En los cuadros de Windows, ¿es necesario aplicar parches para Specter y Meltdown?

  

el único punto de fácil penetración en un sistema parece ser a través de javascript que se ejecuta en un navegador web.

¿Qué hay de Flash? ¿Java? Silverlight? ¿VBA en un documento de office? ¿Alguna aplicación que cargue páginas web dentro de sí mismas?

  

El problema es que, una vez que una caja tiene un código malicioso en ejecución, ya está comprometido.

Con el código que se ejecuta en su cuenta de usuario, se puede hacer mucho. Pero comprometido es un término relativo. Por ejemplo, no puede instalar un registrador de claves de bajo nivel. Los permisos pueden impedirle leer el espacio de memoria de otras aplicaciones incluso cuando se ejecuta con la misma cuenta de usuario. Y, por supuesto, no tiene acceso a los archivos y procesos que se ejecutan en otras cuentas de usuario. Un usuario en una máquina corporativa no pudo secuestrar otra sesión de usuarios registrados.

Ser capaz de leer valores de RAM arbitrarios puede brindarte los tokens de acceso necesarios para vencer todo esto.

En mi mundo, la aplicación de parches es un hecho. Vamos a hacerlo y se necesita una excepción para NO aplicar un parche.

En este momento, esas son vulnerabilidades que conocemos para Specter y Meltdown. Sin embargo, ¿qué es lo que garantiza que no habrá más? Además, muchos exploits (como Wannacry / Petya) involucran sistemas que no están parchados para este problema conocido.

Terminaría con este pensamiento: ¿está preparado para apostar su reputación profesional en no aplicar un parche conocido para corregir una vulnerabilidad conocida? Eso me parece, para mí, no ser una apuesta inteligente. Imagínese en su empresa si el malware basado en uno de estos dos entra en su red. Una de las primeras preguntas de la gerencia es: ¿cómo sucedió esto? ¿Sabíamos que era posible? ¿Hubo prevenciones disponibles y, de ser así, las aplicamos? He sido objeto de estas preguntas basadas en las decisiones de la administración de aceptar un riesgo de seguridad y no era un lugar cómodo para estar.

Para responder a su pregunta: no, no es necesario. Pero no hacerlo, IMO, es irresponsable.

Instale los parches a menos que tenga un muy fuerte razón para no hacerlo.

El enfoque que describe básicamente se puede resumir de la siguiente manera:

  

Sé sobre el exploit X. Podría parchear mi sistema operativo para resolver el exploit X, o podría revisar cuidadosamente cada operación que realizo en mi computadora (incluidas las tareas de actualización automática realizadas por mí). Si ninguna de esas tareas supone un riesgo, no necesito instalar el parche.

Sí, de hecho, tu lógica es sólida. Es la misma lógica que dice "Una computadora que está apagada y desenchufada es muy resistente contra los piratas informáticos". Sin embargo, requerirá que existan en un estado continuo de vigilancia. Cada byte de código que se transfiere a su computadora debe ser de una fuente 100% confiable. Incluso puede estar operando en una red donde esta lógica es lo suficientemente sólida. Pero lo más probable es que no lo estés, así que instala los parches. (Stuxnet puede ser el último ejemplo de lo que sucede cuando alguien piensa que su red no es compatible)

Deberá permanecer en este estado de vigilancia continua por siempre, o al menos hasta que se abroche y se instalen los parches.

A medida que Daniel Grover responde , considérelo como un vector para la escalada de privilegios. La seguridad de muchos sistemas depende de la suposición de que un secreto es, de hecho, un secreto. Meltdown / Specter desafía esa suposición.

Sí, porque se puede usar para la escalada de privilegios. Generalmente, si un ataque compromete un host, solo tienen privilegios de usuario. Al usar esta vulnerabilidad, pueden escalar privilegios al filtrar las credenciales. La escalada de privilegios es importante para los atacantes para llevar a cabo muchos ataques, como la simulación de arp, la retransmisión de SMB / LDAP, el secuestro de tokens, el volcado de credenciales, etc.

  

En los cuadros de Windows, ¿es necesario aplicar parches para Specter y Meltdown?

     

Por lo que he leído, Specter y Meltdown requieren que se ejecute un código malicioso en una caja de Windows para que se produzcan los ataques. La cosa es que, una vez que una caja tiene un código malicioso en ejecución, ya está comprometido.

Primero, suena bastante como si estuvieras diciendo que, para evitar ser hackeado a través de Specter o Meltdown, solo debes evitar ser hackeado por cualquier método. ¡Pero eso es mucho más difícil de hacer!

Segundo, compara,

  

En una empresa, ¿es necesario bloquear la caja fuerte?

     

Por lo que he leído, robar cosas de una caja fuerte requiere que haya un ladrón dentro del edificio. La cosa es que, una vez que un ladrón está dentro del edificio, ya está comprometido.

Bueno, claro, pero protegerse de algunas de las cosas que el ladrón podría hacer es aún mejor que levantarse las manos y decir: "Bueno, él entró, así que puede tomar todo. . "

El mejor argumento que he visto para parchear cuando se presenta con esta línea de pensamiento es este:

Detectar Specter y Meltdown es muy difícil y tu producto AV no detendrá estos ataques.

Estas son fallas en el hardware que expoiting la ejecución especulativa (predicción de rama, etc). Su procesador siempre está haciendo esto y la detección de uso malicioso será extremadamente difícil de hacer. Por lo tanto, toda la estrategia de mitigación es parchear, ya que la detección está fuera de la mesa.

Dada la cantidad de PoC explotados que se han desarrollado y demostrado en la última semana (y solo a partir de una idea de lo que eran los errores, antes de que terminara el embargo) no tengo dudas de que existen ataques maliciosos con armas de fuego para estos errores.