[Le informazioni presenti in questo post sono aggiornate al 22 gennaio 2018]
 
Lo avrai visto anche tu: con i primi giorni dell'anno sono apparsi ovunque articoli sulle vulnerabilità, sui pericoli e sui problemi legati a MeltDown e Spectre.

Diciamo subito per MeltDown è un problema per le CPU Intel, mentre quelle AMD non presentano il problema poiché utilizzano un'architettura differente.
L'estrema sintesi del problema è questa.

Le moderne CPU hanno una particolare modalità di lavoro che permette di predire e prevedere le operazioni future da eseguire: quindi iniziano già a eseguire le istruzioni che con più probabilità eseguirà l'utente per potergli dare delle risposte più veloci.

Il problema è che in questa modalità di lavoro sono state riscontrate delle falle che permettono agli hacker di accedere praticamente a qualsiasi informazione perché riescono a "registrare" tutto quello che avviene sul PC.

In questo momento non ci sono notizie confermate di hacker che abbiano sfruttato queste vulnerabilità, ma sono stati i laboratori di Google che per primi che hanno "studiato e testato" Meltdown e Spectre.

I puristi e i più curiosi possono trovare spiegazioni più precise e puntuali in un bel post di Bleeping Computer.
Poiché non è possibile cambiare tutte le CPU del mondo, il problema va risolto via software.
 
Questa situazione è contemporaneamente un problema (da gestire) e un'opportunità per "convertire" nuovi clienti.

Partiamo dal problema da gestire.
 
 

Il problema e la soluzione

Parlo di problema non solo perché c'è un problema oggettivo (il baco contenuto nei processori), ma anche un problema derivato.

Poiché infatti si tratta di un "baco" pervasivo, praticamente tutti i sistemi devono essere messi in sicurezza e se lo fai a mano diventa un'operazione davvero lunga e complessa.

Se invece utilizzi sistemi RMM allora il tuo compito è agevolato. E' in ogni caso una situazione che va gestita.
 

Le Patch

Microsoft ha già rilasciato le patch per mitigare il problema nei primi giorni di Gennaio 2018.
 
Sistema operativo Update KB
Windows Server, version 1709 (Server Core Installation) 4056892
Windows Server 2016 4056890
Windows Server 2012 R2 4056898
Windows Server 2012 Non ancora disponibile
Windows Server 2008 R2 4056897
Windows Server 2008 Non ancora disponibile
Windows 10 4058702
Windows 8.1 4056898
Windows 7 4056897
 
La tabella precedente è relativa ai sistemi Microsoft, ovviamente.

Ma, come detto, il problema è molto più generalizzato e non si deve stare a guardare solamente ciò che fa Microsoft.

Per sistemi Android e piattaforme basate su tecnologie Google c'è un bollettino di aggiornamento.
Così come per sistemi Mac OS e prodotti Apple esiste un'apposita pagina dedicata al problema
 
Per Windows è tutto facile, basta scaricare le patch di Microsoft, no?

Sì e no.

Intanto le patch, a seconda della pacchettizzazione di Microsoft vanno dai 15 MB in su per cui non sono aggiornamenti che si possono fare a cuor leggero.
In secondo luogo le patch sopra elencate non si installano automaticamente se prima non è impostata una determinata chiave di registro, come indicato più avanti in questo articolo.
 

La questione antivirus

Le patch di Microsoft, lavorando a basso livello, hanno un "simpatico" inconveniente: sono risultate non compatibili con molti antivirus (o viceversa, sono gli antivirus che non sono compatibili con la nuova patch).

Per evitare inconvenienti, la patch di Microsoft si installa solo se il produttore di antivirus "certifica" il proprio prodotto come compatibile impostando una determinata chiave di registro.
Se quindi questa chiave non è presente negli endpoint, questi non potranno ricevere gli aggiornamenti di Microsoft.

Alcuni prodotti, come Webroot, sono già compatibili con la patch anche se non sono ancora in grado di impostare questa chiave in maniera automatica.

Se usi Webroot (ricorda, è già compatibile) e vuoi che sui tuoi endpoint si installino le patch Microsoft puoi seguire questa procedura.
In pratica si tratta di aggiungere "a mano" o con opportuno script questa chiave di registro:
 
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
 
Ripeto. Per poter installare le patch di Microsoft che mitigano i problemi MeltDown/Spectre è necessario avere questa chiave di registro impostata.

Se sei certo che il tuo antivirus sia compatibile con la patch di Microsoft allora puoi creare tu stesso la chiave di registro.

Se usi Kaseya VSA esiste uno script già pronto che crea per te questa chiave su tutte le tue macchine. Il download è gratuito. 

Se utilizzi AEM, basta creare un component di tipo batch che ti aggiunge la chiave di registro in questione.
Il file .reg per modificare il registro può essere scaricato online e l'istruzione per eseguirlo è:

REGEDIT.EXE /S "percorso_del_file_reg\QualityCompat.reg"
 
Un elenco aggiornato della situazione degli antivirus più diffusi sul mercato (relativamente alla compatibilità con le patch Microsoft) lo puoi trovare qui.
 
 

Riassumendo: che fare

  1. Documentati quanto più possibile
    Un buon punto di partenza sono tre post di Bleeping Computer:
    1. Google: Almost All CPUs Since 1995 Vulnerable To "Meltdown" And "Spectre" Flaws
    2. How to Check and Update Windows Systems for the Meltdown and Spectre CPU Flaws
    3. List of Meltdown and Spectre Vulnerability Advisories, Patches, & Updates
  2. Verifica (col produttore) se il tuo antivirus è già compatibile con le patch Microsoft, ed eventualmente crea la chiave di registro.
    Ti ricordo che un elenco della situazione degli antivirus è disponibile online.
    Se usi Kaseya e sei certo che il tuo antivirus è compatibile con le patch Microsoft, puoi utilizzare questo script già fatto che creare per te la chiave di registro: Procedure_Meltdown_Reg_Key.zip. Ricordati di riavviare per rendere visibili le modifiche al registro. 
  3. Installa le patch sui client scaricandola e "pushandola" direttamente sui PC o includila nel prossimo giro di patch del tuo sistema di patch management (sempre che sia presente la chiave di registro illustrata al punto precedente).   
    Se usi AEM devi fare una nuova policy di patch management (o modifica quella che hai in uso) aggiungendo un nuovo filtro di approvazione di questo tipo "[Title][Begins with][2018-01]" mettendo come target gli endpoint Windows; prima di applicarla verifica che le macchine "coinvolte" siano effettivamente gli endpoint da aggiornare.
  4. Installa le patch sui server.
    L'elenco delle patch per i server, oltre che più in alto in questo articolo, lo trovi sul sito Microsoft in questo articolo, che spiega anche come modificare opportunamente le chiavi di registro per minimizzare i rischi dei bug e come verificare se le patch sono state applicate con successo.
  5. Aggiorna il BIOS delle macchine e i browser: Firefox va aggiornato alla versione 57.0.4 e Chrome all'aggiornamento che verrà rilasciato il 23 Gennaio.
 
E' necessario tenere a mente che in alcune circostanze sono stati riscontrati dei rallentamenti nei sistemi dove sono state installate le patch. Forse la stampa generaista esagera un po' con il decadiimento delle prestazioni, ad ogni modo ulteriori informazioni sui rallentamenti sono documentati sul sito Microsoft.
Ti suggeriamo quindi di valutare con attenzione come e quando installare le patch.

 
Ora veniamo al secondo aspetto che ho segnalato a inizio articolo.
Questo problema è anche un'opportunità.
 

L'opportunità

Da buon Managed Service Provider potresti tirar fuori un buon gruzzoletto da questo problema. In alternativa potresti usarlo per convertire i tuoi clienti e convincerli a sottoscrivere un contratto a canone di manutenzione, o ancora potrebbe essere un'occasione per fare sentire coccolati i tuoi clienti che hanno già aderito a un contratto di manutenzione a canone.

Naturalmente prima di fare qualsiasi operazione "di marketing" è necessario che tu sia a conoscenza della mole di lavoro che ti aspetta ossia devi capire quali e quante macchine sono effettivamente soggette al problema.

Grazie a strumenti RMM e di automazione IT come Kaseya VSA e Autotask Endpoint Management sarà un gioco da ragazzi capire chi davvero necessita di un intervento riparatore.

Da sistemista questo è quello che devi fare per verificare ( su sistemi che usano PoweShell 5.0 o successivi) se le macchine sono vulnerabili:
 
  • avviare PowerShell come Admin
  • avviare il seguente comando: Install-Module SpeculationControl
  • installare gli elementi aggiuntivi come da richieste
  • avviare il seguente comando: get-speculationcontrolsettings
  • se vedi dei "False" (in rosso), l'OS non è protetto.
 
Se la situazione è la seguente, tutto è regolare:



 
Se usi Kaseya puoi scaricare uno script fatto e finito per fare un controllo e capire davvero quali sono le macchine vulnerabili. Lo script ti scrive in un campo personalizzato "MeltDown" se la macchina è da aggiornare o meno; quindi il campo va creato prima di eseguire lo script. Lo script prevede che le macchine su cui gira abbiamo installato PowerShell 5.0. Vuoi capire meglio come fare?

Fatto questo, cioè preso atto della mole di lavoro che ti attende, potresti mandare alla tua lista clienti una bella comunicazione (un'email, una lettera o un volantino) come questa che trovi qui sotto.

Perché dietro ogni problema informatico si cela una possibilità di business :-)
 

Tutti i computer sono esposti.

Nei primi giorni dell'anno Intel, Microsoft, Google e altri giganti hanno scoperto un problema che affligge quasi tutti i computer oggi in circolazione.

A causa di questo problema, tutti i tuoi computer sono vulnerabili ad attacchi di hacker che possono impossessarsi delle informazioni in essi memorizzate.

La diffusione di queste vulnerabilità è talmente ampia che anche siti generalisti come Repubblica ne hanno parlato.
 
Ma non temere: abbiamo una soluzione pronta per te.

E' possibile che tu debba eseguire alcuni interventi di aggiornamento per essere certo di non lasciare la porta aperta a qualche pirata.

Se vuoi sapere se i tuoi computer sono potenzialmente esposti al problema, chiama il numero [123456789]: saremo lieti di farti un check gratuito e suggerirti il modo migliore per evitare che i tuoi computer vengano attaccati.

Se in seguito al lavoro di aggiornamento delle tue macchine deciderai di aderire al nostro contratto all-inclusive ti sconteremo questo intervento dal prezzo del contratto!

P.S.
I clienti titolari di contratto all-inclusive non devono temere nulla: abbiamo già provveduto a verificare tutte le machine e ad eseguire gli aggiornamenti dove necessario.
 

Condividi sui Social Network