Meltdown e Spectre: cosa c’è da sapere
Avrai notato che i primi giorni dell’anno sono apparsi ovunque articoli sulle vulnerabilità, sui pericoli e sui problemi legati a
MeltDown e
Spectre.
L’estrema sintesi del problema è questa.
Le moderne CPU hanno una particolare modalità di lavoro che permette di predire e
prevedere le operazioni future da eseguire: quindi iniziano già a eseguire le istruzioni che con più probabilità eseguirà l’utente per potergli dare delle risposte più veloci.
Il problema è che in questa modalità di lavoro sono state riscontrate delle
falle che permettono agli hacker di accedere praticamente a qualsiasi informazione perché riescono a “registrare” tutto quello che avviene sul PC.
In questo momento non ci sono notizie confermate di hacker che abbiano sfruttato queste vulnerabilità, ma sono stati i laboratori di Google che per primi che hanno “studiato e testato” Meltdown e Spectre.
I puristi e i più curiosi possono trovare spiegazioni più precise e puntuali in un bel
post di Bleeping Computer.
Poiché non è possibile cambiare tutte le CPU del mondo, il problema va
risolto via software.
Questa situazione è
contemporaneamente un
problema (da gestire)!!!
Partiamo dal problema da gestire.
Il problema e la soluzione
Parlo di problema non solo perché c’è un problema oggettivo (il baco contenuto nei processori), ma anche un
problema derivato.
Poiché infatti si tratta di un “baco” pervasivo, praticamente
tutti i sistemi devono essere messi in sicurezza.
Le PatchMicrosoft ha già rilasciato le patch per mitigare il problema nei primi giorni di Gennaio 2018.
| Sistema operativo |
Update KB |
| Windows Server, version 1709 (Server Core Installation) |
4056892 |
| Windows Server 2016 |
4056890 |
| Windows Server 2012 R2 |
4056898 |
| Windows Server 2012 |
Non ancora disponibile |
| Windows Server 2008 R2 |
4056897 |
| Windows Server 2008 |
Non ancora disponibile |
| Windows 10 |
4058702 |
| Windows 8.1 |
4056898 |
| Windows 7 |
4056897 |
La tabella precedente è relativa ai sistemi Microsoft, ovviamente.
Ma, come detto, il problema è molto più generalizzato e non si deve stare a guardare solamente ciò che fa Microsoft.
Per sistemi Android e piattaforme basate su tecnologie
Google c’è un
bollettino di aggiornamento.
Così come per sistemi Mac OS e prodotti
Apple esiste un’apposita
pagina dedicata al problema
Per Windows è tutto facile, basta scaricare le patch di Microsoft, no?
Sì e no.
Intanto le patch, a seconda della pacchettizzazione di Microsoft vanno dai 15 MB in su per cui non sono aggiornamenti che si possono fare a cuor leggero.
In secondo luogo le
patch sopra elencate non si installano automaticamente se prima non è impostata una determinata
chiave di registro, come indicato più avanti in questo articolo.
La questione antivirus
Le patch di Microsoft, lavorando a basso livello, hanno un “simpatico” inconveniente: sono risultate
non compatibili con molti antivirus (o viceversa, sono gli antivirus che non sono compatibili con la nuova patch).
Per evitare inconvenienti, la patch di Microsoft si installa solo se il produttore di antivirus “certifica” il proprio prodotto come compatibile impostando una determinata chiave di registro.
Se quindi questa
chiave non è presente negli endpoint, questi
non potranno ricevere gli aggiornamenti di Microsoft.
Alcuni prodotti, come
Webroot, sono
già compatibili con la patch anche se non sono ancora in grado di impostare questa chiave in maniera automatica.
In pratica si tratta di
aggiungere “a mano” o con opportuno script questa
chiave di registro:
Key=”HKEY_LOCAL_MACHINE” Subkey=”SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” Value=”cadca5fe-87d3-4b96-b7fb-a231484277cc” Type=”REG_DWORD”
Ripeto. Per poter
installare le patch di Microsoft che mitigano i problemi MeltDown/Spectre è
necessario avere questa
chiave di registro impostata.
per comodità la rendiamo disponibile per il download
qui
Il file .reg per modificare il registro può essere
scaricato online e l’istruzione per eseguirlo è:
REGEDIT.EXE /S “percorso_del_file_reg\QualityCompat.reg”
Un
elenco aggiornato della situazione degli antivirus più diffusi sul mercato (relativamente alla compatibilità con le patch Microsoft) lo puoi trovare
qui.
Riassumendo: che fare
- Documentati quanto più possibile
Un buon punto di partenza sono tre post di Bleeping Computer:
- Google: Almost All CPUs Since 1995 Vulnerable To “Meltdown” And “Spectre” Flaws
- How to Check and Update Windows Systems for the Meltdown and Spectre CPU Flaws
- List of Meltdown and Spectre Vulnerability Advisories, Patches, & Updates
- Verifica (col produttore) se il tuo antivirus è già compatibile con le patch Microsoft, ed eventualmente crea la chiave di registro.
Ti ricordo che un elenco della situazione degli antivirus è disponibile online.
- Installa le patch sui client scaricandola e “pushandola” direttamente sui PC
- Installa le patch sui server.
L’elenco delle patch per i server, oltre che più in alto in questo articolo, lo trovi sul sito Microsoft in questo articolo, che spiega anche come modificare opportunamente le chiavi di registro per minimizzare i rischi dei bug e come verificare se le patch sono state applicate con successo.
- Aggiorna il BIOS delle macchine e i browser: Firefox va aggiornato alla versione 57.0.4 e Chrome all’aggiornamento che verrà rilasciato il 23 Gennaio.
E’ necessario tenere a mente che in alcune circostanze sono stati riscontrati dei
rallentamenti nei sistemi dove sono state installate le patch.
Inoltre pare che gli aggiornamenti su sistemi con CPU AMD Athlon mandino in
schermata blu i pc.
Ti suggeriamo quindi di valutare con attenzione come e quando installare le patch.
Per i più tecnici, questo è quello che bisogna fare per verificare ( su sistemi che usano
PoweShell 5.0 o successivi) se le macchine sono vulnerabili:
- avviare PowerShell come Admin
- avviare il seguente comando: Install-Module SpeculationControl
- installare gli elementi aggiuntivi come da richieste
- avviare il seguente comando: get-speculationcontrolsettings
- se vedi dei “False” (in rosso), l’OS non è protetto.
Se la situazione è la seguente, tutto è regolare:
