in MarvelClient, Produkte

Kürzlich wurde eine neue Klasse von Schwachstellen bekannt, die sich auf „spekulative Ausführung“ beziehen – eine Funktion moderner Prozessoren zur Leistungsoptimierung. Diese Sicherheitsfunktionen ermöglichen es einem Angreifer, auf den Speicher anderer Prozesse oder des Betriebssystems zuzugreifen – sogar außerhalb einer virtuellen Maschine auf den Speicher des Servers.

Die Bedrohungen namens Meltdown und Spectre werden von Sicherheitsforschern als „katastrophal“ eingestuft und eine Flut von Betriebssystem- und Firmware-Patches wurde herausgegeben, um die Lücken zu schließen. Da es eine Herausforderung für IT-Abteilungen darstellt, haben wir uns überlegt,  wie wir Ihnen dabei ein wenig behilflich sein könnten. Microsoft hat PowerShell Skripte veröffentlicht, die erkennen können, ob ein Rechner gefährdet ist oder nicht. Wir haben diese mit etwas Code umwickelt (damit sie einfacher zu verwenden sind) und sie als Beispielaktionen in das kommende MarvelClient Template aufgenommen.

Meltdown Logo

Wie es funktioniert

Das Skript „run.cmd“ startet die PowerShell-Skripte für Sie. Als einzelnes (verpflichtendes) Argument benötigt es den Pfad zu einer INI-Datei, wo es die Ergebnisse ablegt. Dies ist normalerweise die notes.ini, sodass MarvelClient die vorhandenen Reportingfunktionen verwenden kann, um die Informationen in Ihre Analyse-Datenbank zu übertragen.

Es schreibt die folgenden INI-Variablen:

  • $MC_SecChk_LastRun – Datum des Scans
  • $MC_SecChk_IsMeltdownVulnerable – 0 (nicht anfällig), 1 (anfällig) oder leer (konnte nicht ermittelt werden)
  • $MC_SecChk_IsSpectreVulnerable – 0 (nicht anfällig), 1 (anfällig) oder leer (konnte nicht ermittelt werden)
Spectre Logo

In MarvelClient brauchen Sie nur eine File Deployment und eine Run Program Aktion, welche Sie einfach von Beispielaktionen erstellen können. Sie können den aktuellen Status in den notes.ini-Ansichten in Ihrer Analyse-Datenbank überwachen.

Sie wollen nicht auf den nächsten MarvelClient Template Release warten?

Wenn Sie neugierig sind, es gleich ausführen wollen und/oder MarvelClient gar nicht haben: Hier sind die Dateien, die Sie brauchen, und eine Anleitung:

(laden Sie die Datei herunter und entpacken Sie diese)

Machen Sie nach dem Download in MarvelClient folgendes:

1) Erstellen Sie eine neue File Deployment Aktion

  • Deaktivieren Sie diese
  • Geben Sie ihr einen Titel
  • Wählen Sie „After Login“ als Runtype
  • Klicken Sie auf das „+“-Zeichen in der ersten Zeile und wählen Sie alle 4 Dateien, die Sie heruntergeladen und entpackt haben
  • Setzen Sie Target auf:
    <mc:working_directory>\meltdown_spectre
  • Speichern Sie die Aktion

2) Erstellen Sie eine neue Run Program Aktion

  • Deaktivieren Sie diese
  • Geben Sie ihr einen Titel
  • Vergewissern Sie sich, dass „After login“ als Runtype gewählt ist
  • Setzen Sie Programpath auf:
    cmd.exe
  • Setzen Sie Parameters auf:
    /c""<mc:working_directory>\meltdown_spectre\run.cmd" "<notes:notes_ini_path>" /s/q"
  • Setzen Sie Action auf „Open“
  • Setzten Sie Visibility auf „Invisible“
  • Setzten Sie Wait auf „Do not wait for program to finish“
  • Speichern Sie die Aktion

3) Eingrenzen der Aktionen: When

  • Gehen Sie in beiden Aktionen auf den When Tab
  • Die File Deployment Aktion sollte „Once only“ laufen und solle auf „Keep local exec. info“ gesetzt sein
  • Die Run Program Aktion kann auf alle „Repeat?“-Typen gesetzt werden – Wenn Sie das Deployment der Patches im Verlauf der Zeit beobachten wollen, wählen Sie „Once a day only“; für eine einmalige Bestandsaufnahmen, wählen Sie „Once only“
  • Sie können beide Aktionen mit Conditions weiter eingrenzen (wobei für beide die selben Conditions gelten  müssen)

4) Eingrenzen der Aktionen: Who

  • Gehen Sie in beiden Aktionen auf den Who Tab
  • Limitieren Sie beide Aktionen auf User/Gruppen (vergewissern Sie sich, dass beide die selben Einstellungen hier aufweisen)
  • Es wäre zu empfehlen, beide Aktionen zuerst zu testen, also grenzen Sie diese auf den/die Testuser ein

5) Aktionen aktivieren

  • Überprüfen Sie noch einmal, ob alle Settings korrekt sind
  • Aktivieren Sie beide Aktionen

Die Überprüfung wird nun während des Startvorgangs des Notes Clients ausgeführt und reportet die Ergebnisse an die notes.ini. Wenn Sie eine Sicherungsaktion konfiguriert haben, die die notes.ini hochlädt, finden Sie die Einträge in der Analyse-Datenbank in der Ansicht „Notes.INI\by Notes.INI Entry“.

Natürlich können Sie das Verzeichnis, in dem Sie die Dateien abgelegt haben, ändern (stellen Sie sicher, dass Sie es in beiden Aktionen ändern), oder führen Sie die Aktionen mit verschiedenen Runtypes aus.

Manuelle Ausführung:

Wechseln Sie an einer Eingabeaufforderung zu dem Verzeichnis, in dem Sie die 4 Dateien abgelegt haben, und verwenden Sie dann einfach die folgende Zeile: run.cmd „.\output.ini“

Haftungsausschluss

DIE SOFTWARE WIRD OHNE JEDE AUSDRÜCKLICHE ODER IMPLIZIERTE GARANTIE BEREITGESTELLT, EINSCHLIEẞLICH DER GARANTIE ZUR BENUTZUNG FÜR DEN VORGESEHENEN ODER EINEM BESTIMMTEN ZWECK SOWIE JEGLICHER RECHTSVERLETZUNG, JEDOCH NICHT DARAUF BESCHRÄNKT. IN KEINEM FALL SIND DIE AUTOREN ODER COPYRIGHTINHABER FÜR JEGLICHEN SCHADEN ODER SONSTIGE ANSPRÜCHE HAFTBAR ZU MACHEN, OB INFOLGE DER ERFÜLLUNG EINES VERTRAGES, EINES DELIKTES ODER ANDERS IM ZUSAMMENHANG MIT DER SOFTWARE ODER SONSTIGER VERWENDUNG DER SOFTWARE ENTSTANDEN.

Related Posts


Kommentar hinterlassen

Start typing and press Enter to search

IBM Champions 2018 panagenda