В первый вторник 2018 года профильные новостные издания сообщили о двух уязвимостях в процессорах: Meltdown и Spectre.

В переводе с английского Meltdown – это расплавление, крах, кризис. А Spectre – призрак, привидение, дурное предчувствие.

Эти уязвимости в оборудовании позволяют программам украсть данные, которые обрабатываются в текущий момент на компьютере. Программы не должны читать данные других программ, но зловредные программы могут использовать уязвимости Meltdown и Spectre для кражи секретов из оперативной памяти других процессов. Это могут быть и пароли, сохраненные в менеджере паролей или браузере, ваши личные фотографии, электронная почта, сообщения мессенджеров и даже критичные для бизнеса документы.

Meltdown и Spectre работают на персональных компьютерах, серверах, мобильных устройствах и в облачных средах. В зависимости от инфраструктуры облачных провайдеров, есть ненулевая вероятность кражи данных других потребителей услуги.

Что такое Meltdown и Spectre

Meltdown ломает наиболее фундаментальное понятие изоляции между пользовательскими приложениями и операционной системой. Эта атака позволяет программе получить доступ к памяти, и таким образом, к секретам, которые в ней хранятся, у других программ и операционной системы.

Если ваш компьютер имеет уязвимый процессор и запущен на необновленной патчами операционной системе, он не может безопасно работать с чувствительной информацией без шанса утечки.

Spectre разрушает изоляцию между различными приложениями. Это позволяет атаковать программы, написанные с учетом методологии безопасной разработки, которые следуют всем лучшим практикам написания кода. И в итоге похитить секреты из таких программ.

Уязвимости Spectre тяжелее использовать для атак по сравнению с Meltdown, но и обнаружить и защитится от таких атак также несравнимо сложнее.

Материалы исследователей можно прочитать по следующим ссылкам:

Видео, показывающее возможность чтения памяти при атаке Meltdown:

Какие системы уязвимы

Для атак Meltdown потенциально уязвимы все процессоры Intel, начиная с 1995 года выпуска, за исключением Itanium и Atom (до 2013 года). Существуют патчи для Windows и для Linux. Apple macOS пропатчена, начиная с версии 10.13.2.

Если вы используете серверные операционные системы Windows Server, после установки патчей, необходимо их активировать. По умолчанию, они не включаются на серверных ОС.

Amazon уже обновил AWS Linux guest kernels для защиты потребителей. Google рекомендует применить патчи и перезагрузить виртуальные машины, размещенные в их облаке. Microsoft применил патчи к своему облаку Azure.

Патчи применяют разделение виртуальных пространств памяти ядра и приложений. И на переключение контекста между этими пространствами занимает продолжительное время. Для специфичных задач потери производительности могут достигать до 30% в зависимости от модели процессора и вида программного обеспечения. Чем более серверный сценарий использования, тем более заметно падение производительности. В то же время тестирование в игровых сценариях не показывает сильного падения.

Meltdown также затрагивает и ядра Arm Cortex-A75 (например, будущий Qualcomm Snapdragon 845), Cortex-A15, Cortex-A57 и Cortex-A72.

Существующие процессоры AMD не подвержены атакам Meltdown.

Для атак Spectre потенциально уязвимы процессоры Intel, AMD (в том числе AMD Ryzen, AMD FX и AMD Pro), Arm (Cortex-R7, Cortex-R8, Cortex-A8, Cortex-A9, Cortex-A15, Cortex-A17, Cortex-A57, Cortex-A72, Cortex-A73 и Cortex-A75).

Кроме применения патчей необходимо также обновление микрокода процессоров. Его необходимо получить от OEM производителей оборудования. И с этим могут возникнуть огромные проблемы. И потребуется перекомпиляция программ для исключения возможностей атак.

Защита Microsoft Azure

Большая часть инфраструктуры Microsoft Azure уже обновлена. Для полного применения настроек требуется перезагрузка пользовательских виртуальных машин. Многие пользователи уже получили уведомления о планируемом обслуживании в течение ближайших недель.

Microsoft придерживается соглашения об SLA для Availability Sets, VM Scale Sets и Cloud Services. Для отсутствия простоя сервисов виртуальные машины в этих наборах будут перегружаться поочередно.

Большинство потребителей Azure не заметят снижения производительности, связанного с применением патчей. Команда Azure работает над оптимизацией путей в подсистемах CPU и дискового I/O. Небольшое количество пользователей столкнется с деградацией скорости сетевых соединений. Ситуацию может исправить включение бесплатного функционала Azure Acceleration Networking для операционных систем Windows и Linux.

Защита операционных систем Windows

Microsoft выпустила две статьи в базе знаний, касающихся нового класса уязвимостей Meltdown и Spectre:

В обеих статьях приведены шаги для защиты операционных систем Windows 10, 8.1, 7 SP1 и Windows Server 1709, 2016, 2012 R2, 2012, 2008 R2, 2008.

Для клиентских операционных систем необходимо произвести три шага:

  • Перед применением патчей убедиться, что используется совместимый антивирус
  • Применить все патчи безопасности, включая внеочередной патч января 2018 года
  • Применить обновление прошивки BIOS/UEFI от производителя оборудования

Для серверных операционных систем шаги будут следующими:

  • Применить все патчи безопасности
  • Сделать необходимые изменения в конфигурации для активации защиты
  • Применить обновление прошивки BIOS/UEFI от производителя оборудования

Отдельно подчеркивается, что просто установки патчей недостаточно для того, чтобы получить защищенную серверную систему.

Как активировать защиту серверных операционных систем

Активация защиты может привести к потере производительности. Это зависит от модели процессора, чипсета и рабочих нагрузок, выполняемых на сервере. Microsoft рекомендует протестировать влияние на производительность в своем окружении и внести при необходимости изменения.

Ваши системы находятся под повышенным риском, если они относятся к следующим категориям:

  • Хосты виртуализации Hyper-V
  • Хосты служб удаленных рабочих столов RDSH
  • Физические хосты или виртуальные машины, выполняющие небезопасный код: небезопасные расширения для баз данных, веб-контент, контейнеры

Для включения защиты необходимы следующие изменения реестра:

Для отключения:

Для проверки включения защиты как в клиентских, так и в серверных системах необходимо использовать скрипт PowerShell:

Защита работает, если все пункты будут зелеными.

В моем случае нет полной поддержки со стороны оборудования.

Выводы

Позвольте немного пофилософствовать, как данные уязвимости повлияют на ИТ.

Во первых, необходимо понимать, что данный новый класс уязвимостей критичен для всех нас. Он затрагивает и обычных пользователей и инфраструктуру, в том числе облачную.

Во вторых, я уверен, что облачные провайдеры сделают все возможное, чтобы закрыть уязвимости как можно быстрее. Что они будут использовать для этого: полную замену оборудования, юридические методы давления на поставщиков процессоров, снижение тарифов на инфраструктуру с уязвимыми и потерявшими в производительности процессорами? Не так уж и важно. Они решат эту проблему.

Сложнее тем, кто вложился в локальную инфраструктуру. Они, скорее всего, так и будут использовать ее. И это может привести к различным утечкам.

Новый 2018 год начался для ИТ и ИБ напряженно. Следим за новостями!

Полезные ссылки

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

https://googleprojectzero.blogspot.ru/

Призрак краха. Или как уязвимости Meltdown и Spectre повлияют на ИТ?
Поделись с друзьями:
Дмитрий Узлов on EmailДмитрий Узлов on FacebookДмитрий Узлов on Linkedin
Руководитель направления проектов компании "Технополис".
MCSE - Cloud Platform and Infrastructure [Charter Member]
MCSE - Productivity

Помогаю компаниям создавать безопасную и надёжную среду для коллективной работы сотрудников, используя облачные технологии.
Метки:    

Отправить ответ

Please Login to comment

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

  Subscribe  
Уведомлять
Перейти к верхней панели