Microsoft: możesz nie dostać patcha na Meltdown/Spectre jeśli masz „niekompatybilnego” antywirusa

04 stycznia 2018, 20:30 | W biegu | komentarze 24
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Sam problem pokazuje jak głębokie musiały być zmiany w systemie Windows, żeby załatać niesłynną parę podatności Meltdown/Spectre (podatne przede wszystkim procesory Intela oraz ARM, w mniejszym stopniu też AMD, ale również inne architektury (IBM System Z, POWER8 (Big Endian and Little Endian), and POWER9 (Little Endian)).

Okazało się, że jeśli Microsoft po prostu zaaplikuje patcha na działające Windowsy, pewne antywirusy spowodują po prostu bluescreena. Rebootujesz system i… znowu bluescreen.

Jak próbuje sobie z tym poradzić producent Windowsa? Aby patch był zaaplikowany, musi być ustawiony ten klucz w rejestrze:

Key=”HKEY_LOCAL_MACHINE” Subkey=”SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat”Value=”cadca5fe-87d3-4b96-b7fb-a231484277cc” Type=”REG_DWORD”

W założeniach, najpierw twórca antywirusa sprawdza kompatybilność z patchem, a po jej potwierdzeniu ustawia wpis w rejestrze i finalnie Microsoft łata.

Sytuacja zmienia się dynamicznie i miejmy nadzieję, że większość antywirusów będzie kompatybilna. Z drugiej strony presja czasu raczej nie sprzyja dokładnemu testowaniu, a pamiętajmy też że antywirusy to tylko jedne z potencjalnie wielu produktów mogących powodować bluescreeny związane z ostatnim łataniem.

Ciężko też powiedzieć czy jedna seria patchy wystarczy do pełnego pozbycia się problemu, szczególnie jeśli chodzi o Spectre (przynajmniej badacze, którzy pracowali nad problemem, są dość sceptyczni).

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. John Sharkrat

    Prawda o skuteczności tych ataków jest dokładnie talka sama jak o końcu świata spowodowanym wirusem milenijnym czy zakończeniu wsparcia dla XP.
    Nie od dziś wiadomo, że każdy użytkownik windowsa XP po zakończeniu wsparcia jest 300 razy dziennie skutecznie zawirusowywany i musi 301 razy stawiać windowsa od nowa.
    Aktualizacje windowsa wyłączyłem w 2015 roku i co i nic.

    Odpowiedz
    • UnitedStatesOfPortugalia

      Ty tak serio ? Dawno temu, czasami zdarzało mi się myśleć podobnie,
      dzisiaj myślę że nasze osądy skuteczności ataków w wykorzystaniu danej podatności są często proporcjonalne do naszych umiejętności :)

      Odpowiedz
      • John Sharkrat

        Pytanie za 100 pkt.
        Co jest bardziej prawdopodobne:
        a) trafienie przeze mnie piątki w Totka
        b) złapanie wirusa przeze mnie?
        c) złapanie wirusa przez pracowników, którzy mają dostęp tylko do Allegro i dwóch portali wp.pl i o2.pl i firmowej poczty.
        d) wk*rwiania się na spowolnienie kompa i skrócenie czasu pracy na laptopie.
        e) marudzenie pracowników, że kompy im za wolno pracują i trzeba wydać kilkadziesiąt tys. na nowy sprzęt.

        Przed odpowiedzią radzę poczytać artykuły na temat armagedonu spowodowanego pozostaniem przy XP i nieprzejściu na nowsze wersje systemu, po 8 kwietnia 2014 roku.
        Kompy z XP wycofuję tylko dlatego, że oprogramowanie używane w firmie przestaje lub przestało wspierać XP.

        Odpowiedz
        • Malcolm

          Stawiam, że:
          f) udar

          Odpowiedz
        • UnitedStatesOfPortugalia

          Zgadza się, wszystko jest kwestią analizy ryzyka :).
          Ja nie używam HIDów ani AV ale mojej mamie radził bym aby zawsze miała zaktualizowany.
          Natomiast nie wiem czy można wszytko tłumaczyć na przykładzie systemów detekcji zagrożeń.
          W tym wypadku mamy lukę typu 0-day, pozwalającą odczytywać pamięć systemu operacyjnego (prawie jak w przypadku HeartBleed).
          I o ile wirusy są raczej większym zagrożeniem dla mojej mamy niż dla mnie to w przypadku podatności 0-day może być proporcjonalnie odwrotnie.
          Kwestia zysków, kosztów, nakładu pracy. Raczej nikt nie będzie atakował 0d mojej matki, kiedy może wysłać jej załącznik w mailu, ale jakąś korporacje, pana prezesa, premiera no i oczywiście mnie :D . WhyNot

          Odpowiedz
          • John Sharkrat

            Po pierwsze przeglądarki już są odporne, a z nimi wiązało się największe ryzyko. Po drugie Meltdown nie jest skalowalny, więc uzyskanie danych jest problematyczne i nigdy niezostanie wykorzystany na masową skalę, a spersonalizowany atak na ciebie jest mało prawdopodobny, a z wykorzystaniem tych podatności, nawet gdybyś ich nie połatał, byłoby czysta głupota.

        • UnitedStatesOfPortugalia

          „… a spersonalizowany atak na ciebie jest mało prawdopodobny …”
          Nie wiesz pewnej rzeczy .
          To ja Andrzej Duda, zawsze byłem fanem security.

          Odpowiedz
          • Prosty Ubek

            Chyba Adrian.

      • John Sharkrat

        Panika zawsze była gorsza od faszyzmu.

        Odpowiedz
  2. Mirek

    infamous = niesławny

    Odpowiedz
    • Łukasz

      A nie chodzi tu raczej o osławionego? :)

      Odpowiedz
  3. krakowiak

    Sandboxie przestał działać (windows 7 x64 )

    Odpowiedz
  4. Tomasz21

    Witam; Dużo ciekawego,można się dowiedzieć na temat Wind.-Microsoft.
    Ale cały czas mnie zastanawia,ta walka z wiatrakami.Gdzie kończy się ludzka cierpliwość? Widocznie ja jestem straszny nerwus.Kiedyś miałem
    X P-eka,wystarczyło że musiałem 3razy zrobić reinstalacje,z powodów jak
    w temacie.To było dokładnie trzy lata temu.Zainstalowałem Minta17.
    A po dwóch latach przeszedłem na Debian8.Od tamtej pory cisza i spokój.Aż w uszach dzwoni.Spokojnie można się skoncentrować na innych zadaniach,bardziej przydatnych.Pozdrawiam i życzę w nowym roku
    wiele szczęścia i pomyślności.

    Odpowiedz
  5. Macias

    1.Jak bardzo krytyczne są te podatności?
    1.1 pytam ponieważ w mediach zrobił się z tego straszny szum, a producenci (przynajmniej ci których sprawdzałem) nie uznają łatek jako krytycznych. (Microsoft/ VmWare)

    2. Czy podany atak nie wymaga prawie „laboratoryjnych” warunków?

    3. Na razie nie ma gotowych opublikowanych expolitów?

    Odpowiedz
    • 1. Jak takie niekrytyczne to dlaczego duzi operatorzy cloudowi bootowali się lekko w panice a Microsoft nie przetestował dokładnie patcha z różnymi AV?
      :)

      2. IMO nie wymaga.

      3. Chyba jeszcze nie ma.

      ***
      A krytyczność – w ogólnym przypadku chodzi o wyciek danych, a nie np. o wykonanie kodu w OS (na to często rezerwuje się flagę Critical).
      A wyciek danych może być niczym (wycieka imie Twojego psa), albo czymś ostrym – wycieka hasło do Twojego password managera i sam plik password managera.

      Odpowiedz
      • 100% Arki we Wrzeszczu

        MS mnie wczoraj wku*wil po calosci. Niestety w Azure (nie moja decyzja) trzymamy Jire i Confluence (baza na Postgresie, zeby bylo lepiej). MS zaplanowal restarty na 10 stycznia. Mysle sobie, super zrobie pare testow Phornixem przed, a restart zaplanuje na piatek (dzisiaj). I co? I wielki ch*j. MS zaczal restartowac trzy razy kazda VM, wczoraj. Zeby bylo smieszniej to robil to tak, ze kazda maszyne trzeba bylo recznie startowac i nie robili tego na raz, tylko raz ta, a raz inna. Czyli nawet jak Jira i Confluence dzialaly, to lezala maszyna z Postgresem. W AWS nie mamy nic krytycznego wiec specjalnie nie obserwowalem.

        Odpowiedz
      • Krzysiek

        Wycieka haseł…
        czy wystarczy mieć wszystkie hasła w głowie, czy to też za mało?

        Odpowiedz
        • doman

          Wyciek dotyczy pamięci RAM a więc też wpisywanego hasła. To czy masz je zapisane na dysku w przeglądarce to nie istotne.

          A exploity się na bank pojawią i to na dniach. Jeszcze nigdy nie było chyba żeby dziura dotyczyła tak wielkiej ilości konfiguracji (a nie tylko np. konkretnej wersji kernela czy softu) więc trzeba się liczyć z tym że każdy syf który od teraz będzie powstawał będzie sprawdzał czy ma dostęp poza domenę adresów użytkownika.

          Odpowiedz
          • John Sharkrat

            UAHAAHAHAHA. Takie ataki nigdy nie będą masowe, bo kiepsko się skalują. Poza tym przeglądarki Edge i Firefox już je praktycznie niwelują, za chwilę Chrom i pozostałe też będą uodporniały.
            Jak zwykle z dużej chmury mały deszcz.

            Ciekawe ile można było zarobić na akcjach Intela na tej g*wnoburzy.

      • oi

        wyciek imienia psa również może być czymś ostrym :D

        Odpowiedz
        • jak ktoś używa jako jedno z pytań do przypomnienia hasła to pewnie rzeczywiście ;)

          Odpowiedz
      • John Sharkrat

        1. Jak takie niekrytyczne to dlaczego duzi operatorzy cloudowi bootowali się lekko w panice a Microsoft nie przetestował dokładnie patcha z różnymi AV?
        :)

        Odpowiedzi są proste. Nie testował innych AV, bo jak wiadomo ich jest najlepszy, co BSOD-y miały tylko potwierdzić. Nie od dziś jest tajemnicą poliszynela, że microsoft chce pozbyć się konkurencji firm od AV. Zresztą to nie pierwszy przypadek, że AV po poprawce microsoftu ma BSOD-a. Z tego wynika, ze jest to CELOWE i ŚWIADOME działanie, a nie pośpiech.

        Operatorzy cloudowi nie robili tego w panice, a robili to po to, aby jak to zwykle bywa przy takich okazjach, za drobny i nieistotny problem nie płacić miliardów odszkodowań. Można by ich przecież pozwać za to że nie dbają o dane klienta i narażają go na miliardowe straty, mimo że ten handluje na alliexprecie słabymi, tanimi aluminiowymi garnkami.
        Operatorzy łatali serwery z tego samego powodu z którego na kubkach z kawą i herbatą napisano, że są gorące, bo ktoś kupujący gorącą kawę lub herbatę mógłby przecież nie wiedzieć, że są gorące. Drobne poparzenie, chwila cierpienia i milion $ odszkodowania. Warto? Chyba tak.

        Odpowiedz
  6. Jacek

    A ja o tym czytałem w teoriach spiskowych 8 lat temu, no i proszę głupia sprawa jak atak na mega skalę z wykorzystaniem topowego hardware staje się prawdą. Moim skromnym zdaniem ktoś przez 10 lat mógł na tym robić niezły bajzel :). Chyba, że faktycznie było tak, że 10 lat temu inżynier z Intela przybiega z kartką do dyrektora Panie mamy poważny problem… dyrektor – zamknij ryj $$$ muszą się zgadzać :D

    Odpowiedz
  7. Krzysztof Kozłowski

    Zabawna rzecz… Poprawka się zainstalowała a Windows 7 umarł z BSOD…
    Ale to nie AV jest winny bo to Eset który żadnych problemów na innych komputerach nie dał. Boję się że może być różowo bo to trafiło na mało ważną maszynę ale zaczynam się obawiać plagi mało wyjaśnianych BSOD . Zdaje się ze sporo będzie zmiennych które będą dawać do pieca.

    Odpowiedz

Odpowiedz