Как проверить, защищён ли ваш компьютер на Windows от Meltdown и Spectre

Начало 2018 года ознаменовалось обнаружением уязвимостей в архитектуре процессоров Intel, AMD и ARM. Потенциальные атаки с использованием этих уязвимостей получили названия Meltdown и Spectre. В СМИ проблему прозвали «чипокалипсисом», и многие эксперты по компьютерной безопасности сошлись во мнении, что она таит в себе достаточно серьёзную опасность. Но рядовому пользователю достаточно сложно разобраться, защищён ли его компьютер и какие меры необходимо предпринять в первую очередь.

Ищем уязвимости Meltdown (CVE-2017-5754) и Spectre (CVE-2017-5753, CVE-2017-5715)

На днях компания Microsoft опубликовала инструкцию к запуску сценария PowerShell, который позволяет определить присутствие данных уязвимостей на компьютере под управлением Windows 10 и более ранних версий ОС. Пользователям Windows 7 в этом случае придётся дополнительно установить Windows Management Framework 5.1, в составе которого уже имеется PowerShell. Сам процесс проверки – несложный, но большинству пользователей будет непонятным. Поэтому разъясним поэтапно:

1. Запускаем PowerShell с правами Администратора. Для этого щёлкаем правой кнопкой мыши на «Пуск» и выбираем «Windows PowerShell (Администратор)». В открывшемся окне вводим команду Install-Module SpeculationControl. Если будет предложено установить поставщика NuGet, соглашаемся.

2. Поскольку стандартная политика выполнения не позволит запустить скрипт, необходимо сохранить текущие настройки и обойти этот запрет. Для этого вводим следующие две команды:

$SaveExecutionPolicy = Get-ExecutionPolicy

Set-ExecutionPolicy RemoteSigned -Scope Currentuser

3. Для непосредственного запуска сценария служат такие команды:

Import-Module SpeculationControl

Get-SpeculationControlSettings

Здесь вы увидите развёрнутую информацию о том, подвержен ли ваш компьютер и операционная система уязвимостям Meltdown и Spectre или нет. Строчка «Windows OS support for branch target injection mitigation» – относится к программному обеспечению Microsoft, а «Hardware support for branch target injection mitigation» — к аппаратным средствам. Если в двух словах, то зелёные надписи означают, что заплатки установлены и предусмотрены меры безопасности, красные – уязвимость не закрыта.

У вас также может присутствовать строчка «Windows OS support for PCID optimization», что означает поддержку функции аппаратной оптимизации PCID (Process Context Identifiers), которая должна компенсировать потерю производительности процессора после применения исправлений.

4. После всех манипуляций необходимо вернуть политику выполнения в исходное состояние, выполнив команду:

Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Инструмент Microsoft для поиска уязвимостей Meltdown и Spectre слишком сложный для неподготовленного пользователя, поэтому можно использовать другие способы проверки. К примеру, специальную утилиту под названием Specter Meltdown CPU Checker выпустила компания Ashampoo. Программа бесплатная и предназначена только для диагностики проблемы.

Что делать, если уязвимости обнаружены

Первым делом необходимо установить последние обновления системы безопасности Windows. Microsoft уже выпустила исправления для систем, начиная с версии ОС Windows 7, которые должны автоматически устанавливаться. Если по каким-то причинам эти патчи у вас не установлены, отключите антивирус, либо загрузите их вручную по следующим ссылкам:

• Windows 7 SP1, Windows Server 2008 R2 (KB4056897)
• Windows 8.1, Windows Server 2012 R2 (KB4056898)
• Windows 10 1507 (KB4056893)
• Windows 10 1511 (KB4056888)
• Windows 10 1607 (KB4056890)
• Windows 10 1703 (KB4056891)
• Windows 10 1709 (KB4056892)

На текущей момент Microsoft прекратила распространение обновлений от 3 и 9 января для систем на базе процессоров AMD в связи с тем, что некоторые компьютеры с устаревшими чипами после установки исправлений перестают загружаться.

Более надёжным способом защиты от Meltdown и Spectre является обновление прошивки UEFI / BIOS с новыми заплатками для процессоров. Однако проблема в том, что на выпуск таких обновлении может потребоваться больше времени. При этом старые компьютеры производители скорее всего обойдут стороной.

Помимо системных и аппаратных обновлений, необходимо также обновить браузер и драйвер видеоадаптера, которые также могут быть уязвимы к атакам Spectre. После всех этих действий запустите ещё раз PowerShell, либо утилиту Specter Meltdown CPU Checker, чтобы проверить, работают ли исправления.