Kritické bezpečnostní zranitelnosti CPU! Pozornost nutná!


Svět IT bezpečnosti dostal začátkem nového roku dost drsnou ránu, když byly zveřejněny kritické bezpečnostní zranitelnosti procesorů, dovolující přístup v podstatě ke všem informacím, které procesor zpracovává.

Side-Channel Attack

Chyba se dotýká většiny moderních procesorů Intel (AMD zatím nepotvrzeno) a ARM a dopadá tak na operační systémy Windows, macOS i Linux a také některé mobilní platformy. Koncové klienty i serverové nasazení.

Tyto chyby byly označeny jako:

Označení zranitelnosti vám může naznačit že chyby byly objeveny již dříve a jejich zveřejnění probíhá až v době, kdy bude většina výrobců aspoň z části připravena reagovat. Více se o zranitelnostech dozvíte také na stránce https://spectreattack.com/.

Tyto zranitelnosti mají vliv i na virtualizované systémy, kdy je možné z jednoho VM číst data samotného fyzického serveru či jiného VM. V neposlední řadě i na internetové prohlížeče běžící v těchto systémech a další aplikace, které je možné taktéž zneužít k přístupu k informacím, které by proces neměl z procesoru obdržet. Může se jednat o citlivé informace, hesla, vše, co procesor zpracovává.

Aktualizace k dispozici

Společnost Microsoft i ostatní výrobci již vydávají průběžně bezpečnostní aktualizace, které minimalizují či odstraňují možnost takových útoků na podporovaných systémech. Plně je ale odstraní jen aktualizace firmware daného čipu, tato již vyšla například pro uživatele značky Surface právě v lednových aktualizacích.

Tyto aktualizace jsou již nasazeny také v prostředí Azure. Služby Office 365 by neměly být přímo dotčeny, ale update a monitoring podřízených služeb též probíhá.

Doporučujeme zjistit dostupnost aktualizací pro vámi používané produkty a platformy. Nápomocny vám budou odkazy i dále níže v článku.

Pokud na stanicích a serverech provozujete antivirové řešení třetí strany, dejte pozor, že aktualizace bude pro počítače dostupná až ve chvíli, kdy bude nastaven speciální registrový klíč. Ten může nastavit tvůrce antivirového software nebo IT, pokud ověří, že nebudou problémy s kompatibilitou.

S opatrností se doporučuje postupovat zvláště u serverů SQL, kde některé aplikace mohou vyžadovat jiná nastavení, pokud ještě nebyly pro tuto zranitelnost také aktualizovány. Speciální kapitolou mohou také být servery SCCM, které vyžadují jiné nastavení SQL po aktualizaci. Naopak lze SCCM velmi efektivně využít pro detekci a nasazení potřebných aktualizací a jejich souladu v prostředí s aktualizací na HW úrovni.

Otestování zranitelnosti

Za pomoci jednoduchého PowerShell příkazu a modulu můžete rychle ověřit, zda je váš systém zranitelný na úrovni operačního systému a hardware.

Install-Module SpeculationControl
Import-Module SpeculationControl
Get-SpeculationControlSettings

Pokud je systém zranitelný zcela vůči všem uvedeným zranitelnostem, objeví se výstup podobný tomuto.

Po instalaci potřebných aktualizací se postupně můžete probojovat až k ideálnímu stavu.

Nepříjemné dopady

Kromě samotného bezpečnostního rizika v případě neaktualizování systému se naopak při aktualizaci vystavujete dvěma možným negativním dopadům:

  • Nekompatibilita aplikace způsobující její nestabilitu či negativní dopad na běžící OS, například u antivirových produktů.
  • Zpomalení chodu aplikací a probíhajících výpočtů o jednotky až desítky procent.

Postupně se objevují zmínky o dopadech na jednotlivé produkty, nasazení či praktické výpočty a scénáře užití. Ty se mohou dramaticky lišit podle daného použití výpočetního výkonu a operací nad CPU. Od naprosto nepostřehnutelných pro uživatele, vývojáře i společnost až po zpomalení v řádech desítek procent. Zaznamenány byly například i zpomalení některých konfigurací u Storage Spaces Direct.

Proto důrazně doporučujeme před nasazením na kritické systémy vše otestovat a ověřit si kompatibilitu či možný dopad zpomalení s výrobcem, dodavatelem a servisním partnerem systému.

Potřebné odkazy třetích stran

Tento seznam není zcela úplný a doporučujeme obrátit se přímo na vaše konkrétní dodavatele o aktuální informace a doporučení.

Potřebujete s nasazením a řešením bezpečnosti vašeho prostředí pomoci po komplexní rovině? Hledáte pomocné ruce pro rychlé a proaktivní řešení podobných událostí? Může pomoci Pult Centrální Ochrany pro vaše IT.

- Petr Vlk (MVP, KPCS CZ, WUG)

Comments (2)

  1. Kazzan says:

    Doplňuji, že aktuálně je také doporučeno vyčkat při instalaci na doménové řadiče na další revizi aktualizace. Může se objevit problém s editací GPO.

Skip to main content