Gelöst: Meltdown / Spectre und VIWAS / McAfee - DATEV-Community

jan · ‎05.01.2018

Laut https://kc.mcafee.com/corporate/index?page=content&id=KB90167 ist VSE 8.8 ab Patch 9 für die Microsoft Patches (https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution) freigegeben. Leider fehlt der benötigte RegKey (zumindest auf den paar Servern, wo ich nachgesehen habe) (https://support.microsoft.com/en-us/help/4072699/important-information-regarding-the-windows-security-updates-released😞

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat REG_DWORD cadca5fe-87d3-4b96-b7fb-a231484277cc

- Wird DATEV hier auf die Lösung von McAfee warten, um den Key auszurollen?

- Wird DATEV einen Hotfix dafür veröffentlichen (losgelöst von McAfee)?

- Soll der Key wie im McAfee Dokument vorerst(?), wie auch immer, mehr oder wenig aufwändig, von Hand verteilt / ausgerollt werden?

Gelöschter Nutzer · ‎05.01.2018

- Soll der Key wie im McAfee Dokument vorerst(?), wie auch immer, mehr oder wenig aufwändig, von Hand verteilt / ausgerollt werden?

Auf keinen Fall sollte man irgendwas händisch machen. Also beispielsweise NICHT den Key selbst setzen und den Windows-Patch manuell runterladen und offline installieren. Führt zum Bluescreen und Windows fährt nicht mehr hoch.

https://www.borncity.com/blog/2018/01/04/kritische-sicherheitsupdates-fr-windows-7-8-1-3-1-2018/

https://www.drwindows.de/news/meltdown-und-spectre-updates-fuer-windows-7-und-8-1-sowie-pruefscript-veroeffentlicht

jan · ‎05.01.2018

Ohne zu prüfen, was der AV Hersteller dazu sagt, sollte der Key definitiv nicht gesetzt werden. Auf der McAfee Seite findet sich halt folgendes:

Testing is complete for the following products and versions, and they are confirmed as compatible. This list will be updated with additional versions and products as compatibility testing continues.
Data Loss Prevention 9.4 and later
Endpoint Security 10.2 and later
Drive Encryption 7.0 and later
Host IPS 8.0 Patch 9 and later
McAfee Agent 4.8.3 and later
McAfee Application Control 8.0 and later
McAfee Active Response 1.1 and later
McAfee Client Proxy 1.2 and later
System Information Reporter (SIR) 1.0.1
VirusScan Enterprise 8.8 Patch 9 and later

Sowie:

In order to receive patches via Windows Update, customers are advised to create the following new registry key:

RegKey="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat"
Value Name ="cadca5fe-87d3-4b96-b7fb-a231484277cc"
Type="REG_DWORD"
Data="0x00000000"

In environments with Active Directory, this key can be deployed via GPO. Instructions on how to deploy via GPO can be found here: https://technet.microsoft.com/en-us/library/cc753092%28v=ws.11%29.aspx

Argh und ich sehe grade, dass der McAfee Agent 4.8.3 erst getestet ist und VIWAS scheinbar noch beim Agent 4.8.0 ist.

Dann bleibt die Frage, was DATEV dazu sagt

svenboerner · ‎06.01.2018

Datev hat dazu ein Info-Dokument mit der Nummer 1001209 bereitgestellt. Nach diesem Dokument kann bzw. müsste man den Registry Schlüssel manuell hinzufügen, um das Update installieren zu können (via Windows Update). Eine Kompatibilität wird in dem Artikel zugesichert.

https://www.datev.de/dnlexom/client/app/index.html#/document/1001209

jan · ‎06.01.2018

Vielen Dank.

Heute findet sich mit den entsprechenden Suchbegriffen auch was in der Info-DB.

Als unangemessen melden · ‎06.01.2018

Mal ganz ehrlich...

Welches Sicherheitsrisiko besteht denn in einer real existierenden Steuerkanzlei?
Die Anwender haben umfangreiche Rechte, so daß die DATEV- Software bedienen können und auch Java, Adobe usw. Updates unfallfrei durchklicken können.

Was für verborgene Information könnte Meltdown noch auslesen, wo doch alle Passwörter anderer Nutzer ausschließlich als Hash- Wert gespeichert sind. Dann scheinen für einen potentiellen Angreifer ausschließlich zurch Zufall erzeugte Daten auslesbar zu sein. Wer tut sich das an, um solche Kernel- Speicherdumps auszuwerten? Doch nur jemand, der einen absoluten Zielangriff auf ein bestimmtes System fahren möchte. Da gibt es in real existierenden Kanzleien einfachere Methoden, um an die Daten zu kommen.

Dann gibt es noch die Aussage, daß diese Lücke bislang nicht genutzt wird, der Patch aber gravierende Nebenwirkunen auf Performance und Stabilität haben kann.

Was war also der Auslöser für diese Panikmache?

Soll vielleicht der teuer entwickelte Bundestrojaner weg gekickt werden?

Der Fix scheint mit sehr heisser Nalel gestrickt zu sein. Ich würde mit dem Update wirklich warten, bis das echte OK von DATEV nach intensiven Tests vorliegt, denn das Risiko durch das Update scheint mir eklatant höher zu sein, als das Risiko durch diese Methode der Speicherverwltung. Blue Screen = NoGo !!!

jan · ‎06.01.2018

Welches Sicherheitsrisiko besteht denn in einer real existierenden Steuerkanzlei?
Die Anwender haben umfangreiche Rechte, so daß die DATEV- Software bedienen können und auch Java, Adobe usw. Updates unfallfrei durchklicken können.

Das ist schonmal die erste und wohl größte Sicherheitslücke. Das man sich in dem Fall noch nie Gedanken zu Security gemacht hat, steht dann wohl außer Frage. In so einem Fall braucht man auch gar nichts und nie Patchen.

Es soll halt auch Kanzleien / Unternehmen geben, die entsprechende (IT-)Compliance Anforderungen definiert haben, die dann einzuhalten sind.

Die heiße Nadel scheint ja daher zu kommen, dass es AV Hersteller gibt, die Dinge tun, von denen MS wohl schon "länger" abrät. AFAIK sind die Patches auch schon in der letzten Inside Build von Win 10 integriert gewesen (Habe ich irgendwo meine ich gelesen). Einzig die Performance-Geschichte ist noch recht ungewiss.

Michael-Renz · ‎07.01.2018

ich habe heute auf meinen Systemen (mit und ohne DATEV-Installationen) den im Dokument beschriebenen Registry-Schlüssel ohne vorherige Anlage durch mich gefunden und entsprechend haben heute früh die Systeme auch die MS-Updates dazu runtergeladen.

Evtl. können die IT-ler hier das mal testen und dann ggf. bestätigen - in diesem Fall wäre die manuelle bzw. über GPO empfohlene Registry-Änderung nicht erforderlich.

Nachtrag

nach dem eben geänderten Dokument von Microsoft wäre folgende Batchdatei zum Ein-/Ausschalten der Sicherheitsmaßnahmen:

@echo off
echo 1 fuer Einschalten, 0 fuer auschalten und bestaetigen
set /p auswahl=

IF %auswahl%==1 GOTO :setdata
IF %auswahl%==0 GOTO :unset

:setdata
echo lade Einstellungen!
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
echo Einstellungen geladen!
echo Bitte Taste druecken
pause>nul
GOTO :end

:unset

echo Einstellungen werden nun geloescht!
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
echo Einstellungen geloescht!
echo Bitte Taste druecken
pause>nul
:end
exit

neben dem Firmware-Update lt. Server-Hersteller und dem MS-Update KB4056890 (Win 2016) einzusetzen.

Bei HP gibt´s offenbar noch kein neueres SPP als das 2017/10-1 (offenbar noch ohne Meltdown/Spectre Berücksichtigung??) Oder liege ich da falsch?

Beste Grüße
RA Michael Renz, Stuttgart

jan · ‎07.01.2018

Kurz gesagt: Dann muss "nur" der Patch installiert werden, das Microcode Update ( -> i.d.R. BIOS Update vom Server Hersteller) gemacht werden und am Server halt noch die entsprechenden Reg-Keys aus https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution gesetzt werden.

Wenn der Key bereits da ist, "bestätigt" der Hersteller des Antiviren-Programms, dass er keine unsupporteten Kernel-Speicher-Aufrufe macht (Microsoft's testing revealed a "small number" of antivirus programs are making unsupported calls into Windows kernel memory, which result in blue screen of death (BSOD) errors.).

Bei MSE und G-Data scheint der Key z.B. schon länger (?) zu existieren.

Sollte es sich um eine Hyper-V VM handeln -> MS hat den KB Artikel nochmal um den Hinweis "If this is a Hyper-V host: fully shutdown all Virtual Machines." ergänzt.

jan · ‎08.01.2018

Bei HP gibt´s offenbar noch kein neueres SPP als das 2017/10-1 (offenbar noch ohne Meltdown/Spectre Berücksichtigung??) Oder liege ich da falsch?

Für HP: https://support.hpe.com/hpsc/doc/public/display?docId=a00039267en_us

Bzw. direkt auf https://support.hpe.com/hpesc/public/home nach dem Server suchen.

Sebastian_Günther · ‎09.01.2018

Sehr geehrte Damen und Herren,

durch McAfee wurde bestätigt, dass die von DATEV - in den aktuell freigegebenen VIWAS-Versionen - eingesetzten McAfee Produkte kompatibel mit dem Microsoft-Update vom 03.01.2017 sind.

McAfee rät Kunden, den von Ihnen aufgeführten Registry-Key zu setzen. Darauf haben wir mit einem InfoDB-Dokument adHoc reagiert. Zusätzlich werden wir voraussichtlich zum 12. Januar einen Hotfix ausliefern, welcher den Key automatisch setzt.

Aktuell liefern wir mit VIWAS 8.1 und VIWAS 10 v10.1 einen McAfee VSE 8.8 Patch 10 (Build 1906) und einen McAfee Agent 4.8 Patch 3 (Build 4.8.0.1938 bei VIWAS 8.1 oder 4.8.0.1995 bei VIWAS 10) aus.

Mit freundlichen Grüßen,

Sebastian Günther