Datum wijzigen |
Beschrijving wijzigen |
dinsdag 19 juli 2023 |
|
dinsdag 8 augustus 2023 |
|
dinsdag 9 augustus 2023 |
|
9 april 2024 |
|
dinsdag 16 april 2024 |
|
Samenvatting
Dit artikel bevat richtlijnen voor een nieuwe klasse microarchitecturale en speculatieve beveiligingsproblemen aan de uitvoeringszijde van kanalen die van invloed zijn op veel moderne processors en besturingssystemen. Dit omvat Intel, AMD en ARM. Specifieke details voor deze beveiligingsproblemen op basis van silicium zijn te vinden in de volgende ADV's (beveiligingsadviezen) en CVE's (veelvoorkomende beveiligingsproblemen en blootstellingen):
-
ADV180012 | Microsoft-richtlijnen voor het omzeilen van speculatieve winkels
-
ADV180013 | Microsoft-richtlijnen voor rogue-systeemregister lezen
-
ADV180018 | Microsoft-richtlijnen om de L1TF-variant te beperken
-
ADV220002 | Microsoft Guidance on Intel Processor MMIO Verouderde gegevenskwetsbaarheden
-
CVE-2023-20569 | Voorspellingsfunctie voor retouradres van AMD CPU
Belangrijk: Dit probleem is ook van invloed op andere besturingssystemen, zoals Android, Chrome, iOS en macOS. Daarom raden we klanten aan om hulp te vragen bij die leveranciers.
We hebben verschillende updates uitgebracht om deze beveiligingsproblemen te verhelpen. We hebben ook actie ondernomen om onze cloudservices te beveiligen. Zie de volgende secties voor meer informatie.
We hebben nog geen informatie ontvangen om aan te geven dat deze beveiligingsproblemen zijn gebruikt om klanten aan te vallen. We werken nauw samen met branchepartners, waaronder chipfabrikanten, hardware-OEM's en toepassingsleveranciers om klanten te beschermen. Om alle beschikbare beveiligingen te krijgen, zijn firmware (microcode) en software-updates vereist. Dit omvat microcode van OEM's van apparaten en, in sommige gevallen, updates van antivirussoftware.
In dit artikel worden de volgende beveiligingsproblemen behandeld:
Windows Update biedt ook oplossingen voor Internet Explorer en Edge. We blijven deze oplossingen tegen deze klasse beveiligingsproblemen verbeteren.
Zie het volgende voor meer informatie over deze klasse beveiligingsproblemen:
Kwetsbaarheden
Op 14 mei 2019 heeft Intel informatie gepubliceerd over een nieuwe subklasse van speculatieve beveiligingsproblemen aan de uitvoeringszijde van kanalen, microarchitecturale gegevenssampling genoemd. Deze beveiligingsproblemen worden opgelost in de volgende CVE's:
-
CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)
-
CVE-2018-12127 | Microarchitectural Fill Buffer Data Sampling (MFBDS)
-
CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)
Belangrijk: Deze problemen zijn van invloed op andere besturingssystemen, zoals Android, Chrome, iOS en MacOS. We raden u aan om hulp te vragen bij deze respectieve leveranciers.
We hebben updates uitgebracht om deze beveiligingsproblemen te verhelpen. Om alle beschikbare beveiligingen te krijgen, zijn firmware (microcode) en software-updates vereist. Dit kan microcode van OEM's van apparaten omvatten. In sommige gevallen heeft het installeren van deze updates invloed op de prestaties. We hebben ook actie ondernomen om onze cloudservices te beveiligen. We raden u ten zeerste aan deze updates te implementeren.
Zie voor meer informatie over dit probleem het volgende beveiligingsadvies en gebruik richtlijnen op basis van scenario's om acties te bepalen die nodig zijn om de bedreiging te beperken:
Opmerking: U wordt aangeraden alle meest recente updates van Windows Update te installeren voordat u microcode-updates installeert.
Op 6 augustus 2019 heeft Intel details vrijgegeven over een kwetsbaarheid voor het vrijgeven van informatie in Windows-kernel. Dit beveiligingsprobleem is een variant van spectre variant 1 speculative execution side-channel vulnerability en is toegewezen CVE-2019-1125.
Op 9 juli 2019 hebben we beveiligingsupdates uitgebracht voor het Windows-besturingssysteem om dit probleem te verhelpen. Houd er rekening mee dat we het documenteren van deze beperking niet openbaar hebben gemaakt tot de gecoördineerde openbaarmaking van de branche op dinsdag 6 augustus 2019.
Klanten die Windows Update ingeschakeld en de beveiligingsupdates hebben toegepast die zijn uitgebracht op 9 juli 2019, worden automatisch beveiligd. Er is geen verdere configuratie nodig.
Opmerking: Voor dit beveiligingsprobleem is geen microcode-update van de fabrikant van uw apparaat (OEM) vereist.
Zie de Microsoft Security Update Guide voor meer informatie over dit beveiligingsprobleem en de toepasselijke updates:
Op 12 november 2019 heeft Intel een technisch advies gepubliceerd over Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability waaraan CVE-2019-11135 is toegewezen. We hebben updates uitgebracht om dit beveiligingsprobleem te verhelpen. De beveiliging van het besturingssysteem is standaard ingeschakeld voor edities van windows-clientbesturingssystemen.
Op 14 juni 2022 hebben we ADV220002 | Microsoft Guidance on Intel Processor MMIO Verouderde gegevenskwetsbaarheden. De beveiligingsproblemen worden toegewezen in de volgende CVE's:
-
CVE-2022-21127 | Speciale update voor buffergegevenssampling registreren (SRBDS-update)
-
CVE-2022-21166 | Apparaat registreren gedeeltelijk schrijven (DRPW)
Aanbevolen acties
U moet de volgende acties uitvoeren om u te beschermen tegen deze beveiligingsproblemen:
-
Pas alle beschikbare Windows-besturingssysteemupdates toe, inclusief de maandelijkse Windows-beveiligingsupdates.
-
Pas de toepasselijke firmware -update (microcode) toe die wordt geleverd door de fabrikant van het apparaat.
-
Evalueer het risico voor uw omgeving op basis van de informatie in Microsoft Security Advisories ADV180002, ADV180012, ADV190013 en ADV220002,naast de informatie in dit artikel.
-
Voer zo nodig actie uit met behulp van de adviezen en registersleutelgegevens die in dit artikel worden vermeld.
Opmerking: Surface-klanten ontvangen een microcode-update via Windows Update. Zie KB4073065 voor een lijst met de meest recente updates voor surface-apparaatfirmware (microcode).
Op 12 juli 2022 hebben we CVE-2022-23825 | AMD CPU-vertakkingstype Verwarring die beschrijft dat aliassen in de vertakkingsvoorspeller ertoe kunnen leiden dat bepaalde AMD-processors het verkeerde vertakkingstype voorspellen. Dit probleem kan leiden tot openbaarmaking van informatie.
Ter bescherming tegen dit beveiligingsprobleem raden we u aan Windows-updates te installeren die zijn gedateerd op of na juli 2022 en vervolgens actie te ondernemen zoals vereist door CVE-2022-23825 en registersleutelgegevens die in dit Knowledge Base artikel zijn opgenomen.
Zie beveiligingsbulletin AMD-SB-1037 voor meer informatie.
Op 8 augustus 2023 hebben we CVE-2023-20569 | AMD CPU Return Address Predictor (ook wel bekend als Inception) die een nieuwe speculatieve zijkanaalaanval beschrijft die kan resulteren in speculatieve uitvoering op een door een aanvaller beheerd adres. Dit probleem is van invloed op bepaalde AMD-processors en kan mogelijk leiden tot openbaarmaking van informatie.
Ter bescherming tegen dit beveiligingsprobleem raden we u aan Windows-updates te installeren die zijn gedateerd op of na augustus 2023 en vervolgens actie te ondernemen zoals vereist door CVE-2023-20569 en registersleutelinformatie die in dit Knowledge Base artikel is opgenomen.
Zie het beveiligingsbulletin AMD-SB-7005 voor meer informatie.
Op 9 april 2024 hebben we CVE-2022-0001 | Intel Branch History Injection die Branch History Injection (BHI) beschrijft, een specifieke vorm van intra-mode BTI. Dit beveiligingsprobleem treedt op wanneer een aanvaller de vertakkingsgeschiedenis kan manipuleren voordat deze overstapt van de gebruiker naar de supervisormodus (of van VMX niet-hoofd-/gastmodus naar hoofdmodus). Deze manipulatie kan ertoe leiden dat een indirecte vertakkingsvoorspeller een specifieke predictor-vermelding selecteert voor een indirecte vertakking en dat een gadget voor openbaarmaking op het voorspelde doel tijdelijk wordt uitgevoerd. Dit kan mogelijk zijn omdat de relevante vertakkingsgeschiedenis vertakkingen kan bevatten die zijn gemaakt in eerdere beveiligingscontexten, en in het bijzonder andere voorspellingsmodi.
Instellingen voor risicobeperking voor Windows-clients
Beveiligingsadviezen (ADV's) en CVE's bieden informatie over het risico van deze beveiligingsproblemen en hoe ze u helpen de standaardstatus van risicobeperkingen voor Windows-clientsystemen te identificeren. De volgende tabel bevat een overzicht van de vereiste CPU-microcode en de standaardstatus van de risicobeperkingen op Windows-clients.
CVE |
Cpu-microcode/firmware vereist? |
Standaardstatus van beperking |
---|---|---|
CVE-2017-5753 |
Nee |
Standaard ingeschakeld (geen optie om uit te schakelen) Raadpleeg ADV180002 voor meer informatie. |
CVE-2017-5715 |
Ja |
Standaard ingeschakeld. Gebruikers van systemen op basis van AMD-processors moeten veelgestelde vragen 15 zien en gebruikers van ARM-processors moeten veelgestelde vragen #20 op ADV180002 voor aanvullende actie en dit KB-artikel voor toepasselijke registersleutelinstellingen zien. Opmerking Standaard is Retpoline ingeschakeld voor apparaten met Windows 10, versie 1809 of hoger als Spectre Variant 2 (CVE-2017-5715) is ingeschakeld. Voor meer informatie over Retpoline volgt u de richtlijnen in het blogbericht Beperkingsspectrevariant 2 met Retpoline op Windows . |
CVE-2017-5754 |
Nee |
Standaard ingeschakeld Raadpleeg ADV180002 voor meer informatie. |
CVE-2018-3639 |
Intel: Ja AMD: Nee ARM: Ja |
Intel en AMD: standaard uitgeschakeld. Zie ADV180012 voor meer informatie en dit KB-artikel voor toepasselijke registersleutelinstellingen. ARM: standaard ingeschakeld zonder optie om uit te schakelen. |
CVE-2019-11091 |
Intel: Ja |
Standaard ingeschakeld. Zie ADV190013 voor meer informatie en dit artikel voor toepasselijke registersleutelinstellingen. |
CVE-2018-12126 |
Intel: Ja |
Standaard ingeschakeld. Zie ADV190013 voor meer informatie en dit artikel voor toepasselijke registersleutelinstellingen. |
CVE-2018-12127 |
Intel: Ja |
Standaard ingeschakeld. Zie ADV190013 voor meer informatie en dit artikel voor toepasselijke registersleutelinstellingen. |
CVE-2018-12130 |
Intel: Ja |
Standaard ingeschakeld. Zie ADV190013 voor meer informatie en dit artikel voor toepasselijke registersleutelinstellingen. |
CVE-2019-11135 |
Intel: Ja |
Standaard ingeschakeld. Zie CVE-2019-11135 voor meer informatie en dit artikel voor toepasselijke registersleutelinstellingen. |
CVE-2022-21123 (onderdeel van MMIO ADV220002) |
Intel: Ja |
Windows 10 versie 1809 en hoger: standaard ingeschakeld. Windows 10 versie 1607 en eerder: standaard uitgeschakeld.Zie CVE-2022-21123 voor meer informatie en dit artikel voor toepasselijke registersleutelinstellingen. |
CVE-2022-21125 (onderdeel van MMIO ADV220002) |
Intel: Ja |
Windows 10 versie 1809 en hoger: standaard ingeschakeld. Windows 10 versie 1607 en eerder: standaard uitgeschakeld.Zie CVE-2022-21125 voor meer informatie. |
CVE-2022-21127 (onderdeel van MMIO ADV220002) |
Intel: Ja |
Windows 10 versie 1809 en hoger: standaard ingeschakeld. Windows 10 versie 1607 en eerder: standaard uitgeschakeld.Zie CVE-2022-21127 voor meer informatie. |
CVE-2022-21166 (onderdeel van MMIO ADV220002) |
Intel: Ja |
Windows 10 versie 1809 en hoger: standaard ingeschakeld. Windows 10 versie 1607 en eerder: standaard uitgeschakeld.Zie CVE-2022-21166 voor meer informatie. |
CVE-2022-23825 (Verwarring van AMD CPU-vertakkingstype) |
AMD: Nee |
Zie CVE-2022-23825 voor meer informatie en dit artikel voor toepasselijke registersleutelinstellingen. |
CVE-2023-20569 (Voorspellingsfunctie voor return address van AMD CPU) |
AMD: Ja |
Zie CVE-2023-20569 voor meer informatie en dit artikel voor toepasselijke registersleutelinstellingen. |
Intel: Nee |
Standaard uitgeschakeld. Zie CVE-2022-0001 voor meer informatie en dit artikel voor toepasselijke registersleutelinstellingen. |
Opmerking: Standaard kan het inschakelen van risicobeperkingen die zijn uitgeschakeld, invloed hebben op de prestaties van het apparaat. Het werkelijke prestatie-effect is afhankelijk van meerdere factoren, zoals de specifieke chipset in het apparaat en de werkbelastingen die worden uitgevoerd.
Registerinstellingen
We bieden de volgende registerinformatie om risicobeperkingen in te schakelen die niet standaard zijn ingeschakeld, zoals wordt beschreven in Beveiligingsadviezen (ADV's) en CVE's. Daarnaast bieden we registersleutelinstellingen voor gebruikers die de risicobeperkingen willen uitschakelen, indien van toepassing op Windows-clients.
Belangrijk: Deze sectie, methode of taak bevat stappen die u laten zien hoe u het register kunt wijzigen. Er kunnen echter ernstige problemen optreden als u het register onjuist wijzigt. Zorg er daarom voor dat u deze stappen zorgvuldig volgt. Voor extra beveiliging maakt u een back-up van het register voordat u het wijzigt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Zie het volgende artikel in de Microsoft Knowledge Base voor meer informatie over het maken van een back-up en het herstellen van het register:322756 Een back-up maken van het register en het terugzetten in Windows
Belangrijk: Standaard is Retpoline ingeschakeld op Windows 10 versie 1809 apparaten als Spectre, Variant 2 (CVE-2017-5715) is ingeschakeld. Het inschakelen van Retpoline in de nieuwste versie van Windows 10 kan de prestaties verbeteren op apparaten met Windows 10 versie 1809 voor Spectre variant 2, met name op oudere processors.
Standaardbeperkingen inschakelen voor CVE-2017-5715 (Spectre Variant 2) en CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Start het apparaat opnieuw op om de wijzigingen door te voeren. Risicobeperkingen uitschakelen voor CVE-2017-5715 (Spectre Variant 2) en CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Start het apparaat opnieuw op om de wijzigingen door te voeren. |
Opmerking: De waarde 3 is nauwkeurig voor FeatureSettingsOverrideMask voor zowel de instellingen 'inschakelen' als 'uitschakelen'. (Zie de sectie Veelgestelde vragen voor meer informatie over registersleutels.)
Risicobeperkingen voor CVE-2017-5715 (Spectre Variant 2) uitschakelen : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Start het apparaat opnieuw op om de wijzigingen door te voeren. Standaardbeperkingen inschakelen voor CVE-2017-5715 (Spectre Variant 2) en CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Start het apparaat opnieuw op om de wijzigingen door te voeren. |
Standaard is beveiliging van gebruiker naar kernel voor CVE-2017-5715 uitgeschakeld voor AMD- en ARM-CPU's. U moet de beperking inschakelen om aanvullende beveiliging te ontvangen voor CVE-2017-5715. Zie Veelgestelde vragen 15 in ADV180002 voor AMD-processors en Veelgestelde vragen #20 in ADV180002 voor ARM-processors voor meer informatie.
Schakel beveiliging van gebruiker naar kernel in op AMD- en ARM-processors samen met andere beveiligingen voor CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Start het apparaat opnieuw op om de wijzigingen door te voeren. |
Om risicobeperkingen in te schakelen voor CVE-2018-3639 (Speculatieve store-bypass), standaardbeperkingen voor CVE-2017-5715 (Spectre Variant 2) en CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Start het apparaat opnieuw op om de wijzigingen door te voeren. Opmerking: AMD-processors zijn niet kwetsbaar voor CVE-2017-5754 (Meltdown). Deze registersleutel wordt gebruikt in systemen met AMD-processors om standaardbeperkingen in te schakelen voor CVE-2017-5715 op AMD-processors en de beperking voor CVE-2018-3639. Risicobeperkingen uitschakelen voor CVE-2018-3639 (Speculatieve store-bypass) *en* oplossingen voor CVE-2017-5715 (Spectre Variant 2) en CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Start het apparaat opnieuw op om de wijzigingen door te voeren. |
Standaard is beveiliging van gebruiker naar kernel voor CVE-2017-5715 uitgeschakeld voor AMD-processors. Klanten moeten de beperking inschakelen om aanvullende beveiliging te ontvangen voor CVE-2017-5715. Zie Veelgestelde vragen #15 in ADV180002 voor meer informatie.
Schakel beveiliging van gebruiker naar kernel in op AMD-processors, samen met andere beveiligingen voor CVE 2017-5715 en beveiligingen voor CVE-2018-3639 (Speculatieve Store Bypass): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Start het apparaat opnieuw op om de wijzigingen door te voeren. |
Risicobeperkingen inschakelen voor Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) en Microarchitectural Data Sampling ( CVE-2019--11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) samen met specificatiestre -varianten (CVE-2017-5753 & CVE-2017-5715) en Meltdown (CVE-2017-5754), inclusief specificatie SSBD (SSBD) (CVE-2018-3639) en L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 en CVE-2018-3646) zonder Hyper-Threading uit te schakelen: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Als de Hyper-V-functie is geïnstalleerd, voegt u de volgende registerinstelling toe: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Sluit alle Virtual Machines volledig af. Hierdoor kan de firmwaregerelateerde beperking worden toegepast op de host voordat de VM's worden gestart. Daarom worden de VM's ook bijgewerkt wanneer ze opnieuw worden opgestart. Start het apparaat opnieuw op om de wijzigingen door te voeren. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) met Hyper-Threading uitgeschakeld: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Als de Hyper-V-functie is geïnstalleerd, voegt u de volgende registerinstelling toe: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Sluit alle Virtual Machines volledig af. Hierdoor kan de firmwaregerelateerde beperking worden toegepast op de host voordat de VM's worden gestart. Daarom worden de VM's ook bijgewerkt wanneer ze opnieuw worden opgestart. Start het apparaat opnieuw op om de wijzigingen door te voeren. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Start het apparaat opnieuw op om de wijzigingen door te voeren. |
De beperking voor CVE-2022-23825 op AMD-processors inschakelen :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Om volledig te worden beveiligd, moeten klanten mogelijk ook Hyper-Threading (ook wel bekend als gelijktijdige multithreading (SMT)) uitschakelen. Zie KB4073757voor hulp bij het beveiligen van Windows-apparaten.
De beperking voor CVE-2023-20569 op AMD-processors inschakelen:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
De beperking voor CVE-2022-0001 op Intel-processors inschakelen:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Meerdere oplossingen inschakelen
Als u meerdere risicobeperkingen wilt inschakelen, moet u de REG_DWORD waarde van elke risicobeperking samen toevoegen.
Bijvoorbeeld:
Beperking voor kwetsbaarheid voor Asynchroon afbreken van transacties, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) en L1 Terminal Fault (L1TF) met Hyper-Threading uitgeschakeld |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
OPMERKING 8264 (in decimaal) = 0x2048 (in hex) Als u BHI samen met andere bestaande instellingen wilt inschakelen, moet u bitwise OR van de huidige waarde gebruiken met 8.388.608 (0x800000). 0x800000 OF 0x2048(8264 in decimaal) en wordt dit 8.396.872 (0x802048). Hetzelfde met FeatureSettingsOverrideMask. |
|
Beperking voor CVE-2022-0001 op Intel-processors |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Gecombineerde beperking |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Beperking voor kwetsbaarheid voor Asynchroon afbreken van transacties, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) en L1 Terminal Fault (L1TF) met Hyper-Threading uitgeschakeld |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Beperking voor CVE-2022-0001 op Intel-processors |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Gecombineerde beperking |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Controleren of beveiliging is ingeschakeld
Om te controleren of beveiliging is ingeschakeld, hebben we een PowerShell-script gepubliceerd dat u op uw apparaten kunt uitvoeren. Installeer en voer het script uit met behulp van een van de volgende methoden.
Installeer de PowerShell-module: PS> Install-Module SpeculationControl Voer de PowerShell-module uit om te controleren of beveiliging is ingeschakeld: PS> # Sla het huidige uitvoeringsbeleid op zodat het opnieuw kan worden ingesteld PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Het uitvoeringsbeleid opnieuw instellen op de oorspronkelijke status PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Installeer de PowerShell-module vanuit Technet ScriptCenter: Ga naar https://aka.ms/SpeculationControlPS Download SpeculationControl.zip naar een lokale map. Pak de inhoud uit naar een lokale map, bijvoorbeeld C:\ADV180002 Voer de PowerShell-module uit om te controleren of beveiliging is ingeschakeld: Start PowerShell, kopieer (aan de hand van het vorige voorbeeld) en voer de volgende opdrachten uit: PS> # Sla het huidige uitvoeringsbeleid op zodat het opnieuw kan worden ingesteld PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Het uitvoeringsbeleid opnieuw instellen op de oorspronkelijke status PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Zie KB4074629 voor een gedetailleerde uitleg van de uitvoer van het PowerShell-script.
Veelgestelde vragen
De microcode wordt geleverd via een firmware-update. Neem contact op met uw CPU(chipset) en apparaatfabrikanten over de beschikbaarheid van toepasselijke firmware-beveiligingsupdates voor hun specifieke apparaat, waaronder richtlijnen voor revisie van Intels Microcode.
Het oplossen van een hardwareprobleem via een software-update brengt aanzienlijke uitdagingen met zich mee. Bovendien vereisen oplossingen voor oudere besturingssystemen uitgebreide wijzigingen in de architectuur. We werken samen met de betrokken chipfabrikanten om te bepalen wat de beste manier is om risicobeperkingen te bieden. Deze kunnen in toekomstige updates worden geleverd.
Updates voor Microsoft Surface-apparaten worden geleverd aan klanten via Windows Update, samen met de updates voor het Windows-besturingssysteem. Zie KB4073065 voor een lijst met beschikbare firmware-updates voor Surface-apparaten (microcode).
Als uw apparaat niet van Microsoft is, past u firmware van de fabrikant van het apparaat toe. Neem voor meer informatie contact op met de fabrikant van het OEM-apparaat.
In februari en maart 2018 heeft Microsoft extra beveiliging uitgebracht voor sommige x86-systemen. Zie KB4073757 en het Microsoft-beveiligingsadvies ADV180002 voor meer informatie.
Updates om te Windows 10 voor HoloLens zijn beschikbaar voor HoloLens-klanten via Windows Update.
Na het toepassen van de Windows-beveiliging Update van februari 2018 hoeven HoloLens-klanten geen extra actie te ondernemen om de firmware van hun apparaat bij te werken. Deze oplossingen worden ook opgenomen in alle toekomstige releases van Windows 10 voor HoloLens.
Nee. Alleen beveiligingsupdates zijn niet cumulatief. Afhankelijk van de versie van het besturingssysteem dat u gebruikt, moet u elke maandelijkse alleen beveiligingsupdate installeren om tegen deze beveiligingsproblemen te worden beschermd. Als u bijvoorbeeld Windows 7 voor 32-bits systemen op een getroffen Intel-CPU gebruikt, moet u alle alleen beveiligingsupdates installeren. We raden u aan deze alleen beveiligingsupdates te installeren in de volgorde van release.
Opmerking In een eerdere versie van deze veelgestelde vragen is ten onrechte aangegeven dat de update alleen beveiligingsupdate van februari de beveiligingspatches bevat die in januari zijn uitgebracht. In feite niet.
Nee. Beveiligingsupdate 4078130 was een specifieke oplossing om onvoorspelbaar systeemgedrag, prestatieproblemen en/of onverwacht opnieuw opstarten na installatie van microcode te voorkomen. Als u de beveiligingsupdates van februari toepast op Windows-clientbesturingssystemen, worden alle drie de risicobeperkingen ingeschakeld.
Intel heeft onlangs aangekondigd dat ze hun validaties hebben voltooid en begonnen met het vrijgeven van microcode voor nieuwere CPU-platforms. Microsoft stelt door Intel gevalideerde microcode-updates beschikbaar rond Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 bevat specifieke Knowledge Base-artikelen per Windows-versie. Elke specifieke KB bevat de beschikbare Intel microcode-updates per CPU.
Dit probleem is opgelost in KB4093118.
AMD heeft onlangs aangekondigd dat ze zijn begonnen met het uitbrengen van microcode voor nieuwere CPU-platforms rond Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Raadpleeg de AMD Security Updates and AMD Whitepaper: Architecture Guidelines around Indirect Branch Control voor meer informatie. Deze zijn beschikbaar via het OEM-firmwarekanaal.
We stellen door Intel gevalideerde microcode-updates beschikbaar rond Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection "). Klanten moeten Intel-microcode hebben geïnstalleerd op apparaten met een Windows 10-besturingssysteem voordat ze een upgrade uitvoeren naar de update van Windows 10 april 2018 (versie 1803) om de nieuwste Microcode-updates van Intel te downloaden via Windows Update.
De microcode-update is ook rechtstreeks vanuit de catalogus beschikbaar als deze niet op het apparaat is geïnstalleerd voordat een upgrade van het besturingssysteem heeft plaatsgevonden. Intel-microcode is beschikbaar via Windows Update, WSUS of de Microsoft Update-catalogus. Zie KB4100347 voor meer informatie en downloadinstructies.
Zie de volgende resources voor meer informatie:
Zie de secties 'Aanbevolen acties' en 'Veelgestelde vragen' in ADV180012 | Microsoft-richtlijnen voor speculatieve store-bypass.
Om de status van SSBD te controleren, is het Get-SpeculationControlSettings PowerShell-script bijgewerkt om de betrokken processors, de status van de updates van het SSBD-besturingssysteem en de status van de microcode van de processor, indien van toepassing, te detecteren. Zie KB4074629 voor meer informatie en om het PowerShell-script te verkrijgen.
Op 13 juni 2018 werd een extra beveiligingsprobleem met speculatieve uitvoering van kanalen aan de zijkant aangekondigd, bekend als Lazy FP State Restore, en cve-2018-3665 toegewezen. Er zijn geen configuratieinstellingen (register) nodig voor Lazy Restore FP Restore.
Raadpleeg beveiligingsadvies voor meer informatie over dit beveiligingsprobleem en voor aanbevolen acties ADV180016 | Microsoft Guidance for Lazy FP State Restore.
Opmerking: Er zijn geen configuratieinstellingen (register) nodig voor Lazy Restore FP Restore.
Bounds Check Bypass Store (BCBS) is bekendgemaakt op 10 juli 2018 en heeft CVE-2018-3693 toegewezen. We beschouwen BCBS als behoort tot dezelfde klasse beveiligingsproblemen als Bounds Check Bypass (variant 1). We zijn momenteel niet op de hoogte van exemplaren van BCBS in onze software, maar we blijven deze beveiligingsklasse onderzoeken en zullen samenwerken met partners in de branche om risicobeperkingen zo nodig vrij te geven. We blijven onderzoekers aanmoedigen om alle relevante bevindingen in te dienen bij het speculatieve kanaal voor uitvoering van Microsoft, inclusief alle exploiteerbare exemplaren van BCBS. Softwareontwikkelaars moeten de richtlijnen voor ontwikkelaars bekijken die zijn bijgewerkt voor BCBS op https://aka.ms/sescdevguide.
Op 14 augustus 2018 werd L1 Terminal Fault (L1TF) aangekondigd en meerdere CDE's toegewezen. Deze nieuwe speculatieve beveiligingsproblemen in het kanaal aan de uitvoeringszijde kunnen worden gebruikt om de inhoud van het geheugen over een vertrouwde grens te lezen en, indien misbruikt, kunnen leiden tot openbaarmaking van informatie. Een aanvaller kan de beveiligingsproblemen activeren via meerdere vectoren, afhankelijk van de geconfigureerde omgeving. L1TF is van invloed op Intel® Core-processors® en Intel® Xeon-processors®.
Zie de volgende bronnen voor meer informatie over dit beveiligingsprobleem en een gedetailleerde weergave van getroffen scenario's, waaronder de aanpak van Microsoft om L1TF te beperken:
Klanten die 64-bits ARM-processors gebruiken, moeten contact opnemen met de OEM van het apparaat voor firmwareondersteuning, omdat ARM64-besturingssysteembeveiligingen die CVE-2017-5715 beperken | Vertakkingsdoelinjectie (Spectre, Variant 2) vereist dat de meest recente firmware-update van OEM's van apparaten van kracht wordt.
Raadpleeg de volgende beveiligingsadviezen voor meer informatie
Raadpleeg de volgende beveiligingsadviezen voor meer informatie
Raadpleeg de richtlijnen in Windows-richtlijnen voor bescherming tegen speculatieve beveiligingsproblemen in het uitvoerkanaal
Raadpleeg ons blogbericht: Spectre variant 2 beperken met Retpoline op Windows voor meer informatie over het inschakelen van Retpoline.
We zijn ons niet bewust van een exemplaar van deze kwetsbaarheid voor het vrijgeven van informatie die van invloed is op onze cloudservice-infrastructuur.
Zodra we ons bewust werden van dit probleem, hebben we snel gewerkt om het op te lossen en een update uit te brengen. We geloven sterk in nauwe samenwerkingen met onderzoekers en branchepartners om klanten veiliger te maken en hebben pas op dinsdag 6 augustus details gepubliceerd, in overeenstemming met gecoördineerde procedures voor openbaarmaking van beveiligingsproblemen.
Meer richtlijnen vindt u in Windows-richtlijnen voor bescherming tegen speculatieve beveiligingsproblemen in het uitvoerkanaal.
Meer richtlijnen vindt u in Windows-richtlijnen voor bescherming tegen speculatieve beveiligingsproblemen in het uitvoerkanaal.
Meer informatie vindt u in Richtlijnen voor het uitschakelen van Intel® Transactional Synchronization Extensions (Intel® TSX).
Naslagwerken
We bieden contactgegevens van derden om u te helpen technische ondersteuning te vinden. Deze contactgegevens kunnen zonder voorafgaande kennisgeving worden gewijzigd. We kunnen de juistheid van deze contactgegevens van derden niet garanderen.