Новый 2018 год начался с активного обсуждения новых уязвимостей и патчей к ним - уязвимости Meltdown и Spectre позволяют пользователю с низкими привилегиями, выполнившему код на уязвимой системе, получить из памяти конфиденциальную информацию с помощью спекулятивного выполнения команд (Speculative Execution). Эти уязвимости затрагивают практически все современные и устаревшие процессоры вне зависимости от используемой операционной системы.
Компания Microsoft оперативно выпустила экстренные обновления безопасности, устраняющие уязвимости Meltdown и Spectre, которые затрагивают почти все процессоры, выпущенные с 1995 года. Однако, вскоре после релиза пользователи начали сообщать о проблемах в работе устройств на базе процессоров AMD, в частности Athlon, после установки патча KB4056892. Microsoft также признала наличие проблемы с патчами, отметив, что часть пользователей "столкнется с ухудшением производительности" и порекомендовал компаниям "поддерживать разумный баланс между соображениями безопасности и продуктивностью".
Более того, как выяснилось далее, компьютерам под Windows с некоторыми процессорами AMD не удаётся загрузиться после установки патча от уязвимостей Meltdown/Spectre. В результате Microsoft приостановил распространение патча от Meltdown и Spectre.
Анализ уязвимостей и патчей для них в тестовой лаборатории DeviceLock показал, что данные уязвимости по сути разрушают изоляцию приложений друг от друга и ядра. В свою очередь, применение патчей приводит к тому, что из таблицы страниц убирается большая часть маппинга системного адресного пространства (или, проще говоря, ядра системы) при работе приложений в непривилегированном режиме, что отключает возможный доступ из процессов уровня user mode к пространству ядра системы. Такое ограничение является потенциально опасным для функционирования программных продуктов, в архитектуру которых входят компоненты, работающие как драйверы ОС, поскольку может вызвать критический сбой работы приложения при обращении с уровня приложений (user mode) на уровень ядра (kernel mode) к собственным либо сторонним компонентам и драйверам.
Учитывая, что агент программного комплекса DeviceLock DLP является сложным программным решением, функционирующим на обоих уровнях: user mode и kernel mode, была проведена тщательная проверка функционирования агента на различных компьютерах и операционных системах после установки патчей для уязвимостей Meltdown и Spectre. Тщательное всестороннее тестирование подтвердило штатное функционирование агента, и в особенности наиболее сложных механизмов в нем (таких, как перехват сторонних приложений, протоколов и контроль драйверов устройств, функции защита от пользователя с правами локального администратора, контентно-зависимых правил).
"Высокое качество в сочетании с акцентом на создании новых, эффективных технологий всегда были в фокусе нашего внимания. Стабильная работа исполнительного агента DeviceLock DLP после установки проблемных патчей еще раз подтверждает высокий уровень качества реализации нашего продукта, и правильно выбранный подход к построению его внутренней архитектуры. ", - сообщил Ашот Оганесян, технический директор и основатель DeviceLock.
О компании "Смарт Лайн Инк"
Основанное в 1996 году АО "Смарт Лайн Инк" является мировым лидером разработки программных средств контроля доступа к периферийным устройствам и предотвращения утечек данных с корпоративных компьютеров. Флагманский продукт компании DeviceLock Endpoint DLP Suite обеспечивает защиту более 7 миллионов компьютеров, установленных по всему миру в информационных системах 70 тысяч организаций из кредитно-финансового, энергетического, телекоммуникационного, оборонного и государственного секторов, а также здравоохранения и образования. Штаб-квартира и подразделение разработки Смарт Лайн находятся в Москве. Компания имеет зарубежные офисы продаж в США, Канаде, Великобритании, Германии и Италии.
Комплекс DeviceLock DLP предназначен для организаций, заинтересованных в простом, доступном и высокоэффективном подходе к решению задачи предотвращения утечки корпоративных данных с Windows- и Mac-компьютеров, а также виртуализованных Windows-сред. DeviceLock DLP обеспечивает координированное применение полного набора механизмов контекстного контроля и контентной фильтрации для защиты от утечек данных при их использовании, передаче и хранении на корпоративных компьютерах, при этом не прерывая штатные производственные процессы. DeviceLock DLP позволяет службам информационной безопасности централизованно и оперативно управлять DLP-политиками в масштабах всей организации независимо от размера ИТ-инфраструктуры. Это достигается благодаря нативной интеграции управления в групповые политики домена Microsoft Active Directory и встраиванию консоли DeviceLock в оснастку управления Microsoft Group Policy Management Console (GPMC). Кроме того, DeviceLock поддерживает любые LDAP-каталоги, рабочие группы и может использоваться на отделенных от общей сети рабочих станциях под управлением Windows. Комплекс DeviceLock предоставляет службам ИБ высочайший уровень функциональных возможностей для DLP-защиты рабочих станций при гибкой ценовой политике.