Как защищить ваше устройство от атак Meltdown и Spectre на современные процессоры


Что стряслось?

Во время новогодних праздников в сети появилась информацию о новых атаках по сторонним каналам, направленных на эксплуатацию механизма спекулятивного выполнения кода (speculative execution side-channel vulnerabilities) в современных процессорах Intel, AMD и ARM. Стоит отметить, что уязвимости затрагивают устройства различных производителей, а также различные ОС Windows, iOS, MacOS, Android, Linux. Данные атаки получили названия Meltdown и Spectre, позволяют получить доступ к так называемой "привилегированной памяти", что в результате может привести к раскрытию информации (Information Disclosure).

Компания Microsoft опубликовала рекомендации по обеспечению защиты от данных атак в статье ADV180002. Данные рекомедации включают инструкции по обеспечению закрытия следующих уявимостей, используемых в атаках Meltdown и Spectre:

CVE-2017-5715 - Branch target injection (Spectre)
CVE-2017-5753 - Bounds check bypass (Spectre)
CVE-2017-5754 - Rogue data cache load (Meltdown)

Что делать?

Общие рекомендации по защите ваших устройств приведены в статье KB4073229.

  • Если вы используете клиентские ОС Windows 7 Service Pack 1, Windows 8.1, Windows 10, обратитесь к статье KB4073119.
  • Если вы используете серверные ОС Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2, Windows Server 2016, обратитесь к статье KB4072698.
  • Если вы используете СУБД SQL Server, обратитесь к статье KB4073225.
  • Если вы используете устройства Surface или Surface Book, обратитесь к статье KB4073065.
  • Если вы используете облачные сервисы Microsoft Azure, все необходимые изменения уже внесены. За подробностями вы можете обратиться к статье KB4073235.

Обратите внимание, что для полноценной защиты от атак, использующих данные уявимости, необходимо не только установить обновления ОС, но и обновление прошивки (firmware) от производителя вашего аппаратного обеспечения. Перед установкой обновлений следует обратиться к производителю используемого вами антивирусного ПО для подтверждения совместимости с новыми механизмами управления памятью. Более подробные инструкции по проведению процедуры обновления приведены в соответствующей статье базы знаний из списка выше.

Как проверить, что ваше устройство защищено?

Статья с рекомендациями по безопасности ADV180002 содержит инструкции по запуску скрипта PowerShell, проверяющего текущий статус механизмов защиты вашего устройства.

После установки всех необходимых обновлений (в том числе и обновлений прошивки от производителя устройства) результат выполнения скрипта выглядит следующим образом:

 

Если у вас остались вопросы - добро пожаловать в комментарии.

И, вместо заключения, хочу поделиться забавным комиксом в тему от портала https://xkcd.com 😊

 

Артём Синицын

руководитель программ информационной безопасности Microsoft

@ArtyomSinitsyn


Comments (0)

Skip to main content