web-dev-qa-db-ja.com

Windowsボックスでは、SpectreとMeltdownのパッチは必要ですか?

私が読んだことから、SpectreとMeltdownはそれぞれ、攻撃が行われるためにWindowsボックスで実行されている不正なコードを必要とします。問題は、ボックスで不正なコードが実行されると、すでに侵害されているです。

SpectreとMeltdownのMicrosoftパッチ 報告によると、パッチを適用したシステムの速度が低下する であることを考えると、おそらくOSにWindowsシステムのパッチを適用しないままにすることは適切な判断のようですレベル。

Windowsボックスに不正なコードがインストールされていない場合、システムに侵入しやすいのは、Webブラウザーで実行されているJavaScriptを経由することだけです。まだ MozillaのFirefoxとMicrosoftのInternet Explorerの両方がすでにパッチされています 。 GoogleのChromeは現在パッチが適用されていませんが、成功するのを防ぐために 報告によると厳密なサイト分離で実行できますSprectreおよびMeltdown攻撃。

上記すべて(および未知のコードを実行しないというベストプラクティスを想定)を前提として、SpectreとMeltdownのWindowsにパッチを適用することは本当に意味がありますか?

36
RockPaperLizard

システムへの簡単な侵入の唯一のポイントは、Webブラウザーで実行されているJavaScriptを介しているようです。

フラッシュはどうですか? Java? Silverlight? OfficeドキュメントのVBA?内部にWebページをロードするアプリケーションはありますか?

問題は、ボックスで不正なコードが実行されると、すでに侵害されていることです。

ユーザーアカウントでコードを実行すると、多くのことができます。しかし、妥協は相対的な言葉です。たとえば、低レベルのキーロガーをインストールすることはできません。同じユーザーアカウントで実行されている場合でも、アクセス許可により、他のアプリケーションのメモリ領域を読み取ることができない場合があります。もちろん、他のユーザーアカウントで実行されているファイルやプロセスにはアクセスできません。企業のマシンのユーザーは、別のログインユーザーセッションをハイジャックできませんでした。

任意のRAM=値を読み取ることができることで、これをすべて無効にするために必要なアクセストークンを取得できます。

85
Hector

私の世界では、パッチの適用は当たり前です。それを行うつもりで、パッチを適用しない場合は例外が発生します。

現時点では、これらはSpectreとMeltdownについて私たちが知っているエクスプロイトです。しかし、これ以上ないことを保証するにはどうすればよいですか?さらに、そこにある多くのエクスプロイト(Wannacry/Petyaなど)には、この既知の問題に対してパッチが適用されていないシステムが関係しています。

私はこの考えに近づきます:既知の脆弱性を修正するために既知のパッチを適用しないことについての専門家の評判を賭ける準備はできていますか?私には、それは賢明な賭けではないようです。これら2つのうちの1つに基づくマルウェアがネットワークに侵入した場合、企業内で想像してみてください。経営陣の最初の質問の1つは、次のとおりです。それが可能であることを知っていましたか?利用可能な予防策はありましたか。もしあれば、適用しましたか?私は、セキュリティリスクを受け入れるという経営陣の決定に基づくこれらの質問の主題であり、快適な場所ではありませんでした。

あなたの質問に答えるために:いいえ、それは必要ではありません。しかし、それを怠ったIMOは無責任です。

31
baldPrussian

はい、特権の昇格に使用できるためです。通常、攻撃によってホストが侵害された場合、ホストにはユーザー権限しかありません。この脆弱性を利用して、資格情報を漏らして特権を昇格させることができます。攻撃者が特権エスカレーションを行うことは、arpスプーフィング、SMB/LDAPリレー、トークンハイジャック、資格情報のダンプなど、多くの攻撃を実行する上で重要です。

8
Daniel Grover

very強い理由がない限り、パッチをインストールしてください。

あなたが説明するアプローチは基本的に次のように要約できます:

エクスプロイトXについて知っています。エクスプロイトXを解決するためにOSにパッチを適用したり、コンピューターで実行したすべての操作(自動更新タスクを含む)を注意深く再確認したりできます。これらのタスクのいずれもリスクをもたらさない場合、パッチをインストールする必要はありません。

はい、確かに、あなたの論理は健全です。これは、「電源がオフでプラグが抜かれたコンピューターは、ハッカーに対して非常に回復力がある」と言うのと同じロジックです。しかし、それはあなたが警戒の継続的な状態で存在することを求めます。コンピュータに転送されるコードのすべての1バイトは、100%信頼できるソースからのものである必要があります。このロジックが十分に健全なネットワークで操作している可能性もあります。しかし、おそらくそうではないので、パッチをインストールしてください。 (Stuxnetは、誰かが自分のネットワークをハッキングできないと思ったときに起こることの究極の例かもしれません)

永遠に、または少なくともパッチをバックルしてインストールするまで、この継続的な警戒状態に留まる必要があります。

Daniel Grover answers として、これを特権昇格のベクトルと考えてください。多くのシステムのセキュリティは、シークレットが実際にはシークレットであるという仮定に依存しています。メルトダウン/スペクターはその仮定に挑戦します。

8
Cort Ammon

Windowsボックスでは、SpectreとMeltdownのパッチが必要ですか?

私が読んだことから、SpectreとMeltdownは、攻撃が行われるために、Windowsボックスで不正なコードを実行する必要があります。問題は、ボックスで不正なコードが実行されると、すでに侵害されていることです。

まず、スペクターやメルトダウンを介してハッキングされないようにするには、なんらかの方法でハッキングされないようにする必要があります。しかし、それははるかに難しいことです!

次に、比較します

ビジネスでは、金庫をロックする必要がありますか?

私が読んだことによると、金庫から物を盗むには、泥棒が建物の中にいる必要があります。問題は、泥棒が建物の中に入ると、すでに侵害されているということです。

確かに、しかし、泥棒ができることのsomeから身を守ることは、手を上げて「まあ、彼は得たそれで彼はすべてをとるべきだ」と語った。

4
David Richerby

この考え方で提示されたときに私がパッチ適用について見た中で最も良い議論はこれです:

SpectreとMeltdownの検出は非常に難しく、AV製品はこれらの攻撃を阻止しません。

これらは、投機的実行を実行するハードウェア(分岐予測など)の欠陥です。プロセッサーは常にこれを実行しており、悪意のある使用を検出することは非常に困難です。そのため、検出がテーブルから外れているため、緩和戦略全体でパッチを適用します。

先週開発され、実証されたエクスプロイトPoCの数を考えると(そして、禁輸措置が終了する前の、バグとは何かというアイデアから)、これらのバグに対する悪意のある兵器によるエクスプロイトが存在することに疑いはありません。

1
casey