Nieuws

Blijf altijd up-to-date van het laatste nieuws!

Meltdown en Spectre update 10 Januari

Inmiddels worden er veel artikelen gepubliceerd waarin vermeld wordt dat het installeren van de updates voor het besturingssysteem impact heeft op de prestaties van het systeem. Met deze update op het eerder gepubliceerde artikel van 3 januari proberen we meer duidelijkheid te bieden over de te nemen stappen en mogelijke consequenties hiervan.

De updates die impact hebben op de prestaties zijn de updates bedoeld voor het verhelpen van Spectre variant 2 (CVE-2017-5715). De updates voor de twee andere kwetsbaarheden: Spectre variant 1 (CVE-2017-5753) en Meltdown (CVE-2017-5754) kunnen wel zonder merkbaar prestatieverlies geïnstalleerd worden. Microsoft is vanwege de impact op prestaties terughoudend in het advies om systemen bij te werken voor de Spectre variant 2, zeker voor systemen waarbij de kans op misbruik beperkt is. Systemen die het meest kwetsbaar zijn, zijn de systemen waar de gebruiker op werkt en waar gebruik gemaakt wordt van internettoegang via browsers. Dit zijn voor de meeste organisaties de werkstations en/of remote desktop servers. Mocht u overwegen om een extra patchronde in te lassen naar aanleiding van deze kwetsbaarheden, bedenk dan dat het installeren van patches of workarounds voor Spectre variant 2 mogelijk impact op de prestaties kan hebben.

Microsoft Update

Microsoft heeft de patch voor Meltdown en Spectre variant 1 opgenomen in de maandelijkse security updates van januari (“2018-01 Cummulatieve Security Update”). In deze update zijn tevens updates voor de standaard browsers zoals Internet Explorer en Microsoft Edge opgenomen. Om uw systeem volledig te beschermen tegen de Spectre variant 2 zijn er naast deze update ook nog extra (register) instellingen nodig en een firmware (bios) upgrade van de fabrikant. Met name deze aanpassingen kunnen een merkbare impact op de prestaties van het systeem hebben omdat hiermee bestaande functionaliteit wordt beperkt of uitgeschakeld. Ons advies is om op dit moment wel de Microsoft update te installeren maar de handmatige instellingen en firmware upgrade (indien beschikbaar) niet door te voeren i.v.m. impact op de systeemprestaties. Mocht dit advies wijzigen dan zullen we u hierover berichten via de nieuwssectie van onze website.

Servers

De meest kwetsbare groep servers zijn de Remote Desktop of Citrix servers omdat hierop gebruik gemaakt wordt van internet browsers. Er zijn naast de Microsoft update ook updates uitgebracht voor de overige browsers zoals Chrome en Firefox. Het advies is om voor deze groep servers naast de Micorosoft update ook de geïnstalleerde browsers bij te werken.

Werkstations en antivirus

In de afgelopen dagen hebben we gezien dat meeste antivirusfabrikanten nieuws gepubliceerd hebben over de compatibiliteit met de Microsoft update. Bij een aantal leveranciers waaronder Sophos (Cloud) zien we dat deze via het automatische update mechanisme de instellingen hebben doorgevoerd om de Microsoft update te kunnen installeren. In sommige gevallen dient er door de beheerder een update of patch op de antivirus beheeromgeving geinstalleerd te worden voordat deze over de clients wordt verspreid. Bij een derde groep antivirus leveranciers wordt de compatibiliteit nog getest en zal naar verwachting in de komende dagen een update beschikbaar komen zodat aansluitend ook op deze systemen de Microsoft update geïnstalleerd kan worden.

Ons advies is om dit proces af te wachten en geen tussentijdse maatregelen te treffen door handmatig instellingen door te voeren om onnodige complexiteit en risico’s op stabiliteitsissues te voorkomen. Als uw systeem is ingesteld voor automatische (Windows) updates zal na de virusscanner update automatisch de Microsoft update geinstalleerd worden. De kans dat de update op uw machine geinstalleerd wordt terwijl de virusscanner hier niet mee overweg kan is door het aanwezige controlemechanisme zeer klein.

Vmware

VMware heeft op 9 januari een extra security bulletin uitgebracht ten aanzien van Spectre. Het verschil ten opzicht van het op 3 januari uitgebrachte bulletin is dat het eerste bulletin zich richtte op het verhelpen van kwetsbaarheden in de hypervisor zelf. Het nieuwe bulletin richt zich op het verhelpen van kwetsbaarheden op de virtuele servers die actief zijn op de hypervisor (de zogenaamde guests). Binnen dit bulletin wordt een lijst met handelingen beschreven die moeten worden uitgevoerd om risico’s komend vanaf een virtuele machine te voorkomen. Eén van deze stappen is het installeren van de updates of workarounds van de OS fabrikant binnen de virtuele machine. Als onderdeel van de benodigde ESX patches worden enkele aangepaste microcodes geinstalleerd als alternatief voor een BIOS update op de hardware. Gezien het aantal en het soort handelingen / aanpassingen zijn we er vrij zeker van dat dit een merkbare performance impact zal hebben. Het advies is dan ook om deze update nog uit te stellen totdat er meer duidelijkheid is over de werkelijke performance impact op het systeem.

Edit 15 Januari:  VMware heeft de patches van 9 januari in overleg met Intel teruggetrokken naar aanleiding van issues met de microcode.

Tot Slot

We kunnen ons voorstellen dat u op basis van de diversiteit aan informatie en informatiesystemen moeite heeft met het bepalen van de juiste strategie en aanpak voor uw organisatie. Voor een advies op maat voor uw organisatie kunt u contact opnemen met de medewerkers van het Security Operations Center van Promax. Zij kunnen u hier aanvullend in begeleiden en adviseren.

Meer informatie

Windows Server guidance to protect against speculative execution side-channel vulnerabilities

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

 

VMware Security Advisories 3 januari 2018 –  VMSA-2018-0002

https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html

 

VMware Security Advisories 9 januari 2018 –  VMSA-2018-0004

https://www.vmware.com/us/security/advisories/VMSA-2018-0004.html (teruggetrokken door Vmware dd 15-1)