檢查是否已更新 CPU Speculative Execution 漏洞


前言

最近幾天大家關心的話題之一,相信就是 CPU Speculative Execution 漏洞議題,大家紛紛討論此次 CPU 漏洞造成的影響,並且這個漏洞不光影響一般企業或使用者,即便是雲端大廠 AWS, Azure, GCP 也都造成影響。相關資訊請參考下列連結:

Windows ServerWindows Client 的部分,則請參考微軟相關文章:




檢查是否更新完成

如果,你已經更新 BIOS / Firmware 及 Windows OS 相關更新後,該如何快速確認已經更新完畢,以便阻擋 CPU Speculative Execution 漏洞攻擊行為? 微軟已經發佈新的 SpeculationControl 的 PowerShell 模組幫助你檢查,請以「系統管理員」身份執行 PowerShell 後鍵入「Install-Module SpeculationControl」指令即可進行安裝。

圖、安裝 SpeculationControl 的 PowerShell 模組

安裝完畢後,便可以執行「Get-SpeculationControlSettings」指令進行檢查,如下圖所示目前受檢查的主機皆尚未安裝 BIOS / Firmware 及 Windows OS 相關更新。

圖、尚未安裝 BIOS / Firmware 及 Windows OS 相關更新

請安裝硬體的 BIOS / Firmware 相關更新,至於 Windows OS 的部分以 Windows 10 來說便需要安裝 KB4056892 安全性更新。

圖、為 Windows 10 安裝 KB4056892 安全性更新

安裝完畢並重新啟動主機後,再次執行「Get-SpeculationControlSettings」指令進行檢查,如下圖所示可以看到相關防護機制皆已啟動完成。

圖、更新完成並再次檢查後可發現相關防護機制皆已啟動完成

倘若,僅安裝 Windows OS 的相關更新但是硬體的 BIOS / Firmware 未更新的話,那麼執行檢查的結果可能如下圖所示:

圖、硬體 BIOS / Firmware 未更新的檢查結果