web-dev-qa-db-fra.com

Sur les boîtes Windows, le patch pour Spectre et Meltdown est-il nécessaire?

D'après ce que j'ai lu, Spectre et Meltdown nécessitent chacun un code escroc pour s'exécuter sur une boîte Windows afin que des attaques aient lieu. Le fait est qu'une fois qu'une boîte a du code escroc en cours d'exécution, c'est déjà compromis.

Étant donné que les correctifs Microsoft pour Spectre et Meltdown ralentiraient apparemment les systèmes corrigés , il semble que peut-être une bonne décision de laisser les systèmes Windows non corrigés au niveau du système d'exploitation.

En supposant que le code non autorisé n'est pas installé sur une boîte Windows, le seul point de pénétration facile dans un système semble être via javascript exécuté dans un navigateur Web. Pourtant Firefox de Mozilla et Internet Explorer de Microsoft ont déjà été corrigés . Google Chrome n'est pas actuellement corrigé, mais il peut apparemment être exécuté dans isolation stricte du site afin d'empêcher Sprectre et Meltdown réussis attaques.

Compte tenu de tout ce qui précède (et en supposant les meilleures pratiques de ne pas exécuter de code inconnu), est-il vraiment logique de patcher Windows pour Spectre et Meltdown?

36
RockPaperLizard

le seul point de pénétration facile d'un système semble être via javascript exécuté dans un navigateur Web.

Et Flash? Java? Silverlight? VBA dans un document de bureau? Des applications qui chargent des pages Web en elles-mêmes?

Le fait est qu'une fois qu'une boîte a du code escroc en cours d'exécution, elle est déjà compromise.

Avec du code exécuté sous votre compte utilisateur, beaucoup peut être fait. Mais compromis est un terme relatif. Vous ne pouvez pas par exemple installer un enregistreur de frappe de bas niveau. Les autorisations peuvent vous empêcher de lire l'espace mémoire d'autres applications même lorsqu'elles sont exécutées sous le même compte d'utilisateur. Et bien sûr, vous n'avez pas accès aux fichiers et processus exécutés sous d'autres comptes d'utilisateurs. Un utilisateur sur une machine d'entreprise n'a pas pu détourner une autre session d'utilisateurs connectés.

Pouvoir lire des valeurs arbitraires RAM peut vous donner les jetons d'accès nécessaires pour vaincre tout cela.

85
Hector

Dans mon monde, appliquer des patchs est une évidence. Nous allons le faire et il faut une exception pour NE PAS appliquer de correctif.

En ce moment, ce sont des exploits que nous connaissons pour Spectre et Meltdown. Mais qu'est-ce qui garantit qu'il n'y en aura pas plus? De plus, de nombreux exploits (tels que Wannacry/Petya) impliquent des systèmes qui ne sont pas corrigés pour ce problème connu.

Je terminerais par cette pensée: êtes-vous prêt à miser sur votre réputation professionnelle en n'appliquant pas un correctif connu pour corriger une vulnérabilité connue? Cela ne me semble pas être un pari judicieux. Imaginez dans votre entreprise si des logiciels malveillants basés sur l'un de ces deux pénètrent dans votre réseau. L'une des premières questions de la direction est: comment est-ce arrivé? Savions-nous que c'était possible? Y avait-il des interdictions disponibles et si oui, les avons-nous appliquées? J'ai fait l'objet de ces questions sur la base des décisions de la direction d'accepter un risque pour la sécurité et ce n'était pas un endroit confortable.

Pour répondre à votre question: non, ce n'est pas nécessaire. Mais ne pas le faire, l'OMI, est irresponsable.

31
baldPrussian

Oui, car il peut être utilisé pour une élévation de privilèges. Habituellement, si une attaque compromet un hôte, il n'a que des privilèges d'utilisateur. En utilisant cette vulnérabilité, ils peuvent augmenter les privilèges en divulguant des informations d'identification. L'escalade de privilèges est importante pour les attaquants pour l'exécution de nombreuses attaques, telles que l'usurpation d'arp, le relais SMB/LDAP, le détournement de jeton, le dumping d'informations d'identification, etc.

8
Daniel Grover

Installez les correctifs, sauf si vous avez une très raison très forte de ne pas le faire.

L'approche que vous décrivez peut se résumer comme suit:

Je connais l'exploit X. Je pourrais corriger mon système d'exploitation pour résoudre l'exploit X, ou je pourrais revoir soigneusement chaque opération que je fais sur mon ordinateur (y compris les tâches de mise à jour automatisées effectuées pour moi). Si aucune de ces tâches ne présente de risque, je n'ai pas besoin d'installer le correctif.

Oui, en effet, votre logique est solide. C'est la même logique qui dit "Un ordinateur qui est hors tension et débranché est très résistant aux pirates". Cependant, il vous demandera d'exister dans un état de vigilance continu. Chaque octet de code qui est transféré sur votre ordinateur doit provenir d'une source fiable à 100%. Vous pouvez même opérer sur un réseau où cette logique est suffisamment solide. Mais ce n'est probablement pas le cas, alors installez les correctifs. (Stuxnet peut être l'ultime exemple de ce qui se passe lorsque quelqu'un pense que son réseau est impossible à pirater)

Vous devrez rester dans cet état de vigilance continue pour toujours, ou au moins jusqu'à ce que vous attachez et installez les correctifs.

Comme Daniel Grover réponses , considérez cela comme un vecteur d'escalade de privilèges. La sécurité de nombreux systèmes dépend de l'hypothèse qu'un secret est, en effet, un secret. Meltdown/Specter remet en question cette hypothèse.

8
Cort Ammon

Sous Windows, un correctif pour Spectre et Meltdown est-il nécessaire?

D'après ce que j'ai lu, Spectre et Meltdown nécessitent chacun un code escroc pour s'exécuter sur une boîte Windows afin que des attaques aient lieu. Le fait est qu'une fois qu'une boîte a du code escroc en cours d'exécution, elle est déjà compromise.

Tout d'abord, cela ressemble énormément à ce que vous dites, pour éviter d'être piraté via Spectre ou Meltdown, vous devez simplement éviter d'être piraté par n'importe quelle méthode. Mais c'est une chose beaucoup plus difficile à faire!

Deuxièmement, comparez,

Dans une entreprise, le verrouillage du coffre-fort est-il nécessaire?

D'après ce que j'ai lu, voler des choses dans un coffre-fort nécessite qu'un voleur se trouve à l'intérieur du bâtiment. Le truc, c'est qu'une fois qu'un voleur est à l'intérieur du bâtiment, il est déjà compromis.

Bien sûr, mais se protéger de certaines des choses que le voleur pourrait faire est encore mieux que de lever les mains et de dire: "Eh bien, il a pour qu'il puisse tout aussi bien prendre ".

4
David Richerby

Le meilleur argument que j'ai vu pour appliquer des correctifs lorsqu'il est présenté avec cette ligne de pensée est le suivant:

Détecter Spectre et Meltdown est très difficile et votre produit AV ne va pas arrêter ces attaques.

Ce sont des failles dans le matériel exploitant l'exécution spéculative (prédiction de branche, etc.). Votre processeur fait toujours cela et détecter les utilisations malveillantes sera extrêmement difficile à faire. Toute la stratégie d'atténuation consiste donc à corriger, car la détection n'est pas envisageable.

Étant donné le nombre d'exploits PoC qui ont été développés et démontrés au cours de la semaine dernière (et juste à partir d'une idée de ce qu'étaient les bogues, avant la fin de l'embargo), je ne doute pas qu'il existe des exploits malveillants armés pour ces bogues.

1
casey