Sejauh ini, eksploitasi dari celah keamanan ini dapat didemonstrasikan pada prosesor Intel, AMD, dan ARM. Namun celah keamanan ini tidak dapat diperbaiki hanya dari sisi hardware saja, diperlukan juga perbaikan dari sisi software yang mencakup sistim operasi dan aplikasi. Oleh karena itu saat ini perusahaan-perusahaan IT besar seperti Intel, AMD, ARM, Apple, Amazon, Google dan Microsoft berkoordinasi untuk memperbaiki celah keamanan Meltdown dan Spectre.
Khusus bagi anda pengguna Windows, Microsoft telah mengeluarkan patch keamanan untuk Windows , Edge dan Internet Explorer yang dapat anda peroleh melalui Windows Update. Ada 3 varian eksploitasi yang memanfaatkan celah keamanan Meltdown dan Spectre. Tabel di bawah ini menjelaskan perbaikan yang harus dilakukan untuk menutup celah keamanan dari ketiga varian tersebut.
 |
| sumber: Microsoft [1] |
Seperti yang terlihat pada tabel di atas, semua varian dari celah keamanan Meltdown dan Spectre memerlukan perbaikan dari sisi software. Untuk varian 1, Microsoft melakukan perbaikan pada level aplikasi (compiler dan aplikasi-aplikasi standar Windows, khususnya Edge dan IE 11). Untuk varian 2 dan 3, Microsoft melakukan perbaikan pada level sistem operasi Windows. Semua ini dapat anda peroleh melalui Windows Update. Tapi khusus untuk varian 2 dari Spectre, untuk menutup celah keamanan ini diperlukan juga perbaikan dari sisi hardware, yang hanya dapat diperoleh melalui update microcode dari vendor pembuat PC anda. Varian 2 inilah yang menjadi masalah besar, karena bila PC anda keluaran lama, maka kemungkinan anda tidak akan memperoleh update microcode. Untuk mempermudah anda dalam memperoleh informasi, Microsoft telah menyediakan daftar OEM device manufacturer yang menyediakan update microcode. Anda dapat melihatnya di sini.
Selain itu Microsoft juga menyediakan skrip PowerShell untuk mengetahui status proteksi sistem operasi Windows anda terhadap Meltdown dan Spectre. Ikuti langkah-langkah berikut untuk menjalankannya:
- Kunjungi webpage ini.
- Download SpeculationControl.zip
- Ekstrak isi dari file tersebut ke folder C:\ADV180002 (hanya contoh, penamaan folder bisa sembarang)
- Jalankan PowerShell: tekan [Winlogo] + [R] , ketik powershell, dan tekan [Enter]
- Jalankan perintah ini pada prompt PS:
- Simpan status Execution Policy dari PowerShell ke dalam variabel $SaveExecutionPolicy.
$SaveExecutionPolicy = Get-ExecutionPolicy - Ubah status dari Execution Policy menjadi RemoteSigned agar anda dapat menjalankan skrip.
Set-ExecutionPolicy RemoteSigned -Scope Currentuser - Ubah posisi direktori sekarang ke direktori tempat anda mengekstrak skrip SpeculationControl (C:\ADV180002 bila anda mengikuti contoh di atas)
CD C:\ADV180002\SpeculationControl - Lakukan import-module agar anda dapat menjalankan fungsi Get-SpeculationControlSettings.
Import-Module .\SpeculationControl.psd1 - Jalankan perintah Get-SpeculationControlSettings.
Get-SpeculationControlSettings - Bila anda telah selesai menjalankan skrip ini , sebelum anda menutup jendela PowerShell, jalankan perintah di bawah ini untuk mengembalikan Execution Policy ke status semula.
Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser
 |
| sumber: BleepingComputer [2] |
Pada gambar di atas, anda dapat melihat status dari 2 proteksi yang diterapkan Microsoft pada level sistem operasi Windows, yaitu varian 2 (branch target injection atau Spectre) dan varian 3 (rogue data cache load atau Meltdown). Karena belum ada update yang dijalankan, semua baris statusnya berwarna merah.
Untuk varian 2, baris "Hardware support for branch target injection mitigation is present" menunjukkan status dari proteksi yang disediakan hardware melalui update microcode. Seperti yang sudah dijelaskan sebelumnya, bila PC anda keluaran lama, kemungkinan anda tidak akan memperoleh update ini.
Untuk varian 3, baris "Hardware requires kernel VA shadowing" menunjukkan apakah prosesor PC anda memerlukan proteksi terhadap Meltdown. Perlu anda ketahui bahwa sejauh ini celah keamanan Meltdown hanya ditemukan dalam prosesor Intel dan ARM Cortex-A75. Sedangkan dalam prosesor AMD tidak ditemukan celah keamanan ini.
Bila anda telah menjalankan Windows Update, maka tampilan statusnya akan seperti gambar di bawah ini.
Pada gambar di atas, untuk varian 2, Windows telah menginstall proteksi untuk varian 2 dari Spectre, namun karena anda belum mengupdate microcode dari prosesor PC anda, maka proteksi ini belum diaktifkan. Sedangkan untuk varian 3, Windows telah menginstall proteksi untuk Meltdown dan statusnya aktif. Baris "Windows OS support for PCID performance optimization is enabled" menunjukkan apakah prosesor PC anda memiliki fitur "process-context identifiers" atau PCID. Fitur ini bukan termasuk dari proteksi Meltdown, namun diperlukan agar performa prosesor tidak turun secara signifikan karena efek samping dari proteksi Metldown adalah penurunan performa CPU dari yang sebelumnya. Bila prosesor PC anda tidak memiliki fitur ini maka tampilan statusnya akan seperti gambar di bawah ini.
Bila anda juga telah menginstall microcode update dari vendor PC anda, maka tampilan statusnya akan seperti ini.
Gambar di atas menunjukkan status dari semua proteksi telah diinstal dan diaktifkan, dan komputer anda terlindungi dari celah keamanan Meltdown dan Spectre.
Semoga bermanfaat.
Referensi:
1. Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems
2. How to Check and Update Windows Systems for the Meltdown and Spectre CPU Flaws
3. Understanding Get-SpeculationControlSettings PowerShell script output
Untuk varian 2, baris "Hardware support for branch target injection mitigation is present" menunjukkan status dari proteksi yang disediakan hardware melalui update microcode. Seperti yang sudah dijelaskan sebelumnya, bila PC anda keluaran lama, kemungkinan anda tidak akan memperoleh update ini.
Untuk varian 3, baris "Hardware requires kernel VA shadowing" menunjukkan apakah prosesor PC anda memerlukan proteksi terhadap Meltdown. Perlu anda ketahui bahwa sejauh ini celah keamanan Meltdown hanya ditemukan dalam prosesor Intel dan ARM Cortex-A75. Sedangkan dalam prosesor AMD tidak ditemukan celah keamanan ini.
Bila anda telah menjalankan Windows Update, maka tampilan statusnya akan seperti gambar di bawah ini.
 |
| sumber: BleepingComputer [2] |
Pada gambar di atas, untuk varian 2, Windows telah menginstall proteksi untuk varian 2 dari Spectre, namun karena anda belum mengupdate microcode dari prosesor PC anda, maka proteksi ini belum diaktifkan. Sedangkan untuk varian 3, Windows telah menginstall proteksi untuk Meltdown dan statusnya aktif. Baris "Windows OS support for PCID performance optimization is enabled" menunjukkan apakah prosesor PC anda memiliki fitur "process-context identifiers" atau PCID. Fitur ini bukan termasuk dari proteksi Meltdown, namun diperlukan agar performa prosesor tidak turun secara signifikan karena efek samping dari proteksi Metldown adalah penurunan performa CPU dari yang sebelumnya. Bila prosesor PC anda tidak memiliki fitur ini maka tampilan statusnya akan seperti gambar di bawah ini.
Bila anda juga telah menginstall microcode update dari vendor PC anda, maka tampilan statusnya akan seperti ini.
 |
| sumber: BleepingComputer [2] |
Gambar di atas menunjukkan status dari semua proteksi telah diinstal dan diaktifkan, dan komputer anda terlindungi dari celah keamanan Meltdown dan Spectre.
Semoga bermanfaat.
Referensi:
1. Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems
2. How to Check and Update Windows Systems for the Meltdown and Spectre CPU Flaws
3. Understanding Get-SpeculationControlSettings PowerShell script output
Tidak ada komentar:
Posting Komentar