Meltdown en Spectre – update

Leestijd: 6 minuten

Categorie: Trends & reports


Update: zaterdag 6 januari, 11.30 aanpassing m.b.t. TRAPS versie 3.4.0, toelichting ernst van het issue uitgebreid, link naar alle Microsoft OS patches toegevoegd.

Update:  zaterdag 6 januari, 1.30 toevoeging alternatieve patch methoden

Belangrijke update voor Traps & Microsoft Windows Update voor Meltdown

Microsoft heeft een patch uitgebracht voor de Meltdown kwetsbaarheid: kb4056892. Zie link [1] en [3]

In veel gevallen is er een extra stap noodzakelijk om deze patch te kunnen installeren op een systeem waarop TRAPS geïnstalleerd is. Het is van belang dat er een specifiek proces gevolgd wordt, om een specifieke registersleutel aan te passen.

Deze sleutel is een extra toets die de anti-threat vendoren, zoals TRAPS en traditionele antivirus vendoren, kunnen instellen om aan Windows aan te geven dat ze compatible zijn met de patch van Microsoft. Het zetten van deze sleutel zorgt ervoor dat Windows Update de mogelijkheid heeft om de update te installeren. Het is in veel gevallen noodzakelijk om deze sleutel te zetten. (De noodzaak hiertoe is afhankelijk van het update mechanisme voor Windows dat gebruikt wordt).

Methode handmatig toevoegen registersleutel

Voor alle TRAPS-agentversies tussen: 3.4.0 en 4.1.x is actie vereist.  Gebruikers van versies eerder dan 3.4.0 hoeven voor zover bekend geen actie te ondernemen. Echter, we adviseren wel om te controleren of het installeren van patch kb4056892 wel gelukt is.

Om de registry key te pushen moet het volgende gedaan worden op de domain controller waar de group policies gedefinieerd worden:

1. Maak een nieuwe group policy aan / gebruik een bestaande group policy die de systemen raakt waar de registry waarde aangepast moet worden
2. Navigeer naar: Computer configuration > Preferences > Windows Settings > Registry
3. In dit venster klik je op de rechtermuisknop en klik je vervolgens op New > Registry Item
4. Nu dient de registry key aangemaakt te worden:
* Action: Create
* Hive: HKEY_LOCAL_MACHINE
* Key Path: SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat
* Value name: cadca5fe-87d3-4b96-b7fb-a231484277cc
* Value Type: REG_DWORD
* Value data: 0

Het kan tot 90 minuten duren voordat de computer policy opnieuw uitgelezen wordt.

Alternatief is deze methode van Palo Alto Networks, zie link [2]

Let op: Controleer of in Windows Updates bij “View Update History” of  de installatie van “kb4056892” gelukt is.

Mocht u vragen hebben naar aanleiding van deze kwetsbaarheid, neemt u dan contact op met het ON2IT SOC. Wij zijn 24×7 bereikbaar via 088-2266201, servicedesk@on2it.net en https://portal.on2it.nl.

Antwoord op veelgestelde vragen

Wat zijn Meltdown & Spectre?

Meltdown & Spectre zijn beide zogenaamde ‘side-channel’ attacks, waarbij het mogelijk is om onderdelen van het geheugen uit te lezen waar gevoelige informatie, zoals wachtwoorden, niet versleuteld aanwezig zijn. Meltdown maakt de onderlinge bescherming van applicaties en systeem tegen het arbitrair uitlezen van elkaars geheugen kapot. Spectre spreekt dit mechanisme niet rechtstreeks aan maar zorgt ervoor dat een willekeurige applicatie dit voor je doet. Deze kwetsbaarheden zijn besturingssysteem onafhankelijk.

Wat is er kwetsbaar?

Apparaten met processoren die de aan deze kwetsbaarheden onderliggende ontwerpfouten bevatten zijn kwetsbaar.  Dat kunnen computers zijn, maar ook smartphones, tablets, mediacenters, “smart” Tvs, bewakingscamera’s, deurknoppen van hotelkamers…

Meltdown:

  • Alle computersystemen die gebruik maken van Intel-processors met de Intel x86 architectuur, met uitzondering van Intel Atom voor 2013.
  • Conceptueel zijn ook computersystemen met AMD-processoren en sommige ARM processoren bevattelijk, maar daadwerkelijke exploiteerbaarheid is vooralsnog niet definitief aangetoond.

Spectre:

  • Alle systemen met x86-achtige processor en vele systemen met ARM processoren, inclusief mobiele apparaten.

Hoe ernstig is het?

Helaas is deze vraag (nog) niet te beantwoorden. In potentie is het lek zeer ernstig, maar klip en klaar bewijs dat er daadwerkelijk succesvolle aanvallen zijn is er vooralsnog niet. Er zijn proof -of – concepts die erin slagen om vanuit javascript in de browser RAM-geheugen van de kernel te benaderen! Worst case scenario is dat wanneer bijvoorbeeld een VDI-desktop en een Active Directory server op dezelfde fysieke hardware staan, een aanvaller toegang kan krijgen tot het geheugen van de AD-server (met daarin credentials van gebruikers). Dit door simpelweg een gebruiker van de VDI-desktop op een URL te laten klikken. Dit scenario is wat versimpeld en kort door de bocht, maar dat we dit niet kunnen uitsluiten geeft wel de impact van de bug aan. Er is dus genoeg reden om dit issue hoog op te pakken, en ervoor te zorgen dat zoveel mogelijk systemen voorzien zijn van de patch. Daar komt bij dat detectie van een aanval vooralsnog bijna niet te detecteren is.

Beide kwetsbaarheden zijn zogenaamde ‘information disclosures’, ze zijn een bron van informatie voor een kwaadwillende. Het betreft hier geen initiële toegang. Zowel Meltdown als Spectre kunnen pas misbruikt worden op het moment dat een kwaadwillende reeds toegang heeft tot het systeem.

De grootste risico’s zitten in shared en Cloud-omgevingen waar er meerdere systemen samen draaien op één host. Het is op dat moment mogelijk voor een willekeurig gebruikersprogramma om het geheugen van alle hosts uit te lezen.

Welke mitigerende maatregelen kunnen er worden getroffen?

Meltdown:
Het patchen van de besturingssystemen van de kwetsbare systemen is voor nu de enige oplossing.  Courante Macs, Apple TVs en iOS apparaten (High Sierra 10.3.2 resp. TV OS 11.2 en iOS 11.2) zijn niet kwetsbaar. Voorlopige testen wijzen uit dat er achteruitgang kan optreden van het prestatieniveau.

Spectre:
Er zijn momenteel nog geen specifieke mitigerende maatregelen voor Spectre beschikbaar.

Heeft Zero Trust effect op deze kwetsbaarheden?

Jazeker, bij een Zero Trust architectuur heeft een kwaadwillende niet zomaar toegang tot systemen en kunnen de exploits niet ongebreideld om zich heen grijpen. Wanneer een kwaadwillende een systeem compromitteert kan hij niet zomaar door naar een volgend systeem. Dus het volgen van de Zero Trust strategie zorgt er voor dat, ook in dit geval, de impact aanzienlijk wordt verkleind.

Beschermt Palo Alto Networks tegen deze kwetsbaarheden?

Er wordt momenteel onderzocht of TRAPS extra bescherming kan bieden tegen de kwetsbaarheden maar op het moment is dat niet het geval.  Gedetecteerde malware die (ook) gebruik maakt van Spectre en/of Meltdown wordt uiteraard door Wildfire geanalyseerd en daarmee voor TRAPS en het next-generation network security platform zichtbaar en mitigeerbaar.

Wat adviseert ON2IT?

ON2IT adviseert om zo spoedig mogelijk de besturingssystemen te updaten. Wel is het zaak om deze updates te testen om te kijken of antivirus software compatible is. Daarnaast is het van belang dat u toegang tot verschillende systemen beperkt tot geautoriseerde personen. Indien u gebruik maakt van shared of cloud omgevingen kunt u overwegen om contact met hen op te nemen om te kijken hoe veilig uw informatie is. Zodra er meer mogelijkheden zijn zal ON2IT u uiteraard op de hoogte stellen.

Links

[1] https://support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892

[2] https://live.paloaltonetworks.com/t5/Endpoint-Articles/Steps-to-Apply-Microsoft-Patch-to-Addressed-Meltdown-and-Spectre/ta-p/193910

[3] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

 

Bronnen

https://meltdownattack.com/
https://www.us-cert.gov/ncas/current-activity/2018/01/03/Meltdown-and-Spectre-Side-Channel-Vulnerabilities
https://researchcenter.paloaltonetworks.com/2018/01/threat-brief-meltdown-spectre-vulnerabilities/