Point et bonnes pratiques sur Spectre et Meltdown !

Il y a une semaine, le monde passait 2018 avec l’information que la majorité des périphériques équipés d’un processeur Intel, AMD ou ARM, étaient vulnérables à de nouvelles failles de sécurité. Même IBM est concerné par cette problématique. Ceci est valable quel que soit le système d’exploitation (Windows, Linux, macOS, AIX, IBM i, iOS, Android, etc.). En effet, les deux failles en question : Spectre et Meltdown, touchent l’architecture même du processeur. Ceci demande à l’éditeur de modifier le kernel du système d’exploitation afin d’adapter les appels processeur pour que la faille ne puisse pas être exploitée.
Encore une fois, Google a pris tout le monde de cours en révélant la faille quelques jours avant que la mise à jour de sécurité ne soit publiée. A noter qu’Intel vient de publier un autre bulletin de sécurité à propos de son contrôleur de gestion AMT.

Je souhaitais faire un article pour résumer les nombreuses informations que l’on retrouve sur Internet. Je vais me concentrer sur les environnements Microsoft même si vous devez porter une attention particulière pour des machines Linux, macOS ou des périphériques iOS ou Android.

Que faut-il appliquer pour que mon système ne soit pas vulnérable ?

Il existe différents niveaux de mises à jour :

• Le système d’exploitation doit être mis à jour en fonction des indications de l’éditeur.
  • January 3, 2018–KB4056897 (Security-only update)
  • January 9, 2018–KB4056894 (Monthly Rollup)
  • January 3, 2018–KB4056888 (OS Build 10586.1356)
  • January 3, 2018–KB4056892 (OS Build 16299.192)
  • January 3, 2018–KB4056891 (OS Build 15063.850)
  • January 3, 2018–KB4056890 (OS Build 14393.2007)
  • January 3, 2018–KB4056898 (Security-only update)
  • January 3, 2018–KB4056893 (OS Build 10240.17735)
  • January 9, 2018–KB4056895 (Monthly Rollup)
  • Notez que Microsoft ne mettra pas à jour Windows XP, Windows Vista, Windows WES 2009, Windows POSReady 2009.
• Le firmware de la machine doit être mis à jour. Microsoft a par exemple publié des mises à jour pour les périphériques Surface encore supportés. Notez que pour certaines mises à jour de firmware, il est recommandé de désactiver BitLocker avant d’installer. Vous pouvez pour cela utiliser une séquence de tâches avec les actions suivantes :
  • Disable BitLocker
  • Install Application
  • Restart Computer
• Pour voir la liste des firmwares publiés en prévision de publication, rendez-vous sur le site des éditeurs :
  • Dell PCs and Thin Client
  • Dell EMC Server, Dell Storage and Networking products
  • Lenovo
  • HP Client
  • HP Server
  • Acer
  • Asus
  • Fujitsu
  • Panasonic
  • Supermicro
  • Toshiba
  • VAIO

• Certaines applications doivent être mises à jour lorsqu’elles font des appels processeurs sur une machine physique. C’est par exemple le cas de toutes les versions de SQL Server (exceptées celles qui fonctionnent sur Itanium…) mais aussi d’autres moteurs de base de données (PostgreSQL, etc.). Ainsi des mises à jour sont disponibles excepté pour les versions non supportées (SQL server 2000 et 2005) :
  • Security Update for SQL Server 2008 SP4 (KB4057114)
  • Security Update for SQL Server 2008 R2 SP3 (KB4057113)
  • Security Update for SQL Server 2016 RTM CU (KB4058559)
  • Security Update for SQL Server 2016 RTM(KB4058560)
  • Security Update for SQL Server 2016 SP1 (KB4057118)
  • Security Update for SQL Server 2016 SP1 CU (KB4058561)
  • Security Update for SQL Server 2017 RTM (KB4057122)
  • Security Update for SQL Server 2017 CU (KB4058562)
  • SQL Server 2016 SP1 CU7
  • SQL Server 2017 CU3

Il existe un risque accru si le serveur physique exécute Hyper-V, Remote Desktop Services Hosts (RDSH) ou du code non connu comme des conteneurs, des extensions pour les bases de données, des sites web non connus, etc. Dans ce cas, il est recommandé d’activer la protection sur le serveur via des clés de registre décrite dans cet article : Windows Server Guidance to protect against the speculative execution side-channel vulnerabilities

Les différentes mises à jour relatives à Microsoft peuvent être déployées via Microsoft Update, Windows Update for Business, WSUS et bien entendu System Center Configuration Manager. Ceci inclus les mises à jour de firmware à destination des périphériques Surface.

A noter que pour ces dernières et System Center Configuration Manager, les firmwares devraient apparaître dans la console d’administration dans les jours qui viennent.

Voici tous les articles de recommandation de Microsoft :

• Windows Client Guidance for IT Pros to protect against speculative execution side-channel vulnerabilities
• Windows Server Guidance to protect against the speculative execution side-channel vulnerabilities
• SQL Server Guidance to protect against speculative execution side-channel vulnerabilities
• Microsoft Cloud Protections Against Speculative Execution Side-Channel Vulnerabilities
• Surface Guidance for Customers and Partners: Protect your devices against the recent chip-related security vulnerability
• Azure Stack guidance to protect against the speculative execution side-channel vulnerabilities
• Exchange Server guidance to protect against speculative execution side-channel vulnerabilities

Comment appliquer la mise à jour Windows ?

Le changement sur le kernel peut engendrer des incompatibilités avec les applications qui effectuent des appels non standards ou qui ne passent pas par les APIs standards. C’est le cas des Antvirus !

C’est pourquoi, Microsoft a créé un mécanisme spécial pour l’application de la mise à jour de sécurité.  Cette dernière ne s’applique que si la clé suivante a été créée :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat

Valeur : cadca5fe-87d3-4b96-b7fb-a231484277cc
Type : REG_DWORD
Donnée  : 0x00000000

En fonction de l’antivirus et de sa version, la clé a pu être créée automatiquement par ce dernier. C’est le cas pour les antivirus suivants :

• Windows Defender
• System Center EndPoint Protection
• Microsoft Security Essentials
• Sophos
• Kaspersky
• McAfee VirusScan Enterprise 8.8 ou plus et Endpoint Security (ENS) 10.0.2 ou plus
• ESET

Note : La création de la clé de registre requiert que les mises à jour de définition soient faites et à jour.

Voici la liste des antivirus compatibles :

• McAfee
• Sophos
• Kaskersy
• Stormshield Endpoint Security
• ESET

Vous pouvez cliquer sur les liens pour obtenir la liste des versions. Voici une liste non officielle des antivirus et leur compatibilité.

C’est donc à vérifier que votre antivirus et la version que vous utilisez, a créé la clé nécessaire ou que la version est compatible. Dans ce dernier cas de figure, vous devez créer la clé vous-même.

Plus d’informations sur : Important: Windows security updates released January 3, 2018, and antivirus software

Quid du Cloud ?

Les différents fournisseurs Cloud effectuent ou ont effectué des mises à jour des différentes briques. C’est le cas de Microsoft avec les machines virtuelles et les hôtes sur ses Datacenter Microsoft Azure.

Comment vérifier si le système est vulnérable ?

Microsoft a publié un module PowerShell SpeculationControl permettant de vérifier si les machines sont vulnérables à cette faille de sécurité.

Il existe de nombreux moyens d’exécuter le script :

• Via la gestion de conformité de System Center Configuration Manager. Microsoft a publié une baseline pour ce besoin.
• Via la fonction d’exécution des scripts qui est apparue dans System Center Configuration Manager 1706.

L’article de l’equipe produit ConfigMgr détaille comment mettre en œuvre cette vérification.

Vous pouvez en apprendre plus sur le script et notamment la signification des éléments renvoyés via l’article de la base de connaissances : Understanding the output of the Get-SpeculationControlSettings PowerShell script

En outre, il existe des solutions communautaires qui offre un rapport en interrogeant les différentes machines.

Quels sont les problèmes connus ?

Il est à noter que pour l’heure, la mise à jour de sécurité provoque des problèmes avec les périphériques AMD engendrant des écrans bleus sans capacité de restauration des systèmes :

• Unbootable state for AMD devices in Windows 8.1 and Windows Server 2012 R2
• Unbootable state for AMD devices in Windows 7 and Windows Server 2008 R2

Existe-t-il un impact sur les performances ?

Malheureusement, il y a belle et bien un impact qui dépend de nombreux paramètres : Le système d’exploitation, l’application, et la configuration de l’environnement (nombre d’utilisateurs, action effectuée, etc.). Difficile de donner des statistiques exactes, certaines applications sont touchées (Ex : Remote Desktop Services, etc.) alors que d’autres ne le sont pas ou peu.

Chaque fabricant ou éditeur de solution publie (ou ne le fait pas) des informations sur le sujet. Microsoft s’attache en ce moment à évaluer l’impact au cas par cas.

Focus sur System Center Configuration Manager

Vous le savez, j’ai une attache particulière à Configuration Manager et par conséquent, il me parait important de donner des recommandations sur l’impact sur ce produit. La mise à jour n’a pas d’impact en termes de compatibilité sur le produit. L’impact sur les performances est négligeable.

Veillez à ne pas suivre les recommandations pour l’application des KB SQL Server en ne désactivant pas la CLR et les linked servers.

Des recommandations spécifiques sont disponibles sur : Additional guidance to mitigate speculative execution side-channel vulnerabilities