死磕Meltdown和Spectre漏洞,应对方案汇总
死磕Meltdown和Spectre漏洞,应对方案汇总
近日,针对 Google公司的 公司的Project Zero等安全团队披露出的英特尔等处理器芯片存在非常严重的安全漏洞。这次的漏洞分别起名Meltdown(崩溃)和Spectre(幽灵)。这两个漏洞允许黑客窃取计算机的全部内存内容,包括移动设备、个人计算机、以及在所谓的云计算机网络中运行的服务器。
作为战斗第一线的救火队员,最近几天被两个漏洞折磨的头晕脑胀,为了更好的给客户提供服务,翻遍了中外网站大部份相关热文,现整理出下面10多类应急方案,与各位一线兄弟共勉,希望对大家有所帮助。
漏洞危害
对多租户下的云服务体系影响比较大,攻击者在云平台通过本地的普通的访问权限就可以读取云平台的敏感信息,为进一步获得更高的权限和获得机密数据提供了可能。 该漏洞的危害还在于攻击者可以通过该漏洞远程发起攻击,当目标设备访问远程服务器的网页时,攻击者可以通过恶意js脚本来获得目标设备上的敏感信息,如保存在内存中的密码Cookie等。 这些缺陷几乎影响到所有电脑和移动设备,但不一下是严重风险,目前还没有证据说明,黑客已经撑握利用这些缺陷的方法。 一些主流的杀毒软件程序与补丁程序不兼容,从而会导致台式或冬笔记本电脑停止响应并显示“蓝屏死机”。 杀毒软件厂商对此反馈修改其产品,更好的与更新后的操作系统兼容。微软近期在博客中称,只会向那些杀毒软件提供商已向其证实安全补丁不会导致客户电脑崩溃的Windows用户提供补丁更新,因此,Windows自动更新机制不会推送该补丁,如果用户需要应用相关补丁的话需做好充分的测试及回退措施。 Spectre没有简单的解决方案,可许要重新设计处理器;Meltdown解决这个问题所需要的软件补丁可能会使计算机运行速度下降30%。
处置建议
敏感数据和运算尽可能在独立的安全芯片上运行,使得普通权限的执行环境和高权限的执行环境从物理上隔离起来。 及时升级补丁,特别是公有云平台。由于云服务体系的庞大、复杂,云服务厂家应尽早地进行漏洞修补,避免关键数据和隐私的泄露、登陆凭证被窃取导致连锁攻击等次生灾害。 目前基于软件补丁只是做了临时隔离,如TLB隔离等,但是未来将会有一些绕过技术会出现,更换硬件才是彻底修复这个问题的关键,以及针对此漏洞进行风险的安全评估。
2.1 INTEL
目前已经开始提供软件和固件更新以减轻这些漏洞。最终用户和系统管理员应该检查操作系统供应商和系统制造商,并尽快应用所有更新。 对于使用这些漏洞攻击安全的恶意软件,必须在系统上本地运行。英特尔强烈建议用户遵循良好的安全措施,以防范恶意软件,因为这也有助于防止可能的漏洞利用。 威胁环境不断演变。英特尔致力于打造产品的安全性和可靠性,并与安全研究人员和业内其他人士进行建设性的合作,以帮助保护用户的敏感信息。
2.2 AMD
下面的表格详细介绍了具体变体研究以及 AMD 的回复细节。
2.3 ARM
以下已经确认产品受到这些漏洞的影响。
由于Cortex-R的常见使用模式是在非开放环境中,应用程序或进程受到严格控制,因此无法被利用。 应用Arm提供的所有内核补丁:
https://git.kernel.org/pub/scm/linux/kernel/git/arm64/linux.git/log/?h=kpti
2.4 华为
以下已经确认产品受到这些漏洞的影响。
软件版本和修复情况
注意: [1]将BIOS升级至V382版本,将iBMC升级至V268版本。除了这两个组件外,还需要升级操作系统供应商提供的操作系统补丁。 [2]将BIOS升级至V055版本,将iBMC升级至V270版本。除了这两个组件外,还需要升级操作系统供应商提供的操作系统补丁。
2.5 IBM
针对 Power Systems 客户端完全缓解此漏洞涉及将修补程序安装到系统固件和操作系统。固件修补程序为此漏洞提供了部分修复,并且是操作系统修补程序有效的先决条件。这些将可用如下:
POWER7 +,POWER8和POWER9平台的固件补丁在1 月9 日发布,将在 POWER7 + 之前提供有关支持的代的进一步通信,包括固件补丁和可用性。
Linux操作系统补丁程序于 1 月 9 日开始提供。AIX 和 i 操作系统补丁程序将于 2 月 12 日开始提供。信息将通过 PSIRT提供。 建议客户应该在数据中心环境和标准评估实践的环境中审查这些补丁,以确定是否应该应用这些补丁。目前已确认IBM存储设备不受此漏洞的影响。
2.6 Cisco
已经确认以下产品受到这些漏洞的影响。
思科已确认这些漏洞不会影响以下产品: 路由和交换 - 企业和服务提供商,思科1000系列互联电网路由器。
2.7 Windows Server服务器
建议的操作
1) 应用Windows操作系统更新。 2) 进行必要的配置更改以启用保护。 3) 从OEM设备制造商应用适用的固件更新。 4) 在服务器启用保护(Hyper-V主机、远程桌面服务主机RDSH、不可信代码的物理主机或虚拟机)
使用这些注册表项在服务器上启用缓解措施,并确保重新启动系统以使更改生效:
修改注册表设置
reg添加“HKEY_LOCAL_MACHINE \ SYSTEM \CurrentControlSet \ Control \ Session Manager \ Memory Management”/ vFeatureSettingsOverride / t REG_DWORD / d 0 / f reg添加“HKEY_LOCAL_MACHINE \ SYSTEM \CurrentControlSet \ Control \ Session Manager \ Memory Management”/ vFeatureSettingsOverrideMask / t REG_DWORD / d 3 / f reg添加“HKLM \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ Virtualization”/ v MinVmVersionForCpuBasedMitigations / tREG_SZ / d“1.0”/ f
如果这是Hyper-V主机:完全关闭所有虚拟机。
重新启动服务器以使更改生效。
禁用此修复程序
reg添加“HKEY_LOCAL_MACHINE \ SYSTEM \CurrentControlSet \ Control \ Session Manager \ Memory Management”/ vFeatureSettingsOverride / t REG_DWORD / d 3 / f reg添加“HKEY_LOCAL_MACHINE \ SYSTEM \CurrentControlSet \ Control \ Session Manager \ Memory Management”/ vFeatureSettingsOverrideMask / t REG_DWORD / d 3 / f
重新启动服务器以使更改生效。
不需要改变MinVmVersionForCpuBasedMitigations。
Windows Server,版本1709(服务器核心安装) http://download.windowsupdate.com/d/msdownload/update/software/secu/2018/01/windows10.0-kb4056892-x86_delta_45f3a157eb4b4ced11044f6c462f21ec74287cb5.msu Windows Server 2016 http://download.windowsupdate.com/d/msdownload/update/software/secu/2018/01/windows10.0-kb4056890-x86_delta_ae277fcd1c944c58250231266a9a5d73ea5a6114.msu Windows Server 2012 R2 http://download.windowsupdate.com/d/msdownload/update/software/secu/2018/01/windows8.1-kb4056898-v2-x86_f0781f0b1d96c7b12a18c66f99cf94447b2fa07f.msu Windows Server 2008 R2 http://download.windowsupdate.com/d/msdownload/update/software/secu/2018/01/windows6.1-kb4056897-x64_2af35062f69ce80c4cd6eef030eda31ca5c109ed.msu
2.8 Windows客户端
操作建议:
在安装操作系统或固件更新之前,请确认您正在运行受支持的防病毒应用程序。有关兼容性信息,请与防病毒软件供应商联系。
应用所有可用的Windows操作系统更新,包括2018年1月的Windows安全更新。
应用设备制造商提供的适用固件更新。
注意:安装Windows 2018年1月版安全更新的客户将无法获得所有已知的针对此漏洞的保护。除了安装1月份的安全更新之外,还需要更新处理器微代码或固件,具体可联系设备商。
2.9 VMware
版本的补丁,此修补程序针对CVE-2017-5715进行了修复,但未针对CVE-2017-5753进行修复。
VMware ESXi 6.5 下载: https://my.vmware.com/group/vmware/patch VMware ESXi 6.0 下载:https://my.vmware.com/group/vmware/patch VMware ESXi 5.5 下载:https://my.vmware.com/group/vmware/patch VMware Workstation Pro,Player 12.5.8 下载:https://www.vmware.com/go/downloadworkstation VMware Fusion Pro /Fusion 8.5.9 下载:https://www.vmware.com/go/downloadfusion
2.10 CitrixXenServer
Citrix XenServer 7.3:CTX230790 - https://support.citrix.com/article/ctx230790 Citrix XenServer 7.2:CTX230789 - https://support.citrix.com/article/ctx230789 Citrix XenServer 7.1 LTSRCU1:CTX230788 - https://support.citrix.com/article/ctx230788
2.11 Mozilla
已经发布了上述两个与时间相关的缓解措施,分别是Firefox57.0.4,Beta和Developers Edition58.0b14,以及“2018-01-04”及以后版本的Nightly59.0a1。Firefox 52 ESR不支持SharedArrayBuffer,风险较小; 的performance.now()缓解将包括在2018 1月23日定期的FirefoxESR 52.6释放。
2.12 Red Hat
运行受影响版本的红帽产品的红帽客户建议客户立即应用适当的更新。所有受影响的产品都应该使用修补程序来减轻所有3个变体; CVE-2017-5753(变体1), CVE-2017-5715(变体2)和CVE-2017-5754(变体3)。
2.13 Ubuntu
截至2018年1月07日选择各种版本内核进行测试,首轮将针对x86_64,解决CVE-2017-5754、CVE-2017-5715和CVE-2017-5753。当前可用的内核如下,后续还有更多的测试结果公布。
目前CPU执行利用可能会通过定时副通道攻击泄漏信息,并且这可能会在Web浏览器JavaScript引擎中被利用。如果用户被诱骗打开特制网站,攻击者可能会利用此漏洞从其他域获取敏感信息,绕过同源限制。 Firefox的漏洞安全问题影响Ubuntu版本:
Ubuntu 17.10 Ubuntu 17.04 Ubuntu 16.04 LTS Ubuntu 14.04 LTS
通过将系统更新到以下软件包版本可以解决:
a) Ubuntu 17.10: 火狐 57.0.4 +build1-0ubuntu0.17.10.1 b) Ubuntu 17.04: 火狐 57.0.4 +build1-0ubuntu0.17.04.1 c) Ubuntu 16.04 LTS: firefox 57.0.4 + build1-0ubuntu0.16.04.1 d) Ubuntu 14.04 LTS: 火狐 57.0.4 +build1-0ubuntu0.14.04.1
2.14 SUSE
SUSE发布了以下更新:
SLES 12 SP3 1) kernel-default-4.4.103-6.38.1 2) kernel-firmware-20170530-21.16.1 3) ucode-intel-20170707-13.8.1 4) qemu-2.9.1-6.9.2 SLES 12 SP2 1) kernel-default-4.4.103-92.56.1 2) kernel-firmware-20170530-21.16.1 3) ucode-intel-20170707-13.8.1 SLES 12 SP1-LTSS 1) kernel-default-3.12.74-60.64.69.1 2) ucode-intel-20170707-13.8.1 SLES 12-LTSS 1) ucode-intel-20170707-13.8.1 SLES 11 SP4 1) kernel-default-3.0.101-108.21.1 2) microcode_ctl-1.17-102.83.6.1 SLES 11 SP3-LTSS 1) microcode_ctl-1.17-102.83.6.1 SUSE CaaS平台 2) kernel-firmware-20170530-21.16.1 3) qemu-2.9.1-6.9.2
英特尔称,苹果、亚马逊、谷歌和微软等公司几乎未发现安全升级对运行产生的影响,但补丁升级的稳定性还需要时间进行验证。 由于这些问题都在底层物理CPU的优化功能中,因此缓解这些问题必然会导致CPU性能的降低。这种性能影响取决于许多因素,包括工作负载和CPU模型。建议客户在安装这些修补程序后监视其系统负载。 关于漏洞原理部分已经满天飞,在此不做详细说明。下面附上是漏洞影响有兴趣可以关注。
漏洞影响
漏洞风险等级为严重,影响广泛:
Ø 近20年的Intel, AMD, Qualcomm厂家和其它ARM的处理器受到影响; Ø 因为此次CPU漏洞的特殊性,包括Linux, Windows, MacOS、Android、iOS等在内的操作系统平台参与了修复; Ø Firefox, Chrome, Edge、Internet Explorer 11等浏览器也发布了相关的安全公告和缓解方案; Ø 影响许多大牌云计算平台,如Amazon EC2、Microsoft Azure、 Google Compute Engine、腾讯以及阿里云等。