Защитите свой сервер от уязвимостей Meltdown и Spectre

Опубликовано: 2018-01-16

Возможно, вы не знаете, что большинство компьютерных процессоров в мире уязвимы для уязвимостей Meltdown и Spectre. Что такое Meltdown и Spectre и что нужно сделать, чтобы защитить свой сервер? В этой статье мы рассмотрим эти уязвимости и поговорим об основных производителях оборудования, на которые они влияют. Самое главное, мы объясним шаги, которые вы должны предпринять на своих серверах Windows и Linux для защиты ваших данных.

Давайте погрузимся!

Что такое уязвимости Meltdown и Spectre?

Meltdown и Spectre — критические уязвимости в процессорах компьютеров. Они позволяют программам передавать информацию во время работы, делая эту информацию доступной для хакеров. Современные компьютерные системы устроены так, что программы не могут получить доступ к данным других программ, если только пользователь специально не разрешит это. Уязвимости Meltdown и Spectre позволяют злоумышленнику получить доступ к данным программы без разрешения пользователя (и, как правило, без ведома пользователя). Это означает, что злоумышленник потенциально может получить доступ к вашим личным фотографиям, электронной почте, любым паролям, которые вы сохранили в диспетчере паролей вашего браузера, мгновенным сообщениям, корпоративным документам, налоговым декларациям и многому другому.

Meltdown позволяет любому приложению получить доступ ко всей системной памяти. Для устранения этой уязвимости требуются исправления операционной системы и обновления прошивки.

Почему это называется «Расплавление»?
Эта уязвимость «расплавляет» границы безопасности, установленные для защиты вашей конфиденциальной информации.

Spectre , с другой стороны, позволяет одному приложению заставить другое приложение получить доступ к некоторой части его памяти. Эту уязвимость сложнее использовать, чем Meltdown, но ее также сложнее смягчить.

Почему он называется Спектр?
Название основано на процессе, который является основной причиной уязвимости, «спекулятивное выполнение». (Кроме того, потому что это трудно исправить, и это будет преследовать нас некоторое время!)

Какие поставщики оборудования затронуты?

Больше всего страдают архитектура ядра Intel и процессоры AMD. Однако существует более 131 поставщика, затронутого этими уязвимостями.

Какие устройства затронуты Meltdown?
Настольные компьютеры, ноутбуки и облачные компьютеры подвержены Meltdown. Потенциально затронут каждый процессор Intel, выпущенный после 1995 года и использующий спекулятивное выполнение, за исключением Intel Itanium и Atom. Процессоры Itanium и Atom, выпущенные после 2013 года, не подвержены Meltdown.

На какие устройства влияет Spectre?
Spectre поражает настольные компьютеры, ноутбуки, облачные серверы и смартфоны. Все современные процессоры могут быть подвержены уязвимости Spectre. Spectre был подтвержден на процессорах Intel, AMD и ARM.

Как защитить сервер Windows от уязвимостей Meltdown и Spectre?

важно проверить, не уязвима ли ваша система Windows. Если это так, вам нужно принять меры. Мы упростили вам задачу, предоставив пошаговые инструкции.

Как проверить, защищен ли ваш сервер Windows от этих уязвимостей?

  1. Войдите на свой сервер, запустите Windows PowerShell от имени администратора и выполните следующую команду:
     Install-Module SpeculationControl

  2. Введите « Y » и нажмите Enter, чтобы включить поставщика NuGet.
  3. Введите « Y » и нажмите Enter, если вас спросят, хотите ли вы установить пакет из ненадежного источника — это нормально!
  4. Выполните следующую команду, чтобы сохранить текущую политику выполнения.
     $SaveExecutionPolicy = Get-ExecutionPolicy
  5. Выполните следующую команду, чтобы убедиться, что вы можете импортировать модуль на следующем шаге.
     Set-ExecutionPolicy RemoteSigned -Scope Currentuser
  6. Введите « Y » и нажмите Enter, чтобы подтвердить изменение политики выполнения.
  7. Выполните следующую команду, чтобы импортировать модуль SpeculationControl.
     Import-Module SpeculationControl
  8. Наконец, выполните следующую команду, чтобы убедиться, что на вашем устройстве установлены необходимые обновления.
     Get-SpeculationControlSettings

Вы сможете увидеть, уязвим ли ваш сервер для уязвимостей Meltdown и Spectre. На этом снимке экрана показана незащищенная система Windows.

Как защитить свой сервер Windows от этих уязвимостей?

Microsoft работала с поставщиками ЦП и выпустила важные обновления безопасности. Вам нужно будет:

  1. Установите все обновления безопасности.
  2. Примените применимое обновление микропрограммы от производителя OEM-устройства.

При проверке обновлений Windows вы можете не получить обновления безопасности, выпущенные в январе 2018 года. Чтобы получить эти обновления, вам потребуется добавить следующий раздел реестра на ваш виртуальный сервер:

Ключ = «HKEY_LOCAL_MACHINE» Подключ = «ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ\Microsoft\Windows\CurrentVersion\QualityCompat» Значение = «cadca5fe-87d3-4b96-b7fb-a231484277cc»
Тип = «REG_DWORD»
Данные = «0x00000000»

После добавления этого раздела реестра перезагрузите сервер. После того, как ваша система снова запустится, проверьте наличие обновлений. Установите все новые обновления и снова перезагрузите сервер.

Вам также необходимо убедиться, что у вас установлены следующие исправления безопасности:

Windows Server, версия 1709 (установка ядра сервера) — 4056892
Windows Server 2016 — 4056890
Windows Server 2012 R2 — 4056898
Windows Server 2008 R2 — 4056897

Если вы по-прежнему видите, что эти исправления не установлены, вы можете загрузить их по ссылкам, указанным в коде обновления.

После обновления системы и применения необходимых обновлений прошивки от производителя OEM-устройства снова выполните следующие команды из Windows PowerShell, чтобы убедиться, что ваш сервер в безопасности:

$SaveExecutionPolicy = Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned -Scope Currentuser
Import-Module SpeculationControl
Get-SpeculationControlSettings
Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Теперь вы вне опасной зоны! На этом снимке экрана показана система Windows, защищенная от уязвимостей Spectre и Meltdown.

Как защитить сервер Linux от уязвимостей Meltdown и Spectre?

Поскольку эти уязвимости основаны на оборудовании, им подвержены почти все системы Linux. Многие дистрибутивы Linux выпустили обновления программного обеспечения, которые смягчают последствия Meltdown и Spectre, отключая или устраняя поведение процессора, приводящее к уязвимостям. Системы Linux еще не полностью исправлены.

Ниже приведен список дистрибутивов Linux, выпустивших обновления ядра с частичным смягчением последствий:

  • CentOS 7: ядро ​​3.10.0-693.11.6
  • CentOS 6: ядро ​​2.6.32-696.18.7
  • Fedora 27: ядро ​​4.14.11-300
  • Fedora 26: ядро ​​4.14.11-200
  • Ubuntu 17.10: ядро ​​4.13.0-25-универсальное
  • Ubuntu 16.04: ядро ​​4.4.0-109-универсальное
  • Ubuntu 14.04: ядро ​​3.13.0-139-универсальное
  • Debian 9: ядро ​​4.9.0-5-amd64
  • Debian 8: ядро ​​3.16.0-5-amd64
  • Debian 7: ядро ​​3.2.0-5-amd64
  • Fedora 27 Atomic: ядро ​​4.14.11-300.fc27.x86_64
  • CoreOS: ядро ​​4.14.11-coreos

Если версия ядра обновлена ​​хотя бы до указанной выше версии, то некоторые обновления были применены. Дистрибутив FreeBSD по состоянию на 12 января 2018 г. до сих пор не выпускал никаких обновлений ядра. Ubuntu 17.04 достигает EOL (окончание срока службы) 13 января 2018 года и не будет получать никаких обновлений.

Ниже приведены шаги, которые вы можете предпринять, чтобы проверить и исправить уязвимости Spectre и Meltdown в CentOS 7.x.

Чтобы проверить наличие уязвимостей, выполните следующие команды:

  1. Проверить текущую версию ОС.
    lsb_release -d
  2. Проверить текущую версию ядра.
    uname -а
  3. Чтобы проверить, уязвима ли система или нет.
    компакт-диск /tmp
    wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
    sudo sh spectre-meltdown-checker.sh

    На приведенном выше снимке экрана показан результат работы CentOS 7.x без исправления уязвимостей Meltdown/Spectre.

  4. Вам нужно будет выполнить приведенные ниже команды, чтобы установить новый патч.
    судо ням обновление
  5. Основная причина обновления yum заключается в том, что нам нужно обновить версию ядра. После установки исправлений перезагрузитесь с помощью приведенной ниже команды.
    перезагрузка
  6. Как только ваш компьютер снова загрузится, вы можете снова проверить наличие уязвимости, используя приведенную ниже команду.
    sudo sh spectre-meltdown-checker.sh

    Вы можете видеть, что этот снимок экрана показывает НЕУЯЗВИМОСТЬ для Spectre Variant 1 и Meltdown.

Вывод

Meltdown и Spectre являются критическими уязвимостями. Они продолжают эксплуатироваться, и общее воздействие их ущерба еще предстоит установить.

Мы настоятельно рекомендуем установить на ваши системы новейшие версии операционной системы и последние обновления встроенного ПО, выпущенные поставщиками.