Stato Patch di Sicurezza per Vulnerabilità Spectre e Meltdown

01/08/2018

Proto: N010118.

Con la presente Yoroi desidera informarLa riguardo ai recenti sviluppi relativi alle vulnerabilità Spectre e Meltdown pubblicate ad inizio 2018 le quali affliggono in maniera pervasiva varie generazioni di CPU moderne:

Meltdown: principalmente CPU Intel (ogni cpu dal 1995 eccetto Intel Itanium e Atom prima del 2013)
- La problematica è relativa a condizioni di esecuzione speculativa per le quali è possibile bypassare i controlli di sicurezza ed accedere ad aree memoria privilegiate da parte di un processo malevolo.
Spectre: CPU Intel, AMD e ARM
- Problematica di "Information Leakage" legata all'esecuzione speculativa di codice da parte di processi malevoli al fine di accedere ad aree di memoria inattese generalmente all'interno dello stesso processo.

Per via della potenziale ampiezza della superficie esposta alle problematiche, della dipendenza da fattori fisici, del rilascio di dettagli tecnici e strumenti atti alla replicazione delle criticità, risulta importante pianificare efficacemente l’applicazione delle patch di sicurezza per mitigare il rischio di futuri attacchi.

A questo proposito Yoroi desidera effettuare alcune distinzioni sui principali scenari di rischio e sulle potenziali criticità legate all'applicazione degli aggiornamenti di sicurezza stessi.

In primo luogo le vulnerabilità Spectre e Meltdown richiedono che all’interno delle macchine vittima sia eseguito codice “malevolo”, perciò i principali scenari di rischio ai quali è opportuno prestare attenzione si articolano in:

Data Center e Cloud, dove utenti possono arbitrariamente eseguire programmi e macchine virtuali all'interno di nodi con risorse fisiche condivise (CPU e memoria), in quanto sono possibili attacchi che permettono ad una istanza “Guest“ di accedere ad aree di memoria dell’Host/Hypervisor o di altri “Guest” sulla stessa infrastruttura, violandone la segregazione;
Jump Server e macchine ponte, dove utenti/fornitori/consulenti possono collegarsi per poi accedere a servizi interni (sia Linux che Windows), in quanto è possibile accedere ad aree di memoria inattese e di sistema (e.g. accesso a token di altre utenze, credenziali, chiavi private);
Browser Web all’interno di Client di rete, dai quali sono accedute sia risorse esterne che portali o documenti riservati, in quanto tali problematiche sono sfruttabili anche attraverso l’esecuzione di codice Javascript all'interno dei principali browser, permettendo l’accesso a dati e token di applicazioni web terze.

Tuttavia, l’applicazione delle patch di sicurezza può comportare problematiche operative pertanto è necessario prevedere opportuni test considerando:

Possibili problemi di compatibilità con sistemi Antivirus e moduli kernel, le patch per Spectre e Meltdown applicate a livello di sistema operativo possono presentare incompatibilità con i moduli kernel degli Antivirus in uso, pertanto, prima dell’applicazione degli aggiornamenti di sistema è necessario aggiornare le installazioni antivirus/antimalware e verificare lo stato di compatibilità direttamente con il proprio Vendor.
Problemi di compatibilità delle patch di Microsoft Windows con processori AMD Athlon, per i quali sono state registrate molteplici richieste di supporto per malfunzionamenti a seguito dell’applicazione degli aggiornamenti di sistema KB4056892.
Possibili problemi di performance, legate alla modifica dell’esecuzione speculativa. In questo frangente, per sistemi Linux/RedHat si possono utilizzare i seguenti riferimenti di base:
- Range di impatto 8-19%, in caso di alti accessi a memoria e cache, buffered I/O, carichi di lavoro tipici legati a database OLTP
- Range di impatto 3-7%, in applicazioni di database analytics, Decision Support System (DSS), applicazioni su Java VM.
- Range di impatto 2-5%, in HPC (High Performance Computing) con carichi di lavoro CPU-intensive.

Di seguito si riportano i riferimenti ai principali bollettini di sicurezza relativi alle tecnologie di riferimento in ambito datacenter, server, cloud, OS ed applicativi utili alle mitigazioni degli scenari di rischio precedentemente descritti:

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Cookie	Duration	Description
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duration	Description
_gat_gtag_UA_209986505_1	1 minute	Set by Google to distinguish users.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Stato Patch di Sicurezza per Vulnerabilità Spectre e Meltdown

01/08/2018

Subscribe to our early warning system