CPU vulnerability & speculative execution side-channel attacks: impatto sui sistemi operativi Microsoft e sull’infrastruttura Azure

[Trovate in fondo al post alcuni aggiornamenti]

Rientro più rapido del previsto e del pianificato alle mie attività su questo blog, dovuto alle vulnerabilità delle CPU documentate ufficialmente nelle ultime ore e ai potenziali attacchi “speculative execution side-channel attacks”

  • CVE-2017-5715 (branch target injection)
  • CVE-2017-5753 (bounds check bypass)
  • CVE-2017-5754 (rogue data cache load)

Potete trovare maggiori dettagli in merito nel Microsoft Security TechCenter: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002 .

Sì, ci sono per i sistemisti delle attività da fare, sia che abbiano una infrastruttura on premises, che nel cloud. E l’impatto riguarda sia i sistemi client che quelli server.

Come è facile immaginare l’impatto riguarda non solo i sistemi operativi Microsoft e l’infrastruttura di Microsoft Azure, ma l’intero settore .

Gli elementi chiave da considerare sono:

  • Gli aggiornamenti che Microsoft ha sviluppato e i firmware update che saranno rilasciati dai differenti vendor di CPU impattati;
  • I sistemi maggiormente a rischio;
  • l’aggiornamento della infrastruttura Azure.

La documentazione con le informazioni sugli aggiornamenti Microsoft sono questi:

Come certificato dalla documentazione ufficiale Microsoft, https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s, i sistemi server maggiormente a rischio sono:

  • Hyper-V hosts
  • Remote Desktop Services Hosts (RDSH)
  • For physical hosts or virtual machines that are running untrusted code such as containers or untrusted extensions for database, untrusted web content or workloads that run code that is provided from external sources.

Ovviamente una delle priorità per Microsoft è anche garantire la sicurezza di tutte le infrastrutture di Clienti e Partner ospitate su Microsoft Azure.

Per questo è stata avviata una attività di manutenzione “accelerata” con l’obiettivo di avviare e completare quanto prima l’aggiornamento di tutta l’infrastruttura Azure.

Il riferimento chiave per quanto riguarda Azure è questo: Securing Azure customers from CPU vulnerability, https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/ .

In particolare vi segnalo questo passaggio importante:

The majority of Azure infrastructure has already been updated to address this vulnerability. Some aspects of Azure are still being updated and require a reboot of customer VMs for the security update to take effect. […]

With the public disclosure of the security vulnerability today, we are accelerating the planned maintenance timing and will begin automatically rebooting the remaining impacted VMs starting at 3:30pm PST on January 3, 2018. […]

During this update, we will maintain our SLA commitments of Availability Sets, VM Scale Sets, and Cloud Services. This reduces impact to availability and only reboots a subset of your VMs at any given time. This ensures that any solution that follows Azure’s high availability guidance remains available to your customers and users.

Uno strumento che vi consiglio di utilizzare subito è la sezione “Planned Maintenance” del portale Azure, per vedere lo stato delle macchine ospitate nelle sottoscrizioni che state gestendo: https://portal.azure.com/#blade/Microsoft_Azure_Health/AzureHealthBrowseBlade/plannedMaintenance .

Inoltre, potete sfruttare il servizio Scheduled Events (Preview)  https://docs.microsoft.com/en-us/azure/virtual-machines/windows/scheduled-events che vi consente di essere informati con 15 minuti di anticipo sugli eventi – ad esempio Reboot – delle risorse delle vostre sottoscrizioni. Il servizio richiede di avere familiarità con gli strumenti di scripting (PowerShell) .

L’aggiornamento dell’infrastruttura Azure avverrà direttamente a livello di Hypervisor:

This Azure infrastructure update addresses the disclosed vulnerability at the hypervisor level and does not require an update to your Windows or Linux VM images. However, as always, you should continue to apply security best practices for your VM images.

Un consiglio: questa è una di quelle situazioni in cui gli articoli di approfondimento e di knowledge base dei differenti vendor vanno letti dall’inizio alla fine Smile. Le vulnerabilità sono importanti ed impattanti, è fondamentale documentarsi bene.

Aggiornamento 8/1/2018

Vi segnalo due pagine che sono state recentemente pubblicate e che specificano con maggiore dettaglio come gestire gli aggiornamenti delle VM guest ospitate su Azure:   Guidance for mitigating speculative execution side-channel vulnerabilities https://docs.microsoft.com/en-us/azure/virtual-machines/windows/mitigate-se e le procedure di aggiornamento dell’infrastruttura Azure:  Accelerated maintenance frequently asked questions (FAQs) https://docs.microsoft.com/en-us/azure/virtual-machines/windows/accelerated-maintenance .

Renato F. Giorgini