Detección y Mitigación de Spectre y Meltdown en Windows

Hace un par de días hablamos de las vulnerabilidades que afectan los procesadores Intel, AMD y ARM, en este artículo veremos cómo validar si nuestro computador o servidor con sistema operativo Windows es vulnerable y las medidas de remediación.

Las vulnerabilidades a remediar corresponden a:

• CVE-2017-5715
• CVE-2017-5753
• CVE-2017-5754

Importante:

Este procedimiento puede afectar el rendimiento debido dependiendo del procesador físico y las  cargas de trabajo, se recomienda evaluar el impacto posible antes de continuar.

En los equipos de escritorio, Microsoft recomienda que el antivirus sea compatible con las actualizaciones,  es decir actualizar el motor de antivirus antes de realizar el procedimiento.

A continuación encontrará una lista de los comunicados emitidos por los fabricantes de antivirus, allí confirman la compatibilidad para el procedimiento.

• Eset: https://forum.eset.com/topic/14274-esets-response-to-meltdown-and-spectre-cpu-vulnerabilities/
• Kaspersky: https://support.kaspersky.com/14042
• McAfee https://kc.mcafee.com/corporate/index?page=content&id=KB90167
• Avast: https://support.avast.com/en-us/article/Meltdown-Spectre-vulnerabilty/

Requisitos

Lanzamos PowerShell como administrador y validamos la versión de PowerShell

El primer requisito es tener mínimo la versión 5 de PowerShell

$PSVersionTable.PSVersion

Si la versión es inferior debe actualizarse para continuar con el proceso.

[toggle title=”Actualización de PowerShell” open=”no” color=”theme” faq=”yes” effect=”none”]

Es requisito tener instalado Microsoft .NET Framework 4.5, ejecutamos el siguiente comando para validar si cumplimos con este requisito:

(Get-ItemProperty -Path 'HKLM:\Software\Microsoft\NET Framework Setup\NDP\v4\Full' -ErrorAction SilentlyContinue).Version -like '4.5*'

Si nos devueve el valor “False” quiere decir que necesitamos instalar .Net Framework 4.5, se descarga e instala desde la siguiente url https://www.microsoft.com/en-us/download/details.aspx?id=30653

[/toggle]

Detección

Instalamos el módulo de SpeculationControl desde PowerShell

Install-Module SpeculationControl

Ejecutamos el módulo de verificación

Get-SpeculationControlSettings

Si las vulnerabilidades existen recibiremos el siguiente mensaje

Si las vulnerabilidades no existen, los valores aparecerán en True.

Remediación

Ejecutar Windows Update y validar las nuevas actualizaciones disponibles para nuestro sistema operativo, ejemplo:

Ejecutamos el módulo de verificación

Get-SpeculationControlSettings

Como se observa en la imagen la mitigación solo soluciona “Windows OS support for branch target injection mitigation is present” las demás vulnerabilidades asociadas al “CVE-2017-5715” se pueden mitigar a través de las actualizaciones de microcódigo entregado por los diferentes fabricantes.

En el escenario ideal recibiremos el siguiente mensaje:

En algunos casos se deben modificar llaves del registro, la guía oficial se encuentra aquí