Board Stats

  • stats Total de Usuarios: 22770
  • stats Total de Mensajes: 106931
  • stats Total de Temas: 10235
  • stats Total de Categorías: 15
  • stats Total de Foros: 74
  • stats Máx. usuarios conectados (simultáneamente): 818

Ultimo registro



Autor Tema: cmdlet de PowerShell para comprobar Meltdown & Spectre  (Leído 376 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 22665
  • Mari
    • WirelessWindows
cmdlet de PowerShell para comprobar Meltdown & Spectre
« en: Enero 08, 2018, 21:38:12 pm »

https://s25.postimg.org/soofuex1b/sshot-2018-01-08-_11-26-56.jpg
cmdlet de PowerShell para comprobar Meltdown & Spectre







Microsoft ha lanzado un cmdlet de PowerShell para comprobar si nuestro PC está afectado con la vulnerabilidades Meltdown & Spectre..  vamos pues a realizar nuestras pruebas.  Como dato indicar que las pruebas se realizan posteriormente a la instalación del parche de emergencia emitido por Microsoft el pasado día 3 de Enero de 2018.

Citar
PowerShell Verification using a download from Technet (earlier operating system versions and earlier WMF versions)
Install the PowerShell Module from Technet ScriptCenter.
Go to
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.

Download SpeculationControl.zip to a local folder.
Extract the contents to a local folder, for example C:\ADV180002
Run the PowerShell module to validate the protections are enabled
Start PowerShell, then (using the example above) copy and run the following commands:
PS> # Save the current execution policy so it can be reset
PS> $SaveExecutionPolicy = Get-ExecutionPolicy
PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser
PS> CD C:\ADV180002\SpeculationControl
PS> Import-Module .\SpeculationControl.psd1
PS> Get-SpeculationControlSettings
PS> # Reset the execution policy to the original state
PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Conviene indicar que mañana (día 9) es "Path Tuesday" o "martes de parches" (recordad que todos los segundos martes de cada mes Microsoft libera actualizaciones acumulativas para corregir bugs, errores críticos o vulnerabilidades) y posiblemente se incluyan mejoras.

Lo primero será descargar el módulo para PowerShell desde el Technet ScriptCenter:


https://s25.postimg.org/tqymczxv3/sshot-2018-01-08-_11-09-28.jpg
cmdlet de PowerShell para comprobar Meltdown & Spectre



descaga
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.


Debemos aceptar el contrato de licencia y después salvamos la descarga a nuestro HD y copiamos el contenido a una carpeta local..   para mis pruebas la carpeta se llamará "SpeculationControl"  como el script) y la ubicaré en la raíz del disco C:\


https://s25.postimg.org/w8adkacmn/mari_2018_01_08_at_19_13_47.jpg
cmdlet de PowerShell para comprobar Meltdown & Spectre



Ejecutámos el módulo de PowerShell para validar que las protecciones estén habilitadas.  Para ello es necesariio ejecutar PowerShell con privilegios de administrador:


https://s25.postimg.org/vzhe814mn/sshot-2018-01-08-_11-19-53.jpg
cmdlet de PowerShell para comprobar Meltdown & Spectre



guardámos la política de ejecución actual para que poder restablecerla mas tarde


Código: [Seleccionar]
SaveExecutionPolicy = Get-ExecutionPolicy
Código: [Seleccionar]
Set-ExecutionPolicy RemoteSigned -Scope Currentuser

la salida nos retornará algo así:

Código: [Seleccionar]

Windows PowerShell
Copyright (C) Microsoft Corporation. Todos los derechos reservados.

PS C:\WINDOWS\system32> $SaveExecutionPolicy = Get-ExecutionPolicy
PS C:\WINDOWS\system32> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

Cambio de directiva de ejecución
La directiva de ejecución te ayuda a protegerte de scripts en los que no confías. Si cambias dicha directiva, podrías
exponerte a los riesgos de seguridad descritos en el tema de la Ayuda about_Execution_Policies en
https:/go.microsoft.com/fwlink/?LinkID=135170. ¿Quieres cambiar la directiva de ejecución?
[S] Sí  [O] Sí a todo  [N] No  [T] No a todo  [U] Suspender  [?] Ayuda (el valor predeterminado es "N"): S
PS C:\WINDOWS\system32>


Nos ubicamos en la carpeta del script..  como dije antes en mi caso ubiqué en la raíz del disco C:\ y denominé la carpeta que lo contiene como "SpeculationControl", por tanto:

Código: [Seleccionar]
CD C:\SpeculationControl
Ya ubicada en la carpeta ejecuto el script en si y obtengo resultados:

Código: [Seleccionar]
Import-Module .\SpeculationControl.psd1

la salida nos retornará algo así:

Código: [Seleccionar]
PS C:\WINDOWS\system32> CD C:\SpeculationControl
PS C:\SpeculationControl> Import-Module .\SpeculationControl.psd1

¿Desea ejecutar el software de este editor que no es de confianza?
El archivo C:\SpeculationControl\SpeculationControl.psm1 está publicado por CN=Microsoft Corporation, OU=MOPR,
O=Microsoft Corporation, L=Redmond, S=Washington, C=US, que no está marcado como editor de confianza en el sistema.
Ejecute únicamente los scripts de los editores de confianza.
[O] No ejecutar nunca  [N] No ejecutar  [Z] Ejecutar una vez  [E] Ejecutar siempre  [?] Ayuda
(el valor predeterminado es "N"):Z
PS C:\SpeculationControl>

..continuamos para bingo:

Código: [Seleccionar]
Get-SpeculationControlSettings
Y aquí el resultado (nefasto en mi caso):

Código: [Seleccionar]
PS C:\SpeculationControl> Get-SpeculationControlSettings
Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: False
Windows OS support for kernel VA shadow is enabled: False

Suggested actions

 * Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
 * Install the latest available updates for Windows with support for speculation control mitigations.
 * Follow the guidance for enabling Windows Client support for speculation control mitigations described in https://support.microsoft.com/help/4073119


BTIHardwarePresent             : False
BTIWindowsSupportPresent       : True
BTIWindowsSupportEnabled       : False
BTIDisabledBySystemPolicy      : False
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired              : True
KVAShadowWindowsSupportPresent : False
KVAShadowWindowsSupportEnabled : False
KVAShadowPcidEnabled           : False



Para que todo fuera bien debemos tener True mayoritariamente y no False..


Bien..  antes de salir de PowerShell conviene restablecer la política de ejecución al estado original (para eso la guardamos al comienzo).

Código: [Seleccionar]
Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser
Código: [Seleccionar]
PS C:\SpeculationControl> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

nos devuelve..

Cambio de directiva de ejecución
La directiva de ejecución te ayuda a protegerte de scripts en los que no confías. Si cambias dicha directiva, podrías
exponerte a los riesgos de seguridad descritos en el tema de la Ayuda about_Execution_Policies en
https:/go.microsoft.com/fwlink/?LinkID=135170. ¿Quieres cambiar la directiva de ejecución?
[S] Sí  [O] Sí a todo  [N] No  [T] No a todo  [U] Suspender  [?] Ayuda (el valor predeterminado es "N"): S
PS C:\SpeculationControl>




Podéis observar gráficamente todo el proceso completo en este gif mientras yo me voy a comprar un procesador nuevo XD


http://img110.xooimage.com/files/9/0/3/cmdlet-powershell...pectre-1-53be1ef.gif
cmdlet de PowerShell para comprobar Meltdown & Spectre





Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
   support.microsoft
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
    (módulo de PowerShell)  - Technet ScriptCenter

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.