Spectre e Meltdown Bug: come controllare se si è vulnerabili e cosa fare

Gen 05, 2018 Giancarlo Calzetta Minacce, News, RSS, Vulnerabilità 1

---

 Nel caos che sta seguendo gli annunci di ieri sulle vulnerabilità riscontrate nei processori di Intel, AMD e Arm, ecco qualche dettaglio per cercare di chiudere una falla dura a morire anche perché Microsoft ci sta mettendo del suo.

La vicenda “processori buggati”  è ancora in là dal trovare una soluzione definitiva, anche perché la situazione è complicata e si sta complicando ancor di più dal momento che Microsoft ha rilasciato una patch che ha implicazioni pericolose.

Secondo il bollettino rilasciato dalla casa di Redmond, infatti, la patch per Windows che chiude una delle falle (quella meno complicata da sfruttare e quindi potenzialmente più pericolosa) è disponibile, ma ha la brutta abitudine di mandare in crash completo (bluescreen che si presenta ad ogni riavvio) i computer che montano alcuni antivirus.

Per ovviare a questo problema, Microsoft ha introdotto una procedura che dovrebbe evitare il crash sistematico dei PC che non possono “reggere” all’update. In pratica il sistema permette di scaricare la patch solo a quei PC che hanno un antivirus aggiornato e che non provoca il riavvio ciclico di Windows.

Per riconoscerli, il sistema di aggiornamento controlla che sia presente una particolare chiave nel registro di sistema. Questa chiave è ovviamente pubblica e dovrebbe essere inserita dai produttori di antivirus dopo che hanno testato la patch, fatto gli eventuali aggiustamenti e inviato l’aggiornamento ai loro clienti.

Purtroppo, dei tanti produttori di antivirus in circolazione, alcuni non hanno intenzione di creare alcuna patch apposità, né di mandare una patch che scriva quella chiave nel registro; altri hanno dichiarato che il loro sistema di patch non permette la modifica del registro e quindi l’utente deve “fare a mano”.

Un utile articolo su Bleeping Computer ci ha fornito una panoramica su quali siano  le indicazioni più utili pubblicate da Microsoft in questo caso:

1) Guidance for Windows desktop users
2) Guidance for Windows Server users
3) Security advisory ADV180002  (contains KB numbers for update packages)
4) Update compatibility warning for users with third-party anti-virus software

 

Inoltre, viene pubblicata una tabella che riassume le posizioni dei vari produttori a riguardo. Dopo la tabella, troverete le indicazioni per verificare se la vulnerabilità ancora affligge i vostri sistemi.

 

	Produttore	Prodotto	Registro	Supportato	Commento	Link
	AVAST		Y	Y	Fix pushed yesterday to customers	https://forum.avast.com/index.php?topic=212648.msg1439270#msg1439270
	Avira		Y	Y	Now fixed	https://www.wilderssecurity.com/threads/bork-tuesday-any-problems-yet.370217/page-147#post-2728947
	BitDefender		N	N	Fix this evening or tomorrow	https://www.bitdefender.com/consumer/support/answer/9033/?icid=overlayccom_all_pagesmicrosoft_security_update_01_2018
	Carbon Black		N	N	Assessing impact
	Cisco	AMP	?	?	No statement from vendor so far
	CrowdStrike	Falcon	N	Y	Registry key change scheduled for Monday	https://pbs.twimg.com/media/DStIQkfWkAAPU49.jpg
	Cylance	PROTECT	N	N	Manual registry key setting	https://pbs.twimg.com/media/DStLKBmW4AAmTKV.jpg:large
	Cyren	F-PROT	N	N	Working on a fix, cannot set registry key thru usual update
	EMSI	Anti-Malware	Y	Y	Now fixed	https://twitter.com/fwosar/status/949050228832862208
	Endgame		N	Y	Manual registry key setting	https://www.endgame.com/blog/executive-blog/endgame-compatible-spectremeltdown-patches
	ESET		Y	Y
	F-Secure	SAFE	Y	Y	Update out now. Legacy products tomorrow.	https://community.f-secure.com/t5/F-Secure-SAFE/F-Secure-SAFE-and-KB4056892/m-p/103474
	G-DATA	Antivirus	Y	Y	Reg Key out now.
	Kaspersky		Y	Y		https://support.kaspersky.co.uk/14042
	Malwarebytes	Anti-Malware	Y	Y	Fixed.	https://blog.malwarebytes.com/security-world/2018/01/meltdown-and-spectre-what-you-need-to-know/
	McAfee	Endpoint Protection	N	Y	Registry key change due soon	https://kc.mcafee.com/corporate/index?page=content&id=KB90167
	Microsoft	Windows Defender	Y	Y
	Palo-Alto	TRAPS	N	N	Advisory doesn’t say if TRAPS works with patch or sets key	https://live.paloaltonetworks.com/t5/Customer-Advisories/Information-about-Meltdown-and-Spectre-findings/ta-p/193878/jump-to/first-unread-message
	SentinelOne	EPP	N	Y	Manual registry key setting
	Sophos	Anti-Virus and Central	N	Y	Sophos now plan to push registry key update tomorrow	https://community.sophos.com/kb/en-us/128053
	Symantec	Endpoint Protection	Y	Y	Fix in Eraser Engine 117.3.0.359	https://pbs.twimg.com/media/DSsRaXBVoAEDpMR.jpg:large
	Trend Micro		N	See link		https://success.trendmicro.com/solution/1119183-important-information-for-trend-micro-solutions-and-microsoft-january-2018-security-updates
	VIPRE	Endpoint Security	N	N	Fix under testing	https://businesssupport.vipre.com/support/solutions/articles/1000258536
	Webroot		N	Y	Manual registry key setting	https://community.webroot.com/t5/Security-Industry-News/Microsoft-Patch-Release-1-3-18/m-p/310145

G Data ci ha anche mandato un nota riguardante i sistemi mobili, che riportiamo di seguito: ” Il problema adesso è interamente nelle mani dei produttori di smartphone. Google è perfettamente a conoscenza del problema e insieme ai maggiori produttori ha preso tutte le misure necessarie a mitigare il problema. Ma come sapete, gli aggiornamenti su Android viaggiano lentamente in quanto molto dipende anche dagli operatori telefonici. Secondo il mio modesto parere” – dice Eddy Willems – “questo diventarà un problema serio per i dispositivi più vecchi perché potrebbero non vedere mai una patch. Stiamo ancora investigando sulla fattibilità, ma in futuro potremmo risolvere il problema tramite i nostri prodotti per Android”.

 

Come verificare se il sistema è vulnerabile.

Tra i vari documenti rilasciati da Microsoft, torna utile anche una procedura per verificare se i nostri sistemi sono ancora vulnerabili e a cosa. Si tratta di una procedura da eseguire tramite Powershell, ricordandosi di avviarla in modalità di amministrazione per poter installare le componenti necessarie.

Il comando di seguito, scaricherà e installerà un modulo per testare le vulnerabilità Meltdown e Spectre.

Install-Module SpeculationControl

Se ricevete un errore di esecuzione, potreste aver bisogno di modificare le policy di Powershell utilizzando

Set-ExecutionPolicy Bypass

Se tutto  fila liscio, potete lanciare il test vero e proprio con

Get-SpeculationControlSettings

Probabilmente, il risultato sarà misto o pessimo, con tutte le vulnerabilità ancora da chiudere o con solo le vulnerabilità Spectre ancora da sistemare. L’unica cosa da fare è installare tutte le patch di Windows, una volta assicuratici che l’antivirus non crei problemi, e attendere gli aggiornamenti del firmware di schede madri e processori quando (e se) verranno rilasciati.

 

 

 

 

---

• arm amd, Intel, Meltdown, Spectre

---

---