Protégez votre serveur contre les vulnérabilités Meltdown et Spectre

Publié: 2018-01-16

Vous ne savez peut-être pas que la plupart des processeurs informatiques du monde sont vulnérables aux vulnérabilités Meltdown et Spectre. Que sont Meltdown et Spectre, et que devez-vous faire pour protéger votre serveur ? Dans cet article, nous examinerons ces vulnérabilités et parlerons des principaux fournisseurs de matériel concernés. Plus important encore, nous vous expliquerons les étapes à suivre sur vos serveurs Windows et Linux pour sécuriser vos données.

Plongeons-nous !

Quelles sont les vulnérabilités Meltdown et Spectre ?

Meltdown et Spectre sont des vulnérabilités critiques dans les processeurs informatiques. Ils permettent aux programmes de divulguer des informations lors de leur exécution, mettant ces informations à la disposition des pirates. Les systèmes informatiques modernes sont configurés de manière à ce que les programmes ne puissent pas accéder aux données d'autres programmes à moins que l'utilisateur ne l'autorise spécifiquement. Les vulnérabilités Meltdown et Spectre permettent à un attaquant d'accéder aux données du programme sans l'autorisation de l'utilisateur (et généralement à son insu). Cela signifie qu'un attaquant pourrait potentiellement accéder à vos photos personnelles, vos e-mails, tous les mots de passe que vous avez stockés dans le gestionnaire de mots de passe de votre navigateur, les messages instantanés, les documents d'entreprise, les déclarations de revenus, etc.

Meltdown permet à n'importe quelle application d'accéder à l'intégralité de la mémoire système. Des correctifs du système d'exploitation et des mises à jour du micrologiciel sont nécessaires pour atténuer cette vulnérabilité.

Pourquoi s'appelle-t-il Meltdown ?
Cette vulnérabilité « fait fondre » les barrières de sécurité qui sont en place pour protéger vos informations sensibles.

Spectre , d'autre part, permet à une application de forcer une autre application à accéder à une partie de sa mémoire. Cette vulnérabilité est plus difficile à exploiter que Meltdown, mais également plus difficile à atténuer.

Pourquoi s'appelle-t-il Spectre ?
Le nom est basé sur le processus qui est à l'origine de la vulnérabilité, "l'exécution spéculative". (Aussi, parce que c'est difficile à réparer et qu'il nous hantera pendant un certain temps !)

Quels fournisseurs de matériel sont concernés ?

L'architecture de base d'Intel et les processeurs AMD sont les plus touchés. Cependant, plus de 131 fournisseurs sont concernés par ces vulnérabilités.

Quels appareils sont concernés par Meltdown ?
Les ordinateurs de bureau, portables et cloud sont tous affectés par Meltdown. Tous les processeurs Intel fabriqués après 1995 qui utilisent l'exécution spéculative sont potentiellement concernés, à l'exception d'Intel Itanium et Atom. Les processeurs Itanium et Atom fabriqués après 2013 ne sont pas concernés par Meltdown.

Quels appareils sont concernés par Spectre ?
Spectre affecte les ordinateurs de bureau, les ordinateurs portables, les serveurs cloud et les smartphones. Tous les processeurs modernes peuvent être affectés par la vulnérabilité Spectre. Spectre a été confirmé sur les processeurs Intel, AMD et ARM.

Comment protéger votre serveur Windows des vulnérabilités Meltdown et Spectre ?

il est important de vérifier si votre système Windows est vulnérable. Si c'est le cas, vous devrez prendre des mesures. Nous vous avons facilité la tâche en vous donnant des instructions étape par étape.

Comment vérifier si votre serveur Windows est protégé contre ces vulnérabilités ?

  1. Connectez-vous à votre serveur et exécutez Windows PowerShell en tant qu'administrateur et exécutez la commande suivante :
     SpeculationControl du module d'installation

  2. Tapez « Y » et appuyez sur Entrée pour activer le fournisseur NuGet.
  3. Tapez « Y » et appuyez sur Entrée si on vous demande si vous voulez installer un paquet à partir d'une source non fiable - c'est très bien !
  4. Exécutez la commande suivante pour enregistrer la stratégie d'exécution actuelle.
     $SaveExecutionPolicy = Get-ExecutionPolicy
  5. Exécutez la commande suivante pour vous assurer que vous pouvez importer le module à l'étape suivante.
     Set-ExecutionPolicy RemoteSigned -Scope Currentuser
  6. Tapez « Y » et appuyez sur Entrée pour confirmer le changement de politique d'exécution.
  7. Exécutez la commande suivante pour importer le module SpeculationControl.
     Import-Module SpeculationControl
  8. Enfin, exécutez la commande suivante pour vous assurer que votre appareil dispose des mises à jour nécessaires.
     Get-SpeculationControlSettings

Vous pourrez voir si votre serveur est toujours vulnérable aux failles de sécurité Meltdown et Spectre. Cette capture d'écran montre un système Windows qui n'est pas protégé.

Comment protéger votre serveur Windows de ces vulnérabilités ?

Microsoft a travaillé avec des fournisseurs de processeurs et a publié d'importantes mises à jour de sécurité. Tu devras:

  1. Installez toutes les mises à jour de sécurité.
  2. Appliquez une mise à jour du micrologiciel applicable du fabricant de l'appareil OEM.

Lorsque vous recherchez les mises à jour Windows, il est possible que vous ne receviez pas les mises à jour de sécurité publiées en janvier 2018. Pour obtenir ces mises à jour, vous devrez ajouter la clé de registre suivante sur votre serveur virtuel :

Clé= "HKEY_LOCAL_MACHINE" Sous- clé= "LOGICIEL\Microsoft\Windows\CurrentVersion\QualityCompat" Valeur="cadca5fe-87d3-4b96-b7fb-a231484277cc"
Tapez = "REG_DWORD"
Données = "0x00000000"

Une fois que vous avez ajouté cette clé de registre, redémarrez votre serveur. Après le redémarrage de votre système, recherchez les mises à jour. Installez toutes les nouvelles mises à jour et redémarrez à nouveau le serveur.

Vous devrez également vous assurer que les correctifs de sécurité suivants sont installés :

Windows Server, version 1709 (installation du noyau du serveur) – 4056892
Serveur Windows 2016 – 4056890
Windows Serveur 2012 R2 – 4056898
Windows Serveur 2008 R2 – 4056897

Si vous voyez toujours que ces correctifs ne sont pas installés, vous pouvez les télécharger à partir des liens mentionnés sur le code de mise à jour.

Une fois que vous avez mis à jour le système et appliqué les mises à jour de microprogramme requises du fabricant de l'appareil OEM, exécutez à nouveau les commandes suivantes à partir de Windows PowerShell pour vous assurer que votre serveur est sûr :

$SaveExecutionPolicy = Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned -Scope Currentuser
Import-Module SpeculationControl
Get-SpeculationControlSettings
Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Vous êtes hors de la zone de danger maintenant ! Cette capture d'écran montre un système Windows protégé contre les vulnérabilités Spectre et Meltdown.

Comment protéger un serveur Linux des vulnérabilités Meltdown et Spectre ?

Étant donné que ces vulnérabilités sont basées sur le matériel, presque tous les systèmes Linux en sont affectés. De nombreuses distributions Linux ont publié des mises à jour logicielles qui atténuent Meltdown et Spectre en désactivant ou en contournant le comportement du processeur qui conduit aux vulnérabilités. Les systèmes Linux ne sont pas encore complètement patchés.

Vous trouverez ci-dessous la liste des distributions Linux qui ont publié des mises à jour du noyau avec une atténuation partielle :

  • CentOS 7 : noyau 3.10.0-693.11.6
  • CentOS 6 : noyau 2.6.32-696.18.7
  • Fedora 27 : noyau 4.14.11-300
  • Fedora 26 : noyau 4.14.11-200
  • Ubuntu 17.10 : noyau 4.13.0-25-générique
  • Ubuntu 16.04 : noyau 4.4.0-109-générique
  • Ubuntu 14.04 : noyau 3.13.0-139-générique
  • Debian 9 : noyau 4.9.0-5-amd64
  • Debian 8 : noyau 3.16.0-5-amd64
  • Debian 7 : noyau 3.2.0-5-amd64
  • Fedora 27 atomique : noyau 4.14.11-300.fc27.x86_64
  • CoreOS : noyau 4.14.11-coreos

Si la version du noyau est mise à jour au moins vers la version mentionnée ci-dessus, certaines mises à jour ont été appliquées. La distribution FreeBSD, au 12 janvier 2018, n'a toujours pas publié de mises à jour du noyau. Ubuntu 17.04 arrive en fin de vie (End Of Life) le 13 janvier 2018 et ne recevra aucune mise à jour.

Vous trouverez ci-dessous les étapes à suivre pour vérifier et corriger les vulnérabilités Spectre et Meltdown dans CentOS 7.x.

Pour vérifier les vulnérabilités, exécutez les commandes ci-dessous :

  1. Pour vérifier la version actuelle du système d'exploitation.
    lsb_release -d
  2. Pour vérifier la version actuelle du noyau.
    uname -a
  3. Pour vérifier si le système est vulnérable ou non.
    cd/tmp
    wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
    sudo sh spectre-meltdown-checker.sh

    La capture d'écran ci-dessus est la sortie de CentOS 7.x lorsqu'elle n'est pas corrigée avec le correctif pour les vulnérabilités Meltdown/Spectre.

  4. Vous devrez exécuter les commandes ci-dessous pour installer le nouveau correctif.
    mise à jour sudo miam
  5. La principale raison de la mise à jour de yum est que nous devons mettre à jour la version du noyau. Une fois les correctifs installés, redémarrez à l'aide de la commande ci-dessous.
    redémarrer
  6. Une fois votre ordinateur redémarré, vous pouvez vérifier à nouveau la vulnérabilité à l'aide de la commande ci-dessous.
    sudo sh spectre-meltdown-checker.sh

    Vous pouvez voir que cette capture d'écran indique NON VULNÉRABLE pour Spectre Variante 1 et Meltdown.

Conclusion

Meltdown et Spectre sont des vulnérabilités critiques. Ils continuent d'être exploités et l'impact global de leurs dégâts n'a pas encore été établi.

Nous vous recommandons fortement de garder vos systèmes patchés avec le dernier système d'exploitation et les dernières mises à jour du micrologiciel publiées par les fournisseurs.