Schlüssel= „HKEY_LOCAL_MACHINE“ Unterschlüssel= „SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat“ Wert=“cadca5fe-87d3-4b96-b7fb-a231484277cc“
Typ = „REG_DWORD“
Daten = „0x00000000“
Nachdem Sie diesen Registrierungsschlüssel hinzugefügt haben, starten Sie Ihren Server neu. Suchen Sie nach dem Neustart Ihres Systems nach Updates. Installieren Sie alle neuen Updates und starten Sie den Server erneut neu.
Sie müssen auch sicherstellen, dass Sie die folgenden Sicherheitspatches installiert haben:
Windows Server, Version 1709 (Server Core-Installation) – 4056892
Windows Server 2016 – 4056890
Windows Server 2012 R2 – 4056898
Windows Server 2008 R2 – 4056897
Wenn Sie immer noch sehen, dass diese Patches nicht installiert sind, können Sie sie von den im Update-Code genannten Links herunterladen.
Nachdem Sie das System aktualisiert und erforderliche Firmware-Updates vom OEM-Gerätehersteller angewendet haben, führen Sie die folgenden Befehle erneut über Windows PowerShell aus, um sicherzustellen, dass Ihr Server sicher ist:
$SaveExecutionPolicy = Get-ExecutionPolicy Set-ExecutionPolicy RemoteSigned -Scope Currentuser Import-Modul SpeculationControl Get-SpeculationControlSettings Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser
Sie sind jetzt aus der Gefahrenzone! Dieser Screenshot zeigt ein Windows-System, das vor den Schwachstellen Spectre und Meltdown geschützt ist.
Wie schützt man einen Linux-Server vor den Schwachstellen Meltdown und Spectre?
Da diese Sicherheitslücken hardwarebasiert sind, sind fast alle Linux-Systeme davon betroffen. Viele Linux-Distributionen haben Software-Updates veröffentlicht, die Meltdown und Spectre mindern, indem sie das Prozessorverhalten, das zu den Schwachstellen führt, deaktivieren oder umgehen. Linux-Systeme sind noch nicht vollständig gepatcht.
Nachfolgend finden Sie eine Liste der Linux-Distributionen, die Kernel-Updates mit teilweiser Risikominderung veröffentlicht haben:
- CentOS 7: Kernel 3.10.0-693.11.6
- CentOS 6: Kernel 2.6.32-696.18.7
- Fedora 27: Kernel 4.14.11-300
- Fedora 26: Kernel 4.14.11-200
- Ubuntu 17.10: Kernel 4.13.0-25-generisch
- Ubuntu 16.04: Kernel 4.4.0-109-generisch
- Ubuntu 14.04: Kernel 3.13.0-139-generisch
- Debian 9: Kernel 4.9.0-5-amd64
- Debian 8: Kernel 3.16.0-5-amd64
- Debian 7: Kernel 3.2.0-5-amd64
- Fedora 27 Atomic: Kernel 4.14.11-300.fc27.x86_64
- CoreOS: Kernel 4.14.11-coreos
Wenn die Kernel-Version mindestens auf die oben genannte Version aktualisiert wird, wurden einige Updates angewendet. Die FreeBSD-Distribution hat mit Stand vom 12. Januar 2018 immer noch keine Kernel-Updates veröffentlicht. Ubuntu 17.04 erreicht am 13. Januar 2018 das EOL (End Of Life) und erhält keine Updates.
Im Folgenden finden Sie die Schritte, die Sie unternehmen können, um Spectre- und Meltdown-Schwachstellen in CentOS 7.x zu überprüfen und zu beheben.
Führen Sie die folgenden Befehle aus, um nach Schwachstellen zu suchen:
- So überprüfen Sie die aktuelle Betriebssystemversion.
lsb_release -d - Um die aktuelle Kernel-Version zu überprüfen.
uname -a - Um zu überprüfen, ob das System anfällig ist oder nicht.
CD/tmp
wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
sudo sh spectre-meltdown-checker.shDer obige Screenshot ist die Ausgabe von CentOS 7.x, wenn es nicht mit dem Fix für die Meltdown/Spectre-Schwachstellen gepatcht wurde.
- Sie müssen die folgenden Befehle ausführen, um den neuen Patch zu installieren.
sudo yum aktualisieren - Der Hauptgrund für das Yum-Update ist, dass wir die Kernel-Version aktualisieren müssen. Sobald die Patches installiert sind, starten Sie mit dem folgenden Befehl neu.
Neustart - Sobald Ihr Computer wieder hochfährt, können Sie mit dem folgenden Befehl erneut nach der Schwachstelle suchen.
sudo sh spectre-meltdown-checker.sh
Sie können sehen, dass dieser Screenshot NOT VULNERABLE für Spectre Variant 1 und Meltdown zeigt.
Fazit
Meltdown und Spectre sind kritische Schwachstellen. Sie werden weiterhin ausgebeutet, und die Gesamtauswirkung ihres Schadens muss noch ermittelt werden.
Wir empfehlen dringend, Ihre Systeme mit dem neuesten Betriebssystem und den neuesten Firmware-Updates, die von den Anbietern veröffentlicht wurden, gepatcht zu halten.