Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

Point et bonnes pratiques sur Spectre et Meltdown !

Il y a une semaine, le monde passait 2018 avec l’information que la majorité des périphériques équipés d’un processeur Intel, AMD ou ARM, étaient vulnérables à de nouvelles failles de sécurité. Même IBM est concerné par cette problématique. Ceci est valable quel que soit le système d’exploitation (Windows, Linux, macOS, AIX, IBM i, iOS, Android, etc.). En effet, les deux failles en question : Spectre et Meltdown, touchent l’architecture même du processeur. Ceci demande à l’éditeur de modifier le kernel du système d’exploitation afin d’adapter les appels processeur pour que la faille ne puisse pas être exploitée.
Encore une fois, Google a pris tout le monde de cours en révélant la faille quelques jours avant que la mise à jour de sécurité ne soit publiée. A noter qu’Intel vient de publier un autre bulletin de sécurité à propos de son contrôleur de gestion AMT.

Je souhaitais faire un article pour résumer les nombreuses informations que l’on retrouve sur Internet. Je vais me concentrer sur les environnements Microsoft même si vous devez porter une attention particulière pour des machines Linux, macOS ou des périphériques iOS ou Android.

Que faut-il appliquer pour que mon système ne soit pas vulnérable ?

Il existe différents niveaux de mises à jour :

Il existe un risque accru si le serveur physique exécute Hyper-V, Remote Desktop Services Hosts (RDSH) ou du code non connu comme des conteneurs, des extensions pour les bases de données, des sites web non connus, etc. Dans ce cas, il est recommandé d’activer la protection sur le serveur via des clés de registre décrite dans cet article : Windows Server Guidance to protect against the speculative execution side-channel vulnerabilities

Les différentes mises à jour relatives à Microsoft peuvent être déployées via Microsoft Update, Windows Update for Business, WSUS et bien entendu System Center Configuration Manager. Ceci inclus les mises à jour de firmware à destination des périphériques Surface.

A noter que pour ces dernières et System Center Configuration Manager, les firmwares devraient apparaître dans la console d’administration dans les jours qui viennent.

Voici tous les articles de recommandation de Microsoft :

 

Comment appliquer la mise à jour Windows ?

Le changement sur le kernel peut engendrer des incompatibilités avec les applications qui effectuent des appels non standards ou qui ne passent pas par les APIs standards. C’est le cas des Antvirus !

C’est pourquoi, Microsoft a créé un mécanisme spécial pour l’application de la mise à jour de sécurité.  Cette dernière ne s’applique que si la clé suivante a été créée :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat

Valeur : cadca5fe-87d3-4b96-b7fb-a231484277cc
Type : REG_DWORD

Donnée  : 0x00000000

En fonction de l’antivirus et de sa version, la clé a pu être créée automatiquement par ce dernier. C’est le cas pour les antivirus suivants :

  • Windows Defender
  • System Center EndPoint Protection
  • Microsoft Security Essentials
  • Sophos
  • Kaspersky
  • McAfee VirusScan Enterprise 8.8 ou plus et Endpoint Security (ENS) 10.0.2 ou plus
  • ESET

Note : La création de la clé de registre requiert que les mises à jour de définition soient faites et à jour.

Voici la liste des antivirus compatibles :

Vous pouvez cliquer sur les liens pour obtenir la liste des versions. Voici une liste non officielle des antivirus et leur compatibilité.

C’est donc à vérifier que votre antivirus et la version que vous utilisez, a créé la clé nécessaire ou que la version est compatible. Dans ce dernier cas de figure, vous devez créer la clé vous-même.

Plus d’informations sur : Important: Windows security updates released January 3, 2018, and antivirus software

 

Quid du Cloud ?

Les différents fournisseurs Cloud effectuent ou ont effectué des mises à jour des différentes briques. C’est le cas de Microsoft avec les machines virtuelles et les hôtes sur ses Datacenter Microsoft Azure.

 

Comment vérifier si le système est vulnérable ?

Microsoft a publié un module PowerShell SpeculationControl permettant de vérifier si les machines sont vulnérables à cette faille de sécurité.

Il existe de nombreux moyens d’exécuter le script :

  • Via la gestion de conformité de System Center Configuration Manager. Microsoft a publié une baseline pour ce besoin.
  • Via la fonction d’exécution des scripts qui est apparue dans System Center Configuration Manager 1706.

L’article de l’equipe produit ConfigMgr détaille comment mettre en œuvre cette vérification.

Vous pouvez en apprendre plus sur le script et notamment la signification des éléments renvoyés via l’article de la base de connaissances : Understanding the output of the Get-SpeculationControlSettings PowerShell script

En outre, il existe des solutions communautaires qui offre un rapport en interrogeant les différentes machines.

 

Quels sont les problèmes connus ?

Il est à noter que pour l’heure, la mise à jour de sécurité provoque des problèmes avec les périphériques AMD engendrant des écrans bleus sans capacité de restauration des systèmes :

 

Existe-t-il un impact sur les performances ?

Malheureusement, il y a belle et bien un impact qui dépend de nombreux paramètres : Le système d’exploitation, l’application, et la configuration de l’environnement (nombre d’utilisateurs, action effectuée, etc.). Difficile de donner des statistiques exactes, certaines applications sont touchées (Ex : Remote Desktop Services, etc.) alors que d’autres ne le sont pas ou peu.

Chaque fabricant ou éditeur de solution publie (ou ne le fait pas) des informations sur le sujet. Microsoft s’attache en ce moment à évaluer l’impact au cas par cas.

 

Focus sur System Center Configuration Manager

Vous le savez, j’ai une attache particulière à Configuration Manager et par conséquent, il me parait important de donner des recommandations sur l’impact sur ce produit. La mise à jour n’a pas d’impact en termes de compatibilité sur le produit. L’impact sur les performances est négligeable.

Veillez à ne pas suivre les recommandations pour l’application des KB SQL Server en ne désactivant pas la CLR et les linked servers.

Des recommandations spécifiques sont disponibles sur : Additional guidance to mitigate speculative execution side-channel vulnerabilities

Facebook Like
Anonymous