微软警告称可能会与AV发生冲突
Windows管理员将不得不小心地为本周突然爆出的Meltdown/Spectre微处理器缺陷应用微软补丁,并警告说它可能会与杀毒软件发生冲突。
该公司警告说,1月3日的补丁可能会导致一些反病毒应用程序的兼容性问题,这些程序会对Windows内核内存进行不受支持的调用。这些调用可能会导致停止(蓝屏)错误,从而停止PC或服务器的启动。微软表示:“为了防止不兼容的反病毒应用程序导致错误停止,微软只向运行反病毒软件的设备提供2018年1月3日发布的Windows安全更新,这些设备的合作伙伴已确认其软件与2018年1月发布的Windows操作系统安全更新兼容。”
“如果你没有得到安全更新,你可能正在运行不兼容的杀毒软件,你应该与你的软件供应商联系。”
企业和云提供商安全团队的领导人正在焦急地等待操作系统补丁来修复某些……
它还说,没有反病毒软件的Windows 7、Windows Server 2008 R2和Windows Server 2012的默认安装应该安装一个受支持的反病毒应用程序(包括免费的微软安全必需品)。
唯一可接受的AV软件是一个重新设置特定的注册表项。如果密钥没有改变,微软将不会发布1月3日的补丁。
该公司表示:“为了帮助保护我们的客户免受蓝屏和未知情况的影响,微软要求所有杀毒软件供应商通过设置Windows注册表项来验证其应用程序的兼容性。”
“在某些情况下,安全更新可能需要一段时间才能送达系统,特别是那些已经关闭或没有连接到互联网的设备。”这些系统重新启动后,应会收到防毒软件供应商的更新。在确保设备具备适当的互联网连接后24小时内仍有问题的用户,应与杀毒软件供应商联系,以了解更多的故障排除步骤。”
一些AV厂商已经发布了补丁。卡巴斯基于12月29日发布了补丁,预计微软将于1月9日发布补丁。McAfee有一个页面,上面有迄今为止测试过的兼容产品。ESET表示,已经为所有消费者和企业用户发布了与微软补丁兼容的防病毒和反间谍软件扫描模块1533.3。
这里有针对WinServer的具体建议。
微软还表示,在x86和x64处理器系统上运行的特定版本的SQL Server也会受到影响:SQL Server 2008、SQL Server 2008R2、SQL Server 2012、SQL Server 2014、SQL Server 2016、SQL Server 2017。有关修补建议,请参阅此文档。
包括微软(Microsoft)、谷歌和亚马逊(Amazon)在内的许多云服务提供商,都已向它们的系统发布了补丁。VMware发布了一些补丁,可以在这里找到。
与此同时,英特尔表示,已开始向PC和服务器制造商以及操作系统制造商发布软件补丁和固件更新,以支持过去5年生产的大多数处理器。
Forrester Research分析师Jeff Pollard表示:“这种芯片漏洞凸显了攻击表面的复杂性,企业安全和风险专业人士负责防御。”在这种情况下,企业所依赖的底层硬件很脆弱,需要紧急修补。操作系统开发人员正在创建一个补丁来减轻其他人的硬件缺陷。企业安全团队需要对补丁的测试和部署进行优先级排序,否则就有可能给攻击者留下可乘之机。这就是为什么我们强调零信任(要求对企业的敏感数据资产建立微边界控制,并提供如何跨其生态系统使用数据的可见性)是网络安全的一个基本概念。你的硬件不安全,你的软件不安全,你的安全产品也不安全。”
Meltdown和Spectre是CPU代码中的漏洞,可以让攻击者获取存储在其他运行程序内存中的秘密。
发现这些缺陷的研究人员表示,“每一个实现无序执行的Intel处理器都有潜在的影响,这实际上是自1995年以来的每一个处理器(2013年之前的Intel Itanium和Intel Atom除外)”。目前还不清楚ARM和AMD处理器是否也受到了Meltdown的影响。
至于Spectre,它已经在Intel、AMD和ARM处理器上得到验证。
US-CERT在这里有一个全面的供应商列表。
在技术术语中,这些是侧通道攻击,利用处理器对代码的投机执行来猜测下一个进程是什么并缓存数据。如果猜错了,缓存应该被清除,但有时不是。
Meltdown打破了阻止应用程序访问任意系统内存的机制,因此恶意应用程序可以访问系统内存。Spectre欺骗其他应用程序访问它们内存中的任意位置。这两种攻击都使用侧通道从被访问的内存位置获取信息。
专家指出,要想利用系统崩溃,攻击者必须在系统上安装代码。然而,有人说JavaScript可以用于通过浏览器进行远程攻击。根据一则新闻报道,Mozilla已经更新了Firefox。谷歌说,当前版本的Chrome浏览器可以通过启用一个叫做“站点隔离”的功能来提高安全性。Chrome 64将于1月23日发布。微软更新了Edge和ie浏览器。
《安全周刊》援引的专家也认为,一些国家已经知道这些漏洞,可能正在利用它们。
McAfee表示,仍在测试产品与微软、Linux和macOS的兼容性。那些与微软兼容的包括防止数据丢失9.4及以后,终端安全10.2及以后,McAfee代理4.8.3及以后,以及病毒扫描企业8.8补丁9及以后。列表正在更新中。
McAfee仍然建议首先在非关键系统上应用手动更新,以确保与可能使用低级操作系统特性的软件兼容。
McAfee说:“这些攻击对恶意组织或个人具有独特的吸引力,因为攻击面几乎是前所未有的,攻击载体相对较新,影响(特权升级和高度敏感内存泄漏)是有害的。”此外,Meltdown和Spectre都很难被探测到,因为它们不会留下痕迹或停止程序执行。这使得感染后的调查和攻击归因更加复杂。”
唯一自然的缓解因素是,这些攻击需要执行本地代码。一些第三方已经确定JavaScript是一个适用的交付点,这意味着这两种攻击理论上都可以在浏览器中运行,有效地开辟了远程交付的途径。”
赛门铁克表示,任何攻击都需要在系统上运行恶意应用程序,使用JavaScript来触发攻击或运行JavaScript来映射内核。所有这些恶意活动都可以被赛门铁克产品阻止。不过,我们建议用户在操作系统补丁可用时尽快应用它们。”
云威胁防御公司RedLock的首席执行官兼联合创始人Varun Badhwar在一份声明中说:“这些漏洞的潜在广泛影响确实令人担忧。Meltdown漏洞清楚地提醒我们,公共云计算环境的安全性是云服务提供商和客户之间的共同责任。在这种情况下,Amazon、Microsoft和谷歌通过立即在它们的云基础设施上推出补丁来完成它们的工作。但同样重要的是,组织也要做好自己的工作,为云环境中运行的各种操作系统安装软件补丁。”
