Consulenze tecnologiche e informatiche
Autotask - come dichiarare l'antivirus compatibile con le patch di MeltDown

Autotask – come dichiarare l’antivirus compatibile con le patch di MeltDown

Il 2018 si è aperto con la notizia di una vulnerabilità nei processori di Intel, seguita a breve giro dalla migliore notizia che in realtà tutti i processori prodotti negli ultimi 10 anni soffrono di questo “trascurabile” problema.

La vulnerabilità riguarda il meccanismo di predizione dei comandi inserito nei processori, in sostanza quella funzione che permette alla CPU di anticipare statisticamente l’esecuzione del comando successivo a quello già in esecuzione.

 

Per maggiori dettagli rimando all’articolo di ACHABlog, Meltdown e Spectre: cosa deve sapere e fare un MSP e all’articolo Possibile falla nei processori Intel.

In questo articolo mi limito a fornire un componente per Autotask EndPoin Managment (AEM), contenente il codice necessario per l’inserimento di una chiave dei registri necessaria a dichiarare che il programma antivirus in uso sui sistemi è compatibile con le FIX di Microsoft.

 

La compatibilità

 

Le FIX rilasciate per i diversi sistemi operativi permettono di anteporre un filtro per l’esecuzione di direttive verso il processore e tali da permettere ad un attaccante di eseguire del codice in aree di memoria protette e di estrapolare liberamente informazioni dalla postazione colpita.

Questo filtro opera ad un livello molto basso del sistema operativo, a ridosso con la struttura hardware e può impattare con gli antivirus, la situazione può essere tale da far si che l’antivirus blocca la FIX o la FIX blocca l’antivirus.

Chiave di registri per la dichiarazione di compatibilità

Chiave di registri per la dichiarazione di compatibilità

Da qui l’esigenza di avere una esplicita dichiarazione di compatibilità per gli antivirus, per chi usa Webroot la dichiarazione è arrivata in concomitanza con il rilascio delle FIX Microsoft.

La chiave di registro per dichiarare che la postazione è pronta ad accogliere la FIX non può essere configurata direttamente dal antivirus, deve pertanto essere scritta a mano, da qui la scelta di creare uno specifico componente da veicolare attraverso AEM sui sistemi gestiti.

Per avere la certezza della sua applicazione il componente è mantenuto in esecuzione continua, ogni giorno viene eseguito per poter coprire le postazioni che erano precedentemente spente.

 

Componente FIX antivirus compatibility

 

AEM - Percorsi di controllo e registri

AEM – Percorsi di controllo e registri

Il componente è realizzato in Powershell ed è privo di parametri e si appoggia ad una flag di esecuzione salvata nel percorso C:\TemAEM della postazione Windows. Dopo l’esecuzione della procedura crea nel percorso la cartella FIXMeltDown, alle successive esecuzioni chiude la procedura se la cartella è presente.

Il componente si posiziona nel percorso dei registri HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion per verificare la mancanza della chiave QualityCompat e solo in questo caso crearla e popolarla con il valore di tipo esadecimale cadca5fe-87d3-4b96-b7fb-a231484277cc impostato a zero.

Completata l’azione di popolamento dei registri provvede alla creazione della flag di avvenuta esecuzione.

Per prima cosa controlla l’esistenza del percorso relativo alle procedure di AEM, nel mio caso C:\TemAEM, in sua assenza crea il percorso completo di radice e flag, se il contenitore radice è già presente crea solo al suo interno la cartella di riferimento.

Scarica da qui il componente

 

Tu applichi regolarmente gli aggiornamenti?

 

Se sei interessato ad approfondire questi contenuti o ad avere nella tua aziende questi strumenti o i prodotti menzionati, contattaci attraverso la pagina di contatto di questo sito, o se preferisci cercami attraverso la pagina FaceBook o il mio profilo Linkedin.

Per essere informato sui nuovi articoli e contenuti puoi anche iscriverti alle nostre newsletter.

 

Categorie
Archivi
Count per Day
  • 78Questo articolo:
  • 116783Totale letture:
  • 31Letture odierne:
  • 273Letture di ieri:
  • 21 novembre 2016Dal:
Iscriviti alla Newsletter
Iscriviti alla nostra newsletter ed unisciti ai nostri iscritti.

Seleziona lista (o più di una):




Trattamento dei dati