Sulle finestre di Windows, è necessaria l'applicazione di patch per Spectre e Meltdown?

the only point of easy penetration to a system seems to be via javascript running in a web browser.

Che ne dici di Flash? Giava? Silverlight? VBA in un documento d'ufficio? Qualsiasi applicazione che carica pagine web all'interno di se stesse?

The thing is, once a box has rogue code running, it's already compromised.

Con il codice in esecuzione sotto il tuo account utente molto può essere fatto. Ma compromesso è un termine relativo. Ad esempio, non è possibile installare un keylogger di basso livello. Le autorizzazioni potrebbero impedirti di leggere lo spazio di memoria di altre applicazioni anche se eseguito con lo stesso account utente. E ovviamente non hai accesso ai file e ai processi eseguiti sotto altri account utente. Un utente su un computer aziendale non può dirottare un'altra sessione di utenti registrati.

Essere in grado di leggere valori di RAM arbitrari può darti i token di accesso necessari per sconfiggere tutto questo.

Nel mio mondo, applicare le patch è un dato di fatto. Lo faremo e ci vuole un'eccezione per NON applicare una patch.

Al momento, quelli sono exploit di cui siamo a conoscenza per Spectre e Meltdown. Tuttavia, cosa garantire che non ci sarà più? Inoltre, molti exploit là fuori (come Wannacry / Petya) coinvolgono sistemi che non sono corretti per questo problema noto.

Vorrei chiudere con questo pensiero: sei pronto a mettere in gioco la tua reputazione professionale non applicando una patch conosciuta per correggere una vulnerabilità nota? A me sembra che non sia una scommessa saggia. Immagina nella tua azienda se il malware basato su uno di questi due entra nella tua rete. Una delle prime domande del management è: come è successo? Sapevamo che era possibile? C'erano delle prevenzioni disponibili e, in caso affermativo, le abbiamo applicate? Sono stato oggetto di queste domande sulla base delle decisioni del management di accettare un rischio per la sicurezza e non era un posto comodo dove stare.

Per rispondere alla tua domanda: no, non è necessario. Ma non farlo, IMO, è irresponsabile.

Installa le patch a meno che tu non abbia un strong motivo molto per non farlo.

L'approccio che descrivi può essere riassunto in questo modo:

I know about exploit X. I could patch my OS to resolve exploit X, or I could carefully revisit every operation I do on my computer (including automated update tasks done for me). If none of those tasks provide a risk, then I do not need to install the patch.

Sì, in effetti, la tua logica è sana. È la stessa logica che dice "Un computer spento e scollegato è molto resistente agli hacker". Tuttavia, ti chiederà di esistere in un continuo stato di vigilanza. Ogni singolo byte di codice che viene trasferito sul tuo computer deve provenire da fonti affidabili al 100%. Potresti persino operare su una rete in cui questa logica è sufficientemente sana. Ma molto probabilmente non lo sei, quindi installa le patch. (Stuxnet può essere l'ultimo esempio di ciò che accade quando qualcuno pensa che la loro rete non sia accessibile)

Dovrai rimanere in questo stato di vigilanza continuo per sempre, o almeno fino a quando non ti piegherai e installerai le patch.

Come Daniel Grover risposte , considera questo come un vettore per l'escalation dei privilegi. La sicurezza di molti sistemi dipende dal presupposto che un segreto sia, anzi, un segreto. Meltdown / Spectre contesta quell'ipotesi.

Sì, perché può essere utilizzato per l'escalation dei privilegi. Di solito, se un attacco compromette un host, hanno solo i privilegi dell'utente. Usando questa vulnerabilità, possono aumentare i privilegi perdendo le credenziali. L'escalation dei privilegi è importante per gli aggressori per l'esecuzione di molti attacchi, come arp spoofing, inoltro SMB / LDAP, dirottamento di token, dumping delle credenziali, ecc.

On Windows boxes, is patching for Spectre and Meltdown necessary?

From what I've read, Spectre and Meltdown each require rogue code to be running on a Windows box in order for attacks to take place. The thing is, once a box has rogue code running, it's already compromised.

In primo luogo, sembra terribile come lo stai dicendo, per evitare di essere hackerato tramite Spectre o Meltdown, devi solo evitare di essere hackerato con qualsiasi metodo. Ma questa è una cosa molto più difficile da fare!

Secondo, confronta,

In a business, is locking the safe necessary?

From what I've read, stealing stuff from a safe requires a thief to be inside the building. The thing is, once a thief is inside the building, it's already compromised.

Beh, certo, ma proteggerti da alcuni delle cose che il ladro potrebbe fare è ancora meglio che alzare le mani e dire: "Beh, è entrato così da poter prendere tutto ".

L'argomento migliore che ho visto per le patch quando presentato con questa linea di pensiero è questo:

Rilevare Spectre e Meltdown è molto difficile e il tuo prodotto AV non fermerà questi attacchi.

Questi sono difetti nell'hardware che espongono l'esecuzione speculativa (previsione dei rami, ecc.). Il tuo processore fa sempre questo e rilevare l'uso dannoso sarà estremamente difficile da fare. L'intera strategia di mitigazione è quindi quella di applicare patch, poiché il rilevamento è fuori dal tavolo.

Dato il numero di exploit PoC che sono stati sviluppati e dimostrati nell'ultima settimana (e solo da un'idea di quali fossero i bug, prima che l'embargo finisse) non ho dubbi che esistano exploit armati malevoli per questi bug.