Sådan beskytter du dig mod sårbarhederne Meltdown og Spectre

5. januar 2018 - Sårbarheder i CPU'er og processorer rammer computere, smartphones og anden intelligent teknologi. Få styr på hvordan du sikrer dig mod sårbarhederne, som har fået navnene Spectre og Meltdown.

Først på ugen rygtedes det i sikkerhedskredse at designet i en lang række moderne CPU’er eller processorer, kernen i moderne computere, smartphones og anden intelligent teknologi, har en sårbarhed der muliggør datalæk mellem virtuelle maskiner og kørende programmer.

Sårbarhederne blev onsdag bekræftet af Googles Project Zeroexternal linkog en række uafhængige forskergrupperexternal link.  Offentliggørelsen af sårbarhederne var oprindeligt sat til den 9. januar 2018, men blev fremskyndet, grundet mediedækning og rygter i sikkerhedsbranchen om at en såkaldt Proof of Concept-kode, der kunne udnytte sårbarhederne, var tilgængelig. Sårbarhederne har fået navnene Meltdown og Spectre.

De to sårbarheder er alvorlige, men det er i langt de fleste filfælde muligt at beskytte sig effektivt mod dem. Sårbarhederne skal altså tages alvorligt, men der i øjeblikket ingen grund til panik.

Dele af pressen vil formentlig blæse historien op, men udnyttelse af begge sårbarheder kræver, at der afvikles kode lokalt på en computer, for at de kan udnyttes. En angriber der har disse muligheder, vil allerede uden de nye sårbarheder, kunne udrette stor skade. Der er dog nogle situationer hvor computerressourcer deles, f.eks. virtuelle desktops og cloud miljøer, hvor risikoen for at sårbarheden kan misbruges er større.

Hvad er Meltdown?

Meltdown (CVE-2017-5754) tillader en proces, der kører på en computer at tilgå dele af samme computers fysiske hukommelse, som normalt kun er tilgængeligt for operativsystemet. Navnet spiller på at de barrierer der normalt beskytter processer fra hinanden er ”smeltet”.

Dette kan fx misbruges ved, at en virtuel maskine tilgår den fysiske hukommelse på værtsmaskinen og læser information fra hukommelsen på andre virtuelle maskiner. Indirekte vil dette kunne bruges til privilege escalation, hvor brugere tiltvinger sig administratorrettigheder.

Sårbarheden findes i de fleste CPU’er, som er produceret af Intel siden 1995. Hvis din computer har en sårbar processor og kører et ikke-opdateret operativsystem, er der en risiko for, at data kan lækkes til andre brugere af eller processer på systemet. Dette gælder både enkeltstående PC’er og i hosting- og Cloud-miljøer. Flerbrugersystemer der tillader kørsel af programmer, som fx terminalservere og hosting-miljøer der deles mellem flere kunder, er særligt i risiko for misbrug af Meltdown sårbarheden.

Hvad er Spectre?

Spectre (CVE-2017-5753 & CVE-2017-5715) tillader en proces der kører på en computer at tilgå data fra andre processer. Dette foregår uden operativsystemets viden og er derfor meget svært at opdage. Navnet er baseret på det grundlæggende design, som sårbarheden udnytter, Speculative Execution. Det er en teknik, som processorer bruger til at øge hastigheden ved at eksekvere flere ”kodeveje” samtidig. Det fungerer på lidt samme måde som når Google foreslår en søgning ud fra det du er ved at skrive.

Sårbarheden kan fx bruges til angreb hvor login-oplysninger og sessioner (fx en aktiv som netbank-adgang), kan stjæles på tværs af faneblade i en browser. Der er allerede frigivet eksempelkode til at dette kan gøres i JavaScript, (JavaScript er et sprog der bruges på de fleste websites til at skabe interaktivitet og afvikles lokalt i browseren). Sårbarheden vil også kunne bruges til at stjæle beskyttede hukommelsesadresser, der kan muliggøre eksekvering af skadelig kode.

Sådan beskytter du dig mod sårbarhederne

Alle de større Cloud-leverandører patchede for disse sårbarheder, før de blev offentligt kendt. Er du kunde hos Azure eller Amazon er du med stor sandsynlig beskyttet. Det betyder også at der findes opdateringer til fleste virtualiseringsmiljøer fra fx VMware. Virtualiseringsløsninger baseret på XEN-platformen kan endnu være sårbare.

Der findes allerede nu sikkerhedsopdateringer til Linux, Windows og OS X, der beskytter mod sårbarhederne i software. Opdateringerne inddæmmer de egentlige sårbarheder, der ligger i såkaldt micro code i computeres processorer, men løser ikke de grundlæggende udfordringer i designet.

Derfor anbefaler Dubex en to-trinsstrategi, hvor først operativsystemer beskyttes bedst muligt og dernæst opdateres ramte computeres firmware og BIOS, hvis det bliver muligt.

Alle arbejdsstationer og servere bør principielt opdateres, men vi anbefaler, at du indledningsvist fokuserer på servere, der er eksternt eksponerede og/eller tillader kørsel af programmer for brugere. Herunder skal der være særligt fokus på terminalservere og hosting-miljøer der deles mellem flere kunder.

På servere

Hvis de berørte servere er virtualiserede og der er serverkapacitet til det, kan du med fordel isolere sårbare servere på selvstændig hardware. På den måde mindskes risikoen for utilsigtet adgang til øvrige servere indtil du er beskyttet mod Meltdown.

Særligt for Windows-servere: Husk at aktivere beskyttelsen og opdatere din antivirusløsning

Skal du patche MS Windows-servere, er det vigtigt at du læser deres vejledning til brug af opdateringerne på maskiner med tredjeparts antivirus-løsningerexternal link.

Microsoft holder opdateringerne tilbage indtil din antivirusløsning er opdateret til en version, hvor producenten har meldt til Microsoft, at deres produkt er kompatibelt med opdateringen.

Hvis du patcher en Windows Server skal du derfor som det første sikre dig, at din antivirus-løsning er opdateret og kompatibel. Det skyldes at mange antivirusproducenter udnytter udokumenterede funktioner i Windows, der kan få serveren til at gå ned ved opdateringen. Sikkerhedseksperten Kevin Beaumont vedligeholder en opdateret liste over hvilke antivirus-producenter, der allerede understøtter Windows-opdateringenexternal link.

På Windows-server er det ikke nok at installere opdateringen. Du skal først manuelt aktivere beskyttelsen gennem en registry-ændring.

Dette skyldes at opdateringen ikke løser den grundlæggende sårbarhed i CPU’ens design, men mitigerer den i software. Det kan i særlige tilfælde betyde at opdateringen vil påvirke serverens ydeevne negativt, og derfor har Microsoft valgt at beskyttelsen skal aktiveres manuelt. Der findes flere ubekræftede tal for 5-30 % nedgang i ydeevne som følge af opdateringen. Det dog svært at sige noget konkret om eventuelle performance ændringer

Du kan hente manuelle installationsfiler til nyere Windows-server-builds her:

Windows Server version

MS KB

Windows Server, version 1709 (Server Core Installation)

4056892external link

Windows Server 2016

4056890external link

Windows Server 2012 R2

4056898external link

Windows Server 2008 R2

4056897external link

Ældre operativsystemer vil ikke modtage opdateringen.

På arbejdsstationer

På arbejdsstationer gælder samme anbefalinger omkring antivirusløsninger som for servere. På arbejdsstationerne er det dog ikke nødvendigt at aktivere beskyttelsen manuelt - det sker automatisk.

På arbejdsstationer er det til gengæld vigtigt at få opdateret alle klientapplikationer, der kan være sårbare. Særligt browsere er udsatte og alle større browserleverandører har implementeret funktioner, der forsøger at beskytte mod Spectre-sårbarheden.

Du læse mere om beskyttelse af Windows-baserede arbejdsstationer her:

Windows 10 (RTM, 1511, 1607, 1703, 1709), Windows 8.1, Windows 7 SP1

ADV180002external link

Firmware-opdateringer på både arbejdsstationer og servere

For at opnå en bedre beskyttelse mod Spectre-sårbarheden bør du opdatere firmware og BIOS på computere og servere, såfremt en opdatering bliver tilgængelig og er praktisk mulig.

Intel har allerede frigivet opdateringer til micro code i de fleste af de processorer, der er produceret de seneste fem år. De frigiver dog ikke disse opdateringer direkte til slutbrugere, men gennem pc- og server-producenter som Lenovo og HP.

Eksempelvis findes der beskyttelse mod dele af Spectre-sårbarheden i BIOS-versioner, som er frigivet i stilhed siden slutningen af december måned. 

Hvad så nu?

Sårbarhederne findes fordi de fleste af de processorer, som vi bruger i dag, grundlæggende er baseret på teknologi, der oprindeligt er designet til brug på systemer med én bruger og på et tidspunkt, hvor der var knap så meget fokus på sikkerhed, og angrebsmetoderne var simplere.

Der er på det seneste kommet meget fokus på sårbarheder i de grundlæggende CPU-designs og det faktum, at der også findes potentielt sårbar software inde i selve CPU’en. Disse to sårbarheder er derfor formodentlig ikke de sidste sårbarheder, der bliver fundet på det niveau. Intel-chips er særligt ramt denne gang, men tilsvarende sårbarheder ville lige så godt kunne blive fundet i chips fra AMD og ARM.

Hos Dubex følger vi området tæt og rådgiver vores kunder om nye sårbarheder og igangværende angreb. I denne type situationer er det vigtigt at få overblik og forstå det nye angreb samt hvordan det kan udnyttes, så man kan foretage den rette prioritering af implementering af mitigerende tiltag.

Du kan med fordel læse mere om en række leverandørers håndtering af sårbarhederne herunder.

Dubex' partnere:

Trend Micro

Solutionexternal link

Symantec

Supportexternal link

Check Point

Solutionexternal link

Zscaler

Security Researchexternal link

F5

Supportexternal link

Infoblox

Supportexternal link

Mobileiron

Mobileiron Helpexternal link

 

Andre it-leverandører:

Intel

Security Advisoryexternal link    /     Newsroomexternal link

Microsoft

Security Guidanceexternal link

Om antivirus-løsningerexternal link

Om beskyttelse i Azureexternal link

Amazon

Security Bulletinexternal link

VMWare

Security Advisoryexternal link

AMD

Security Informationexternal link

ARM

Security Updateexternal link

Debian

Security Blogexternal link

Google

Project Zero Blogexternal link

Øvrige Google-produkter, herunder Chromeexternal link(Forbedret beskyttelse mod Spectre forventes i Chrome i slutningen af januar, men du kan allerede nu aktivere en funktion der isolerer faneblade i selvstændige processer.)

Mitre

CVE-2017-5715external link   /    CVE-2017-5753external link    /     CVE-2017-5754external link

Mozilla (Firefox)

Security Blogexternal link

Red Hat

Vulnerability Responseexternal link

Suse

Vulnerability Responseexternal link

Apple

Vulnerability Responseexternal link

 

Har du brug for hjælp til dit beredskab?

Dubex har arbejdet med beredskab som en del af sikkerhedsprocessen i mange år. Vi har vores eget Incident Response Team, der rykker ud og hjælper dig med at stoppe krisen, hvis din virksomhed rammes af et angreb. Teamet fjerner al ondsindet malware fra dine systemer og hjælper dig med at finde kilden til angrebet, så du har mulighed for at beskytte dig bedre i fremtiden. Det hjælper dig til at optimere hele din sikkerhedsproces og beskytte dine vigtigste systemer mod fremtidige angreb.

Læs mere om Dubex Incident Response Teamexternal link

I tvivl om hvordan du skal håndtere sårbarhederne?

Kontakt Dubex på tlf. 32 83 04 30 og få hjælp til at opdatere dine vigtigste systemer.