Promjena datuma |
Promjena opisa |
19. srpnja 2023. |
|
8. kolovoza 2023. |
|
9. kolovoza 2023. |
|
9. travnja 2024. |
|
16. travnja 2024. |
|
Sažetak
U ovom se članku navode smjernice za novu klasi mikroarhitekturnih mikroarhitekturnih i spekulativnih performansi bočnog kanala za silikonske procesore koji utječu na mnoge moderne procesore i operacijske sustave. To obuhvaća Intel, AMD i ARM. Specifične pojedinosti za te slabe točke utemeljene na silikonima mogu se pronaći u sljedećim advs-ovima (sigurnosnim savjetima) i KV-ovima (uobičajene slabe točke i izloženosti):
-
ADV180002 | Smjernice za ublažavanje slabih točaka bočnog kanala spekulativnog izvršavanja
-
ADV180012 | Microsoftove smjernice za spekulativno zaobilaženje trgovine
-
ADV180013 | Microsoft Guidance for Rogue System Register Read
-
ADV180018 | Microsoftove smjernice za ublažavanje varijante L1TF
-
ADV190013 | Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities
-
ADV220002 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities
-
CVE-2022-23825 | Zabuna s vrstom ogranka PROCESORA AMD-a (BTC)
Važno: Taj problem utječe i na druge operacijske sustave, kao što su Android, Chrome, iOS i macOS. Stoga preporučujemo korisnicima da od tih dobavljača traže smjernice.
Objavili smo nekoliko ažuriranja da bismo ublažili te slabe točke. Poduzeli smo i radnje za zaštitu naših servisa u oblaku. Dodatne pojedinosti potražite u sljedećim odjeljcima.
Još nismo primili nikakve informacije da bismo naznačili da su te slabe točke korištene za napad na korisnike. Usko surađujemo s partnerima u industriji, uključujući proizvođače čipova, hardverske OEM-ove i dobavljače aplikacija radi zaštite korisnika. Da biste dobili sve dostupne zaštite, potrebna su oprema (mikrokod) i softverska ažuriranja. To uključuje mikrokod iz OEM-ova uređaja i, u nekim slučajevima, ažuriranja antivirusnog softvera.
U ovom se članku rješavaju sljedeće slabe točke:
Windows Update će također omogućiti ublažavanje rizika za Internet Explorer i Edge. Nastavit ćemo poboljšavati ta ublažavanja protiv ove klase slabih točaka.
Dodatne informacije o ovoj klasi slabih točaka potražite u sljedećim člancima:
Ranjivosti
14. svibnja 2019. Intel je objavio informacije o novoj podklasi slabih točaka bočnog kanala spekulativnog izvršavanja poznate pod nazivom Uzorkovanje mikroarhitektorskih podataka. Te su slabe točke riješene u sljedećim KV-ima:
-
CVE-2019-11091 | Mikroarhitektomatorijski podaci Uzorkovanje neuhvatljive memorije (MDSUM)
-
CVE-2018-12126 | Uzorkovanje podataka međuspremnika mikroarhitekteka (MSBDS)
-
CVE-2018-12127 | Uzorkovanje podataka međuspremnika mikroarhitekteka (MFBDS)
-
CVE-2018-12130 | Uzorkovanje podataka mikroarhitektoturalnog priključka opterećenja (MLPDS)
Važno: Ti će problemi utjecati na druge operacijske sustave kao što su Android, Chrome, iOS i MacOS. Savjetujemo vam da zatražite smjernice tih dobavljača.
Objavili smo ažuriranja za ublažavanje tih slabih točaka. Da biste dobili sve dostupne zaštite, potrebna su oprema (mikrokod) i softverska ažuriranja. To može uključivati mikrokod iz OEM-ova uređaja. U nekim će slučajevima instaliranje tih ažuriranja utjecati na performanse. Također smo djelovali kako bismo osigurali naše usluge u oblaku. Preporučujemo implementaciju tih ažuriranja.
Dodatne informacije o tom problemu potražite u sljedećim smjernicama za sigurnost i upotrijebite smjernice utemeljene na scenarijima da biste utvrdili radnje potrebne za ublažavanje prijetnje:
-
ADV190013 | Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities
-
Smjernice sustava Windows za zaštitu od slabih točaka bočnog kanala spekulativnog izvršavanja
Napomena: Preporučujemo da instalirate sva najnovija ažuriranja s web-Windows Update prije nego što instalirate ažuriranja mikrokoda.
6. kolovoza 2019. Intel je objavio pojedinosti o ranjivosti otkrivanja informacija jezgre sustava Windows. Ta je ranjivost varijanta ranjivosti bočnog kanala spekulativnog izvršavanja Spectre Variant 1 i dodijeljena mu je cve-2019-1125.
9. srpnja 2019. objavili smo sigurnosna ažuriranja za operacijski sustav Windows radi lakšeg rješavanja tog problema. Imajte na umu da smo održao leđa dokumentiranje ovog ublažavanja javno do koordiniranog objavljivanja industrije u utorak, 6. kolovoza 2019.
Korisnici koji su Windows Update omogućili i primijenili sigurnosna ažuriranja objavljena 9. srpnja 2019. automatski su zaštićeni. Nije potrebna daljnja konfiguracija.
Napomena: Za tu ranjivost nije potrebno ažuriranje mikrokoda proizvođača uređaja (OEM-a).
Dodatne informacije o toj ranjivosti i primjenjivim ažuriranjima potražite u Microsoftovu vodiču za sigurnosno ažuriranje:
12. studenog 2019. Intel je objavio tehničko upozorenje o proširenjima za sinkronizaciju transakcija tvrtke Intel (Intel TSX) Transaction Asynchronous Abort koja je dodijeljena CVE-2019-11135. Objavili smo ažuriranja kako bismo ublažili tu ranjivost. Prema zadanim postavkama, zaštite OS-a omogućene su za izdanja operacijskog sustava Windows Client.
14. lipnja 2022. objavili smo ADV220002 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities. Slabe točke sustava dodijeljene su sljedećim KV-ima:
-
CVE-2022-21123 | Čitanje podataka zajedničkog međuspremnika (SBDR)
-
CVE-2022-21125 | Uzorkovanje zajedničkih međuspremnika podataka (SBDS)
-
CVE-2022-21166 | Registriranje djelomičnog pisanja uređaja (DRPW)
Preporučene radnje
Da biste se zaštitili od tih slabih točaka, morate poduzeti sljedeće radnje:
-
Primijenite sva dostupna ažuriranja operacijskog sustava Windows, uključujući mjesečna sigurnosna ažuriranja za Windows.
-
Primijenite ažuriranje odgovarajuće opreme (mikrokoda) koje pruža proizvođač uređaja.
-
Procijenite rizik za svoje okruženje na temelju informacija koje se pružaju u microsoftovim sigurnosnim savjetima ADV180002, ADV180012, ADV190013 i ADV220002,uz informacije navedene u ovom članku.
-
Po potrebi po potrebi slijedite savjete i informacije o ključu registra navedene u ovom članku.
Napomena: Korisnici uređaja Surface primit će ažuriranje mikrokoda putem servisa Windows Update. Popis najnovijih dostupnih ažuriranja opreme uređaja Surface (mikrokod) potražite u članku KB4073065.
12. srpnja 2022. objavili smo CVE-2022-23825 | Zbrka vrste procesora AMD CPU-a koja opisuje da pseudonimi u prediktoru ogranka mogu uzrokovati da određeni procesori AMD-a predvide pogrešnu vrstu grane. Taj problem može dovesti do otkrivanja informacija.
Da biste se zaštitili od te ranjivosti, preporučujemo da instalirate ažuriranja sustava Windows od ili nakon srpnja 2022., a zatim poduzeti akciju prema potrebi cve-2022-23825 i informacije o ključu registra navedene u ovom članku baza znanja članku.
Dodatne informacije potražite u sigurnosnom biltenu tvrtke AMD-SB-1037 .
8. kolovoza 2023. objavili smo CVE-2023-20569 | Predviđanje AMD CPU-a za povratnu adresu (poznato i pod nazivom Inception) koji opisuje novi spekulativni napad bočnog kanala koji može dovesti do spekulativnog izvršavanja na adresi pod kontrolom napadača. Taj problem utječe na određene procesore tvrtke AMD i može dovesti do otkrivanja informacija.
Da biste se zaštitili od te ranjivosti, preporučujemo da instalirate ažuriranja sustava Windows od kolovoza 2023. ili nakon tog datuma, a zatim poduzeti akciju prema potrebi u članku CVE-2023-20569 i informacije o ključu registra koje se nalaze u ovom članku baza znanja.
Dodatne informacije potražite u sigurnosnom biltenu tvrtke AMD-SB-7005 .
9. travnja 2024. objavili smo CVE-2022-0001 | Intel Branch History Injection koji opisuje Branch History Injection (BHI) koji je specifičan oblik intra-mode BTI. Ta se ranjivost pojavljuje kada napadač može manipulirati poviješću grana prije prelaska s korisnika na nadzorni način rada (ili iz VMX-a koji nije korijenski/gost u korijenski način rada). Ova manipulacija može uzrokovati da indirektni prediktor grane odabire određeni unos prediktora za neizravni ogranak, a programčić za otkrivanje na predviđenom cilju će se privremeno izvršiti. To može biti moguće jer relevantna povijest grana može sadržavati ogranke iz prethodnih sigurnosnih konteksta, a posebice drugih načina prediktora.
Postavke ublažavanja za klijente sustava Windows
Sigurnosna upozorenja (ADV-ovi) i KV-ovi pružaju informacije o riziku koji te slabe točke mogu postaviti te kako vam pomažu u prepoznavanju zadanog stanja ublažavanja rizika za klijentske sustave sustava Windows. Sljedeća tablica sadrži sažetak zahtjeva mikrokoda CPU-a i zadanog statusa ublažavanja problema na klijentima sustava Windows.
CVE |
Potreban je mikrokod/oprema CPU-a? |
Zadano stanje ublažavanja |
---|---|---|
CVE-2017-5753 |
Ne |
Omogućeno po zadanom (nema mogućnosti onemogućivanja) Dodatne informacije potražite ADV180002 informacije. |
CVE-2017-5715 |
Da |
Omogućeno po zadanom. Korisnici sustava utemeljenih na procesorima tvrtke AMD trebali bi vidjeti najčešća pitanja #15, a korisnici procesora ARM trebali bi vidjeti najčešća pitanja #20 na ADV180002 za dodatne radnje, a ovaj članak iz baze znanja za primjenjive postavke ključa registra. Napomena Prema zadanim postavkama Retpoline je omogućen za uređaje sa sustavom Windows 10, verzijom 1809 ili novijim ako je omogućen Spectre Variant 2 (CVE-2017-5715). Da biste saznali više o Retpolineu, slijedite upute u članku Ublažavanje prijetnje Spectre varijante 2 uz Retpoline na blogu sustava Windows. |
Cve-2017-5754 |
Ne |
Omogućeno po zadanom Dodatne informacije potražite ADV180002 informacije. |
CVE-2018-3639 |
Intel: Da AMD: Ne ARM: Da |
Intel i AMD: onemogućeno prema zadanim postavkama. Dodatne ADV180012 potražite u članku iz baze znanja za primjenjive postavke ključa registra. ARM: Omogućeno po zadanom bez mogućnosti onemogućivanja. |
CVE-2019-11091 |
Intel: Da |
Omogućeno po zadanom. Dodatne ADV190013 i ovaj članak potražite u odjeljku primjenjive postavke ključa registra. |
CVE-2018-12126 |
Intel: Da |
Omogućeno po zadanom. Dodatne ADV190013 i ovaj članak potražite u odjeljku primjenjive postavke ključa registra. |
CVE-2018-12127 |
Intel: Da |
Omogućeno po zadanom. Dodatne ADV190013 i ovaj članak potražite u odjeljku primjenjive postavke ključa registra. |
CVE-2018-12130 |
Intel: Da |
Omogućeno po zadanom. Dodatne ADV190013 i ovaj članak potražite u odjeljku primjenjive postavke ključa registra. |
CVE-2019-11135 |
Intel: Da |
Omogućeno po zadanom. Dodatne informacije i ovaj članak potražite u članku CVE-2019-11135 za primjenjive postavke ključa registra. |
CVE-2022-21123 (dio MMIO ADV220002) |
Intel: Da |
Windows 10, verzija 1809 i novija: omogućeno po zadanom. Windows 10, verzija 1607 i starije: onemogućeno prema zadanim postavkama.Dodatne informacije i ovaj članak za primjenjive postavke ključa registra potražite u članku CVE-2022-21123 . |
CVE-2022-21125 (dio MMIO ADV220002) |
Intel: Da |
Windows 10, verzija 1809 i novija: omogućeno po zadanom. Windows 10, verzija 1607 i starije: onemogućeno prema zadanim postavkama. |
CVE-2022-21127 (dio MMIO ADV220002) |
Intel: Da |
Windows 10, verzija 1809 i novija: omogućeno po zadanom. Windows 10, verzija 1607 i starije: onemogućeno prema zadanim postavkama. |
CVE-2022-21166 (dio MMIO ADV220002) |
Intel: Da |
Windows 10, verzija 1809 i novija: omogućeno po zadanom. Windows 10, verzija 1607 i starije: onemogućeno prema zadanim postavkama. |
CVE-2022-23825 (zabuna s vrstom procesorske grane AMD-a) |
AMD: Ne |
Dodatne informacije i ovaj članak za primjenjive postavke ključa registra potražite u članku CVE-2022-23825. |
CVE-2023-20569 (Prediktor za povratnu adresu AMD cpu-a) |
AMD: Da |
Dodatne informacije i ovaj članak za primjenjive postavke ključa registra potražite u članku CVE-2023-20569 . |
Intel: Ne |
Onemogućeno po zadanom. Dodatne informacije i ovaj članak za primjenjive postavke ključa registra potražite u članku CVE-2022-0001 . |
Napomena: Omogućivanje ublažavanja koja su isključena po zadanom može utjecati na performanse uređaja. Stvarni učinak na performanse ovisi o više čimbenika, kao što su specifični chipset na uređaju i radna opterećenja koja se izvode.
Postavke registra
Pružamo sljedeće podatke registra da bismo omogućili ublažavanja koja po zadanom nisu omogućena, kao što je dokumentirano u sigurnosnim savjetima (ADV-ovima) i KV-ovima. Osim toga, korisnicima koji žele onemogućiti ublažavanje poteškoća kada je to primjenjivo za klijente sustava Windows nudimo i postavke ključa registra.
Važno: Ovaj odjeljak, metoda ili zadatak sadrži korake koji vas obavještavaju o tome kako izmijeniti registar. No ako nepravilno izmijenite registar, može doći do ozbiljnih problema. Stoga pazite da pažljivo slijedite ove korake. Radi dodatne zaštite sigurnosno kopirajte registar prije izmjene. Zatim možete vratiti registar ako se pojavi problem. Dodatne informacije o sigurnosnom kopiranju i vraćanju registra potražite u sljedećem članku u Microsoftovoj bazi znanja:322756 Sigurnosno kopiranje i vraćanje registra u sustavu Windows
Važno: Prema zadanim postavkama Retpoline je omogućen na uređajima sa sustavom Windows 10, verzija 1809 ako je omogućena verzija Spectre, Variant 2 (CVE-2017-5715). Omogućivanje Retpolinea na najnovijoj verziji sustava Windows 10 može poboljšati performanse na uređajima sa sustavom Windows 10, verzija 1809 za Spectre varijantu 2, osobito na starijim procesorima.
Omogućivanje zadanih ublažavanja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovno pokrenite uređaj da bi promjene stupjeli na snagu. Onemogućivanje ublažavanja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovno pokrenite uređaj da bi promjene stupjeli na snagu. |
Napomena: Vrijednost 3 točna je za FeatureSettingsOverrideMask za postavke "omogući" i "onemogući". (Dodatne pojedinosti o ključevima registra potražite u odjeljku "Najčešća pitanja".)
Da biste onemogućili ublažavanja za CVE-2017-5715 (Spectre variant 2) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovno pokrenite uređaj da bi promjene stupjeli na snagu. Omogućivanje zadanih ublažavanja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovno pokrenite uređaj da bi promjene stupjeli na snagu. |
Prema zadanim postavkama zaštita od korisnika do jezgre za CVE-2017-5715 onemogućena je za AMD i ARM CPU-ove. Da biste primali dodatne zaštite za CVE-2017-5715, morate omogućiti ublažavanje. Dodatne informacije potražite u članku Najčešća pitanja #15 u članku ADV180002 za procesore tvrtke AMD i najčešća pitanja #20 u sustavu ADV180002 procesore ARM.
Omogućite zaštitu od korisnika do jezgre na procesorima AMD i ARM zajedno s drugim zaštitama za CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovno pokrenite uređaj da bi promjene stupjeli na snagu. |
Da biste omogućili ublažavanja za CVE-2018-3639 (Spekulativno zaobilaženje pohrane), zadana ublažavanja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovno pokrenite uređaj da bi promjene stupjeli na snagu. Napomena: Procesori amd nisu izloženi CVE-2017-5754 (Meltdown). Ovaj ključ registra koristi se u sustavima s amd procesorima radi omogućivanja zadanih ublažavanja za CVE-2017-5715 na amd procesorima i ublažavanje za CVE-2018-3639. Onemogućivanje ublažavanja za CVE-2018-3639 (Spekulativno zaobilaženje pohrane) *i* ublažavanja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovno pokrenite uređaj da bi promjene stupjeli na snagu. |
Prema zadanim postavkama zaštita od korisnika do jezgre za CVE-2017-5715 onemogućena je za AMD procesore. Korisnici moraju omogućiti ublažavanje da bi primali dodatne zaštite za CVE-2017-5715. Dodatne informacije potražite u članku Najčešća pitanja #15 u ADV180002.
Omogućite zaštitu od korisnika do jezgre na AMD procesorima zajedno s drugim zaštitama za CVE 2017-5715 i zaštite za CVE-2018-3639 (Spekulativno zaobilaženje spremišta): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovno pokrenite uređaj da bi promjene stupjeli na snagu. |
Omogućivanje ublažavanja ranjivosti Asynchronous Abort (CVE-2019-11135) i Uzorkovanje podataka mikroarhitekrona (CVE-2019-11135) -11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) zajedno s Varijante Spectre (CVE-2017-5753 & CVE-2017-5715) i Meltdown (CVE-2017-5754), uključujući Spekulativno onemogućivanje zaobilaženje spremišta (SSBD) (CVE-2018-3639) i L1 pogreška terminala (L1TF) (CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646) bez onemogućivanja značajke Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ako je ovo glavno računalo za Hyper-V i primijenjena su ažuriranja programske opreme: Potpuno isključite sva virtualna računala. To omogućuje primjenu ublažavanja vezanih uz opremu na glavnom računalu prije pokretanja VM-ova. Stoga se VM-i ažuriraju i prilikom ponovnog pokretanja. Ponovno pokrenite uređaj da bi promjene stupjeli na snagu. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) uz Hyper-Threading onemogućeno: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ako je ovo glavno računalo za Hyper-V i primijenjena su ažuriranja programske opreme: Potpuno isključite sva virtualna računala. To omogućuje primjenu ublažavanja vezanih uz opremu na glavnom računalu prije pokretanja VM-ova. Stoga se VM-i ažuriraju i prilikom ponovnog pokretanja. Ponovno pokrenite uređaj da bi promjene stupjeli na snagu. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovno pokrenite uređaj da bi promjene stupjeli na snagu. |
Da biste omogućili ublažavanje za CVE-2022-23825 na amd procesorima :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Da bi u potpunosti zaštitili, korisnici će možda morati onemogućiti Hyper-Threading (poznato i pod nazivom Istodobno više niti (SMT)). Upute o KB4073757uređajima sa sustavom Windows potražite u članku Upute za zaštitu uređaja sa sustavom Windows.
Da biste omogućili ublažavanje za CVE-2023-20569 na amd procesorima:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Da biste omogućili ublažavanje za CVE-2022-0001 na procesorima Intel:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Omogućivanje višestrukih ublažavanja
Da biste omogućili višestruka ublažavanja, morate REG_DWORD vrijednost svakog ublažavanja.
Na primjer:
Mitigation for Transaction Asynchronous Abort vulnerability, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) and L1 Terminal Fault (L1TF) with Hyper-Threading disabled |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
NAPOMENA 8264 (u decimalnom) = 0x2048 (u heksadecimalnom obliku) Da biste omogućili BHI zajedno s drugim postojećim postavkama, morat ćete koristiti bitwise OR trenutne vrijednosti s 8.388.608 (0x800000). 0x800000 OR 0x2048(8264 u decimalnom obliku) i postat će 8396 872 (0x802048). Isto vrijedi i za FeatureSettingsOverrideMask. |
|
Mitigation for CVE-2022-0001 on Intel processors |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Kombinirano ublažavanje |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Mitigation for Transaction Asynchronous Abort vulnerability, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) and L1 Terminal Fault (L1TF) with Hyper-Threading disabled |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Mitigation for CVE-2022-0001 on Intel processors |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Kombinirano ublažavanje |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Provjera jesu li omogućene zaštite
Da bismo provjerili jesu li zaštite omogućene, objavili smo skriptu komponente PowerShell koju možete pokrenuti na uređajima. Instalirajte i pokrenite skriptu na jedan od sljedećih načina.
Instalirajte modul PowerShell: PS> Install-Module SpeculationControl Pokrenite modul PowerShell da biste provjerili jesu li zaštite omogućene: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Ponovno postavljanje pravila izvršenja u izvorno stanje PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Instalirajte modul PowerShell iz technet ScriptCenter: Idite na https://aka.ms/SpeculationControlPS Preuzmite SpeculationControl.zip u lokalnu mapu. Izdvajanje sadržaja u lokalnu mapu, na primjer C:\ADV180002 Pokrenite modul PowerShell da biste provjerili jesu li zaštite omogućene: Pokrenite PowerShell, a zatim (pomoću prethodnog primjera) kopirajte i pokrenite sljedeće naredbe: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Ponovno postavljanje pravila izvršenja u izvorno stanje PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Detaljno objašnjenje izlaza skripte PowerShell potražite u članku KB4074629.
Najčešća pitanja
Mikrokod se isporučuje putem ažuriranja programske opreme. Obratite se cpuu (čipsetu) i proizvođačima uređaja o dostupnosti primjenjivih sigurnosnih ažuriranja opreme za određeni uređaj, uključujući Smjernice za reviziju mikrokoda tvrtke Intels.
Rješavanje hardverske ranjivosti ažuriranjem softvera predstavlja znatne izazove. Također, ublažavanja za starije operacijske sustave zahtijevaju opsežne arhitektonske promjene. Radimo s pogođenim proizvođačima čipova da bismo utvrdili najbolji način za ublažavanje problema, koji se može isporučiti u budućim ažuriranjima.
Ažuriranja za uređaje Microsoft Surface isporučit će se korisnicima putem Windows Update zajedno s ažuriranjima za operacijski sustav Windows. Popis dostupnih ažuriranja opreme uređaja Surface (mikrokod) potražite u članku KB4073065.
Ako vaš uređaj nije od Microsofta, primjenjuje se oprema proizvođača uređaja. Dodatne informacije zatražite od proizvođača OEM uređaja.
U veljači i ožujku 2018. Microsoft je objavio dodatnu zaštitu za neke sustave utemeljene na procesoru x86. Dodatne informacije potražite u KB4073757 i Microsoft Security Advisory ADV180002.
Ažuriranja za Windows 10 HoloLens dostupni su korisnicima uređaja HoloLens putem Windows Update.
Nakon primjene ažuriranja za veljaču 2018. Sigurnost u sustavu Windows, korisnici uređaja HoloLens ne moraju poduzeti nikakve dodatne radnje da bi ažurirali opremu uređaja. Ta će ublažavanja biti obuhvaćena i u svim budućim izdanjima sustava Windows 10 HoloLens.
Ne. Samo sigurnosna ažuriranja nisu kumulativna. Ovisno o verziji operacijskog sustava koju koristite, morat ćete instalirati svaka mjesečna sigurnosna ažuriranja da biste bili zaštićeni od tih slabih točaka. Na primjer, ako koristite Windows 7 za 32-bitne sustave na zahvaćenom Procesoru Tvrtke Intel, morate instalirati sva sigurnosna ažuriranja. Preporučujemo da ta sigurnosna ažuriranja instalirate redoslijedom izdanja.
Napomena U starijoj verziji najčešćih pitanja pogrešno je navedeno da je ažuriranje samo za sigurnost za veljaču obuhvaćala sigurnosne popravke objavljene u siječnju. U stvari, ne.
Ne. Sigurnosno ažuriranje 4078130 je određeno rješenje za sprječavanje nepredvidljivog ponašanja sustava, problema s performansama i/ili neočekivanih ponovnih pokretanja nakon instalacije mikrokoda. Primjena sigurnosnih ažuriranja za veljaču na klijentskim operacijskim sustavima Windows omogućuje sva tri ublažavanja.
Intel je nedavno objavio da su dovršili provjeru valjanosti i počeli objavu mikrokoda za novije cpu platforme. Microsoft nudi ažuriranja mikrokoda kojima je Intel potvrdio valjanost za Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 navodi određene članke iz baze znanja prema verziji sustava Windows. Svaki određeni KB sadrži dostupna ažuriranja mikrokoda tvrtke Intel po CPU-u.
Taj je problem riješen u KB4093118.
AMD je nedavno objavio da su počeli objavu mikrokoda za novije CPU platforme oko spectre varijante 2 (CVE-2017-5715 "Branch Target Injection"). Dodatne informacije potražite u odjeljcima AMD Security Ažuriranjai AMD Whitepaper: Smjernice za arhitekturu oko kontrole neizravnih grana. One su dostupne u kanalu opreme OEM-a.
Nudimo ažuriranja mikrokoda kojima je Intel potvrdio valjanost za Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection "). Da bi najnovija ažuriranja mikrokoda tvrtke Intel doprela putem sustava Windows Update, korisnici moraju imati instaliran mikrokod Intel na uređajima s operacijskim sustavom Windows 10 prije nadogradnje na ažuriranje sustava Windows 10 za travanj 2018. (verzija 1803).
Ažuriranje mikrokoda dostupno je i izravno iz kataloga ako nije instalirano na uređaj prije nadogradnje OS-a. Mikrokod tvrtke Intel dostupan je putem Windows Update, WSUS-a ili kataloga Microsoft Update. Dodatne informacije i upute za preuzimanje potražite u članku KB4100347.
Dodatne informacije potražite u sljedećim resursima:
Detalje potražite u odjeljcima "Preporučene akcije" i "Najčešća pitanja" u ADV180012 | Microsoftove smjernice za spekulativno zaobilaženje trgovine.
Da biste provjerili status SSBD-a, skripta komponente Get-SpeculationControlSettings PowerShell ažurirana je radi otkrivanja zahvaćenih procesora, statusa ažuriranja SSBD operacijskog sustava i stanja mikrokoda procesora ako je primjenjivo. Dodatne informacije i upute za dohvaćanje skripte komponente PowerShell potražite u članku KB4074629.
13. lipnja 2018. objavljena je dodatna ranjivost koja uključuje spekulativno izvršavanje bočnog kanala, poznato kao Lazy FP State Restore, i dodijeljena mu je cve-2018-3665. Postavke konfiguracije (registra) nisu potrebne za lazy restore FP vraćanje.
Dodatne informacije o toj ranjivosti i preporučenim akcijama potražite u članku Savjetnik za sigurnost ADV180016 | Microsoft Guidance for Lazy FP State Restore.
Napomena: Postavke konfiguracije (registra) nisu potrebne za lazy restore FP vraćanje.
Granica Check Bypass Store (BCBS) otkrivena je 10. srpnja 2018. i dodijeljeno CVE-2018-3693. BcBS smatramo da pripada istoj klasi slabih točaka kao i Zaobilaženje provjere granica (varijanta 1). Trenutno nismo svjesni instanci BCBS-a u našem softveru, ali nastavljamo s istraživanjem ove klase ranjivosti i radit ćemo s partnerima u industriji kako bismo riješili problem po potrebi. Nastavljamo poticati istraživače da sve relevantne nalaze predaju programu nagrada bočnog kanala spekulativnog izvršavanja tvrtke Microsoft, uključujući sve izrabljivajuće instance BCBS-a. Razvojni inženjeri softvera trebali bi pregledati smjernice za razvojne inženjere koje su ažurirane za BCBS na https://aka.ms/sescdevguide.
14. kolovoza 2018. objavljena je pogreška terminala L1 (L1TF) i dodijeljeno je više KV-ova. Te nove slabe točke bočnog kanala spekulativnog izvršavanja mogu se koristiti za čitanje sadržaja memorije preko pouzdane granice i, ako se iskorištava, mogu dovesti do otkrivanja informacija. Napadač može aktivirati slabe točke kroz više vektora, ovisno o konfiguriranom okruženju. L1TF utječe na procesore Intel® Core® i procesore Intel® Xeon®.
Dodatne informacije o toj ranjivosti i detaljnom prikazu zahvaćenih scenarija, uključujući Microsoftov pristup ublažavanju L1TF-a, potražite u sljedećim resursima:
Korisnici koji koriste 64-bitne ARM procesore trebali bi provjeriti s OEM-om uređaja radi podrške za opremu jer arm64 zaštita operacijskog sustava koja umanji cve-2017-5715 | Za primjenu ogranka ciljnog ubrizgavanja (Spectre, Variant 2) potrebno je najnovije ažuriranje opreme S OEM-ova uređaja.
Dodatne informacije potražite u sljedećim sigurnosnim savjetima
Dodatne informacije potražite u sljedećim sigurnosnim savjetima
Dodatne smjernice možete pronaći u smjernicama sustava Windows za zaštitu od slabih točaka bočnog kanala spekulativnog izvršavanja
Pogledajte smjernice u smjernicama sustava Windows za zaštitu od slabih točaka bočnog kanala spekulativnog izvršavanja
Smjernice za Azure potražite u ovom članku: Smjernice za ublažavanje slabih točaka bočnog kanala spekulativnog izvršavanja na platformi Azure.
Dodatne informacije o omogućivanja Retpoline potražite u našem članku na blogu: Ublažavanje spectre varijante 2 uz Retpoline u sustavu Windows.
Pojedinosti o toj ranjivosti potražite u Microsoftovu sigurnosnom vodiču: CVE-2019-1125 | Slaba točka otkrivanja informacija o jezgri sustava Windows.
Ne znamo ni za koju instancu ranjivosti otkrivanja informacija koja utječe na infrastrukturu servisa u oblaku.
Čim smo postali svjesni tog problema, brzo smo radili na rješavanju tog problema i izdanju ažuriranja. Čvrsto vjerujemo u bliska partnerstva s istraživačima i partnerima u industriji kako bismo korisnicima bili sigurniji, a pojedinosti nismo objavili do utorka 6. kolovoza, u skladu s usklađenim praksama otkrivanja ranjivosti.
Dodatne smjernice možete pronaći u smjernicama sustava Windows za zaštitu od slabih točaka bočnog kanala spekulativnog izvršavanja.
Dodatne smjernice možete pronaći u smjernicama sustava Windows za zaštitu od slabih točaka bočnog kanala spekulativnog izvršavanja.
Dodatne smjernice možete pronaći u smjernicama za onemogućivanje mogućnosti proširenja intel® transactional Synchronization Extensions (Intel® TSX).
Reference
Podatke za kontakt drugih proizvođača pružamo da bismo vam pomogli pronaći tehničku podršku. Ti se podaci za kontakt mogu promijeniti bez najave. Ne jamčimo točnost tih podataka za kontakt treće strane.