olly - Fotolia
Spectre/Meltdown : que faire pour protéger son infrastructure de postes de travail
Les premiers correctifs sont disponibles. Mais leur application, notamment pour les systèmes Windows, n’est exempte de conditions. Des dispositions de sécurité réseau permettent de compléter l’approche.
Les attaques Meltdown et Spectre ont déjà des correctifs, au moins partiels. D’autres sont à venir. De Wavestone au cabinet de conseil de Brian Honan, la première recommandation est la même : déployer les correctifs autant que possible. Mais ce n’est pas forcément trivial : comme le souligne Microsoft, il est nécessaire de s’assurer d’abord, pour les systèmes Windows, de la compatibilité de l’antivirus. Et celle-ci passe notamment par la définition d’une clé du registre spécifique.
Kevin Beaumont tient à jour une feuille de tableur présentant l’état de la situation pour une trentaine de solutions de protection des points de terminaison, d’Avast à Webroot en passant par Cisco AMP ou encore McAfee. A date, celle-ci met en évidence quelques cas problématiques : BitDefender prévoit un correctif sous peu ; Carbon Black est encore en phase d’évaluation, de même que Cisco pour AMP. L’antivirus de G-Data ne semble pas encore prêt. Vipre teste son correctif et Palo Alto n’a pas encore précisé la situation de Traps.
Mais dans de nombreux cas, la clé de registre requise doit encore être définie manuellement. Cela vaut pour les solutions de Cylance, Endgame, Fortinet, McAfee, Panda, SentinelOne, Sophos, Trend Micro ou encore Webroot. Mais pour beaucoup, la gestion de la fameuse clé de registre est imminente. Endgame précise toutefois que sa solution n’est pas reconnue par Windows comme un antivirus : le correctif peut donc s’installer, même si la clé de registre requise n’est pas définie.
Le réseau pour étendre la protection
Mais ce n’est pas tout. Comme le souligne le cabinet de Brian Honan dans un billet de blog, « gardez à l’esprit que vous pouvez ne pas être capables d’appliquer des correctifs à tous les systèmes vulnérables de manière rapide ».
While I recommend you use the official PowerShell script, I've updated SpecuCheck to support x86 and Windows 7: https://t.co/CR2gmndpDo. Use it for research/education only -- IT departments should follow Microsoft's tools and guidance: https://t.co/NleubjgkT6
— Alex Ionescu (@aionescu) January 4, 2018
Pour surveiller l’état de son infrastructure, il existe des outils. Alex Ionescu a développé un utilitaire Windows pour tester l’état des protections tant au niveau du logiciel que du matériel. Il le présente comme un complément aux outils et recommandations de Microsoft qui s’appuient sur Powershell et permettent de mieux industrialiser la surveillance de son parc. Thomas Maurer explique comment dans un billet de blog.
Un autre outil a été développé et est proposé sur Github pour tester la vulnérabilité des systèmes Linux à Meltdown. Mais il ne fonctionne que sur les systèmes embarquant un processeur moderne doté des extensions de synchronisation transactionnelle (TSX).
Outre cela, il convient d’adopter des mesures complémentaires et notamment « configurer ses IDS/IPS pour détecter tout trafic suspect » susceptible de trahir une tentative d’exploitation des vulnérabilités Meltdown et Spectre. Des règles Snort sont d’ailleurs ainsi disponibles.
Et ce conseil apparaît d’autant plus important que de nombreux systèmes, au-delà des serveurs et postes de travail ou terminaux mobiles, sont susceptibles d’être concernés. Juniper reconnaît ainsi enquêter sur la situation de ses produits ; nombre d’appliances embarquent des processeurs Intel…
S’inscrire dans la durée
En fait, la menace Meltdown/Spectre semble appelée à s’inscrire dans la durée. Chez Rendition Infosec, Jake Williams fait un parallèle : « nous tombons encore sur des systèmes que l’on peut exploiter avec DirtyCow ». Il développe alors un plan d’action en six étapes pour gérer ces nouvelles menaces.
La première consiste à renforcer son plan de supervision de l’infrastructure : Meltdown et Spectre vont venir enrichir l’arsenal des attaquants. Et seules « des pratiques de supervision robustes vont les débusquer, qu’ils utilisent une vulnérabilité inédite ou un défaut de configuration pour compromettre vos systèmes ».
Le seconde recommandation touche à la gestion des données, en « repensant la cohabitation de données avec des besoins de protection différents ». Car pour Jake Williams, il n’est pas possible d’estimer que « les contrôles du système d’exploitation sont suffisants » pour assurer l’isolation de données aux besoins de sécurité différents.
Et puis il convient, selon lui, de revoir ses procédures de gestion du changement et, en particulier, d’application de correctifs, mais également ses intervalles de renouvellement d’équipements. Car pour se protéger solidement de Meltdown et de Spectre, comme le recommandait initialement le Cert-US, rien de tel que de changer de processeur… Et là, « il y a peu de doute que de futurs processeurs gèreront certaines fonctions de manière plus sûre que les modèles actuels ».
Enfin, Jake Williams conseille d’évaluer la sécurité de ses applications hébergées, en PaaS ou en IaaS notamment, en s’interrogeant notamment sur la manière dont ses prestataires gèrent ces nouvelles menaces. Dernier point, mais pas des moindres : préparer un plan de communication pour sa direction, car il y aura « inévitablement » des questions sur l’étendue et l’impact métier de la menace. « C’est juste une réalité de la vie ».
Pour approfondir sur Menaces, Ransomwares, DDoS
-
Google dévoile les attaques « Downfall », basées sur une vulnérabilité dans les puces Intel
-
Processeurs Intel : découverte de nouvelles attaques par canaux auxiliaires
-
Spectre & Meltdown : un an après, la sécurité des puces reste un défi
-
Meltdown/Spectre : de nouveaux correctifs en attendant de nouveaux processeurs