Zmień datę |
Zmień opis |
19 lipca 2023 r. |
|
8 sierpnia 2023 r. |
|
9 sierpnia 2023 r. |
|
9 kwietnia 2024 r. |
|
16 kwietnia 2024 r. |
|
Podsumowanie
Ten artykuł zawiera wskazówki dotyczące nowej klasy mikroarchitektury opartej na krzemie i spekulacyjnych luk w zabezpieczeniach w kanałach bocznych wykonywania, które wpływają na wiele nowoczesnych procesorów i systemów operacyjnych. Dotyczy to również procesorów Intel, AMD i ARM. Szczegółowe informacje na temat tych luk w zabezpieczeniach opartych na układach krzemowych można znaleźć w następujących telewizorach (porady dotyczące bezpieczeństwa) i cve (typowe luki w zabezpieczeniach i narażenia):
-
ADV180012 | Wskazówki firmy Microsoft dotyczące speculative Store Bypass
-
ADV180013 | Wskazówki Firmy Microsoft dotyczące odczytu rejestru nieuczciwych systemów
-
ADV180016 | Wskazówki Microsoft dotyczące leniwego przywracania stanu FP
-
ADV180018 | Wskazówki firmy Microsoft dotyczące ograniczania wariantu L1TF
-
ADV220002 | Wskazówki firmy Microsoft dotyczące luk w zabezpieczeniach danych MMIO procesora Intel
Ważne: Ten problem dotyczy również innych systemów operacyjnych, takich jak Android, Chrome, iOS i macOS. Dlatego zalecamy klientom uzyskanie wskazówek od tych dostawców.
Opublikowaliśmy kilka aktualizacji, które pomogą ograniczyć te luki w zabezpieczeniach. Podjęliśmy również działania w celu zabezpieczenia naszych usług w chmurze. Aby uzyskać więcej szczegółowych informacji, zobacz poniższe sekcje.
Nie otrzymaliśmy jeszcze żadnych informacji wskazujących, że te luki zostały wykorzystane do ataku na klientów. Ściśle współpracujemy z partnerami branżowymi, w tym producentami mikroukładów, producentami OEM sprzętu i dostawcami aplikacji w celu ochrony klientów. Aby uzyskać wszystkie dostępne zabezpieczenia, wymagane są aktualizacje oprogramowania układowego (mikrokodu) i oprogramowania. Obejmuje to mikrokod od producentów OEM urządzeń oraz, w niektórych przypadkach, aktualizacje oprogramowania antywirusowego.
Ten artykuł dotyczy następujących luk w zabezpieczeniach:
Windows Update będzie również udostępniać środki zaradcze programów Internet Explorer i Edge. Będziemy nadal ulepszać te środki łagodzące luki w zabezpieczeniach tej klasy.
Aby dowiedzieć się więcej o tej klasie luk w zabezpieczeniach, zobacz następujące artykuły:
Luki
W dniu 14 maja 2019 r. firma Intel opublikowała informacje o nowej podklasie luk specjalizacyjnych dotyczących wykonywania w kanałach bocznych znanych pod nazwą Próbkowanie danych mikroarchitektury. Te luki w zabezpieczeniach zostały rozwiązane w następujących cve:
-
CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | Pobieranie próbek buforu magazynu mikroarchitectural (MSBDS)
-
CVE-2018-12127 | Pobieranie próbek buforu wypełniania mikroarchikturalnego (MFBDS)
-
CVE-2018-12130 | Pobieranie próbek danych z mikroarchitektury portów obciążenia (MLPDS)
Ważne: Te problemy będą miały wpływ na inne systemy operacyjne, takie jak Android, Chrome, iOS i MacOS. Zalecamy uzyskanie wskazówek od tych dostawców.
Opublikowaliśmy aktualizacje, które pomogą ograniczyć te luki w zabezpieczeniach. Aby uzyskać wszystkie dostępne zabezpieczenia, wymagane są aktualizacje oprogramowania układowego (mikrokodu) i oprogramowania. Mogą to być mikrokod od OEM urządzeń. W niektórych przypadkach zainstalowanie tych aktualizacji będzie miało wpływ na wydajność. Podjęliśmy również działania w celu zabezpieczenia naszych usług w chmurze. Zdecydowanie zalecamy wdrożenie tych aktualizacji.
Aby uzyskać więcej informacji na temat tego problemu, zobacz poniższe porady dotyczące zabezpieczeń i użyj wytycznych opartych na scenariuszach w celu określenia działań niezbędnych do złagodzenia zagrożenia:
Uwaga: Zalecamy zainstalowanie wszystkich najnowszych aktualizacji z Windows Update przed zainstalowaniem jakichkolwiek aktualizacji mikrokodu.
6 sierpnia 2019 r. firma Intel opublikowała szczegółowe informacje o luce w ujawnianiu informacji o jądrze systemu Windows. Ta luka jest wariantem luki spectre variant 1 spekulacyjnej wykonywania w kanałach bocznych i została przypisana DO CVE-2019-1125.
W dniu 9 lipca 2019 r. opublikowano aktualizacje zabezpieczeń dla systemu operacyjnego Windows w celu złagodzenia tego problemu. Należy pamiętać, że wstrzymaliśmy publiczne dokumentowanie tego łagodzenia do czasu ujawnienia skoordynowanej branży we wtorek, 6 sierpnia 2019 r.
Klienci, którzy włączyli Windows Update i zastosowali aktualizacje zabezpieczeń wydane 9 lipca 2019 r., są chronieni automatycznie. Nie ma potrzeby dalszej konfiguracji.
Uwaga: Ta luka nie wymaga aktualizacji mikrokodu od producenta urządzenia (OEM).
Aby uzyskać więcej informacji o tej luki w zabezpieczeniach i odpowiednich aktualizacjach, zobacz Przewodnik aktualizacji zabezpieczeń firmy Microsoft:
W dniu 12 listopada 2019 r. firma Intel opublikowała poradę techniczną dotyczącą luk w zabezpieczeniach asynchronicznych (Transactional Synchronization Extensions) Intel TSX (Intel TSX) związanych z przerwaniem transakcji przypisaną do cve-2019-11135. Opublikowaliśmy aktualizacje, które pomogą zminimalizować tę lukę w zabezpieczeniach. Domyślnie zabezpieczenia systemu operacyjnego są włączone dla wersji klienckich systemu operacyjnego Windows.
W dniu 14 czerwca 2022 r. opublikowano ADV220002 | Wskazówki firmy Microsoft dotyczące luk w zabezpieczeniach danych MMIO procesora Intel. Luki w zabezpieczeniach są przypisane do następujących CVE:
-
CVE-2022-21125 | Pobieranie próbek danych buforu udostępnionego (SBDS)
-
CVE-2022-21127 | Specjalna aktualizacja próbkowania buforu rejestru (aktualizacja SRBDS)
Proponowane działania
W celu ochrony przed tymi lukami należy podjąć następujące działania:
-
Zastosuj wszystkie dostępne aktualizacje systemu operacyjnego Windows, w tym comiesięczne aktualizacje zabezpieczeń systemu Windows.
-
Zastosuj aktualizację oprogramowania układowego (mikrokodu) dostarczoną przez producenta urządzenia.
-
Oprócz informacji zawartych w tym artykule oceń zagrożenie dla środowiska na podstawie informacji zawartych w poradach firmy Microsoft dotyczących zabezpieczeń ADV180002, ADV180012, ADV190013 i ADV220002.
-
W razie potrzeby podejmij odpowiednie działania, korzystając z porad i informacji o kluczach rejestru zawartych w tym artykule.
Uwaga: Klienci urządzeń Surface otrzymają aktualizację mikrokodu za pośrednictwem usługi Windows Update. Aby uzyskać listę najnowszych dostępnych aktualizacji oprogramowania układowego urządzenia Surface (mikrokod), zobacz KB4073065.
W dniu 12 lipca 2022 r. opublikowaliśmy CVE-2022-23825 | Błąd typu gałęzi procesora AMD, który opisuje, że aliasy w predyktorze gałęzi mogą powodować, że niektóre procesory AMD przewidują nieprawidłowy typ gałęzi. Ten problem może potencjalnie prowadzić do ujawnienia informacji.
Aby chronić się przed tą luką w zabezpieczeniach, zalecamy zainstalowanie aktualizacji systemu Windows, które są datowane na lipiec 2022 r. lub później, a następnie podjęcie działań wymaganych przez CVE-2022-23825 i informacji o kluczach rejestru zawartych w tym artykule baza wiedzy.
Aby uzyskać więcej informacji, zobacz biuletyn zabezpieczeń AMD-SB-1037 .
W dniu 8 sierpnia 2023 r. opublikowaliśmy CVE-2023-20569 | AmD CPU Return Address Predictor (inception), który opisuje nowy spekulacyjny atak kanału bocznego, który może skutkować spekulacyjnym wykonaniem pod adresem kontrolowanym przez atakującego. Ten problem dotyczy niektórych procesorów AMD i może prowadzić do ujawnienia informacji.
Aby pomóc w ochronie przed tą luką w zabezpieczeniach, zalecamy zainstalowanie aktualizacji systemu Windows datowanych na sierpień 2023 r. lub później, a następnie podjęcie działań zgodnie z wymogami cve-2023-20569 i informacji klucza rejestru zawartych w tym artykule baza wiedzy.
Aby uzyskać więcej informacji, zobacz biuletyn zabezpieczeń AMD-SB-7005 .
W dniu 9 kwietnia 2024 r. opublikowaliśmy CVE-2022-0001 | Iniekcja historii rozgałęzień Firmy Intel , która opisuje iniekcję historii gałęzi (BHI), która jest określoną formą bti trybu wewnątrz trybu. Ta luka występuje, gdy osoba atakująca może manipulować historią gałęzi przed przejściem z użytkownika do trybu nadzoru (lub z VMX non-root/guest do trybu głównego). Ta manipulacja może spowodować, że pośredni predyktor gałęzi wybierze określony wpis predyktora dla gałęzi pośredniej, a gadżet ujawniania w przewidywanym celu będzie przejściowo wykonywany. Może to być możliwe, ponieważ odpowiednia historia gałęzi może zawierać gałęzie wykonane w poprzednich kontekstach zabezpieczeń, a w szczególności w innych trybach predyktora.
Ustawienia łagodzenia dla klientów systemu Windows
Porady dotyczące bezpieczeństwa (AAV) i CVE zawierają informacje o ryzyku stwarzanym przez te luki oraz o tym, jak pomagają zidentyfikować domyślny stan środków łagodzących dla systemów klienckich systemu Windows. W poniższej tabeli podsumowano wymaganie mikrokodu CPU i domyślny stan środków łagodzących w klientach systemu Windows.
— Cve |
Wymaga mikrokodu/oprogramowania układowego procesora? |
Stan domyślny łagodzenia |
---|---|---|
CVE-2017-5753 |
Nie |
Domyślnie włączone (brak opcji wyłączenia) Dodatkowe informacje można znaleźć w ADV180002 . |
CVE-2017-5715 |
Tak |
Domyślnie włączone. Użytkownicy systemów opartych na procesorach AMD powinni zapoznać się z często zadawanymi pytaniami #15, a użytkownicy procesorów ARM powinni zapoznać się z często zadawanymi pytaniami #20 na ADV180002 , aby uzyskać dodatkowe działania, a ten artykuł z bazy wiedzy, aby uzyskać odpowiednie ustawienia klucza rejestru. Uwaga Domyślnie funkcja Retpoline jest włączona dla urządzeń z systemem Windows 10, wersja 1809 lub nowsza, jeśli jest włączona opcja Spectre Variant 2 (CVE-2017-5715). Aby uzyskać więcej informacji, o Retpoline, postępuj zgodnie ze wskazówkami w artykule Mitigating Spectre variant 2 with Retpoline on Windows blog post. |
CVE-2017-5754 |
Nie |
Domyślnie włączone Dodatkowe informacje można znaleźć w ADV180002 . |
CVE-2018-3639 |
Intel: Tak AMD: Nie ARM: Tak |
Intel i AMD: Domyślnie wyłączone. Zobacz ADV180012 , aby uzyskać więcej informacji, a w tym artykule z bazy wiedzy poszukaj odpowiednich ustawień klucza rejestru. ARM: Domyślnie włączone bez opcji wyłączenia. |
CVE-2019-11091 |
Intel: Tak |
Domyślnie włączone. Zobacz ADV190013 , aby uzyskać więcej informacji, oraz ten artykuł, aby zapoznać się z odpowiednimi ustawieniami klucza rejestru. |
CVE-2018-12126 |
Intel: Tak |
Domyślnie włączone. Zobacz ADV190013 , aby uzyskać więcej informacji, oraz ten artykuł, aby zapoznać się z odpowiednimi ustawieniami klucza rejestru. |
CVE-2018-12127 |
Intel: Tak |
Domyślnie włączone. Zobacz ADV190013 , aby uzyskać więcej informacji, oraz ten artykuł, aby zapoznać się z odpowiednimi ustawieniami klucza rejestru. |
CVE-2018-12130 |
Intel: Tak |
Domyślnie włączone. Zobacz ADV190013 , aby uzyskać więcej informacji, oraz ten artykuł, aby zapoznać się z odpowiednimi ustawieniami klucza rejestru. |
CVE-2019-11135 |
Intel: Tak |
Domyślnie włączone. Aby uzyskać więcej informacji, zobacz CVE-2019-11135, a w tym artykule poszukaj odpowiednich ustawień klucza rejestru. |
CVE-2022-21123 (część ADV220002 MMIO) |
Intel: Tak |
Windows 10, wersja 1809 i nowsze: domyślnie włączone. Windows 10, wersja 1607 i wcześniejsze: Domyślnie wyłączone.Aby uzyskać więcej informacji, zobacz CVE-2022-21123 , a w tym artykule poszukaj odpowiednich ustawień klucza rejestru. |
CVE-2022-21125 (część ADV220002 MMIO) |
Intel: Tak |
Windows 10, wersja 1809 i nowsze: domyślnie włączone. Windows 10, wersja 1607 i wcześniejsze: Domyślnie wyłączone.Aby uzyskać więcej informacji, zobacz CVE-2022-21125 . |
CVE-2022-21127 (część ADV220002 MMIO) |
Intel: Tak |
Windows 10, wersja 1809 i nowsze: domyślnie włączone. Windows 10, wersja 1607 i wcześniejsze: Domyślnie wyłączone.Aby uzyskać więcej informacji, zobacz CVE-2022-21127 . |
CVE-2022-21166 (część ADV220002 MMIO) |
Intel: Tak |
Windows 10, wersja 1809 i nowsze: domyślnie włączone. Windows 10, wersja 1607 i wcześniejsze: Domyślnie wyłączone.Aby uzyskać więcej informacji, zobacz CVE-2022-21166 . |
CVE-2022-23825 (błąd typu gałęzi procesora AMD) |
AMD: Nie |
Aby uzyskać więcej informacji, zobacz CVE-2022-23825, a w tym artykule poszukaj odpowiednich ustawień klucza rejestru. |
CVE-2023-20569 (Predyktor adresu zwrotnego procesora AMD) |
AMD: Tak |
Aby uzyskać więcej informacji, zobacz CVE-2023-20569 , a w tym artykule poszukaj odpowiednich ustawień klucza rejestru. |
Intel: Nie |
Domyślnie wyłączone. Aby uzyskać więcej informacji, zobacz CVE-2022-0001 , a w tym artykule poszukaj odpowiednich ustawień klucza rejestru. |
Uwaga: Domyślnie włączenie wyłączonych środków łagodzących może wpłynąć na wydajność urządzenia. Rzeczywisty wpływ na wydajność zależy od wielu czynników, takich jak konkretny mikroukład urządzenia i uruchomione obciążenia.
Ustawienia rejestru
Udostępniamy następujące informacje rejestru, aby włączyć środki łagodzące, które nie są domyślnie włączone, jak opisano w poradach dotyczących zabezpieczeń (ADVs) i CVE. Ponadto udostępniamy ustawienia klucza rejestru dla użytkowników, którzy chcą wyłączyć środki łagodzące, jeśli mają zastosowanie w przypadku klientów systemu Windows.
Ważne: Ta sekcja, metoda lub zadanie zawiera kroki umożliwiające modyfikowanie rejestru. Niepoprawne zmodyfikowanie rejestru może jednak spowodować poważne problemy. Dlatego należy uważnie wykonywać poniższe czynności. Aby uzyskać dodatkową ochronę, utwórz kopię zapasową rejestru przed jego modyfikacją. Następnie możesz przywrócić rejestr, jeśli wystąpi problem. Aby uzyskać więcej informacji na temat tworzenia kopii zapasowej rejestru i przywracania go, zobacz następujący artykuł w bazie wiedzy Microsoft Knowledge Base:322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows
Ważne: Domyślnie Retpoline jest włączone na Windows 10, wersja 1809 urządzeniach, jeśli jest włączona opcja Spectre, wariant 2 (CVE-2017-5715). Włączenie Retpoline w najnowszej wersji Windows 10 może zwiększyć wydajność na urządzeniach z Windows 10, wersja 1809 spectre wariant 2, szczególnie na starszych procesorach.
Aby włączyć domyślne środki łagodzące dla CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone. Aby wyłączyć środki łagodzące dla CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone. |
Uwaga: Wartość 3 jest dokładna dla funkcji FeatureSettingsOverrideMask zarówno dla ustawień "włącz", jak i "wyłącz". (Zobacz sekcję "Często zadawane pytania", aby uzyskać więcej informacji na temat kluczy rejestru).
Aby wyłączyć środki łagodzące dla CVE-2017-5715 (Spectre Variant 2) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone. Aby włączyć domyślne środki łagodzące dla CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone. |
Domyślnie ochrona od użytkownika do jądra dla procesorów CVE-2017-5715 jest wyłączona dla procesorów AMD i ARM. Aby uzyskać dodatkową ochronę dla cve-2017-5715, należy włączyć ochronę. Aby uzyskać więcej informacji, zobacz Często zadawane pytania nr 15 w ADV180002 dla procesorów AMD i często zadawane pytania nr 20 w ADV180002 dla procesorów ARM.
Włącz ochronę jądra użytkownika na procesorach AMD i ARM wraz z innymi zabezpieczeniami cve 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone. |
Aby włączyć środki łagodzące dla CVE-2018-3639 (Speculative Store Bypass), domyślne środki łagodzące dla CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone. Uwaga: Procesory AMD nie są narażone na cve-2017-5754 (Meltdown). Ten klucz rejestru jest używany w systemach z procesorami AMD w celu włączenia domyślnych środków łagodzących dla procesorów AMD CVE-2017-5715 i łagodzenia skutków dla CVE-2018-3639. Aby wyłączyć środki łagodzące dla CVE-2018-3639 (Speculative Store Bypass) *i* środki łagodzące cve-2017-5715 (Spectre variant 2) i CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone. |
Domyślnie dla procesorów AMD jest wyłączona ochrona od użytkownika do jądra cve-2017-5715 . Klienci muszą włączyć środki łagodzące, aby uzyskać dodatkowe zabezpieczenia dla CVE-2017-5715. Aby uzyskać więcej informacji, zobacz Często zadawane pytania nr 15 w ADV180002.
Włącz ochronę jądra użytkownika na procesorach AMD wraz z innymi zabezpieczeniami cve 2017-5715 i zabezpieczeniami CVE-2018-3639 (Speculative Store Bypass): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone. |
Aby włączyć środki łagodzące dla rozszerzeń intel transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) i Microarchitectural Data Sampling (CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) wraz z wariantami Spectre (CVE-2017-5753 & CVE-2017-5715) i Meltdown (CVE-2017-5754), w tym Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) oraz L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646) bez wyłączania funkcji hyper-threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Jeśli funkcja Hyper-V jest zainstalowana, dodaj następujące ustawienie rejestru: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Jeśli jest to host Hyper-V i zastosowano aktualizacje oprogramowania układowego: Całkowicie zamknij wszystkie Virtual Machines. Dzięki temu środki łagodzące związane z oprogramowaniem układowym będą stosowane na hostze przed uruchomieniem maszyn wirtualnych. W związku z tym maszyny wirtualne są również aktualizowane po ich ponownym uruchomieniu. Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) z wyłączoną Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Jeśli funkcja Hyper-V jest zainstalowana, dodaj następujące ustawienie rejestru: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Jeśli jest to host Hyper-V i zastosowano aktualizacje oprogramowania układowego: Całkowicie zamknij wszystkie Virtual Machines. Dzięki temu środki łagodzące związane z oprogramowaniem układowym będą stosowane na hostze przed uruchomieniem maszyn wirtualnych. W związku z tym maszyny wirtualne są również aktualizowane po ich ponownym uruchomieniu. Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone. |
Aby włączyć łagodzenie dla CVE-2022-23825 na procesorach AMD :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Aby mieć pełną ochronę, klienci mogą również potrzebować wyłączyć Hyper-Threading (nazywane również funkcją jednoczesnego wielowątkowego (SMT)). Aby uzyskać wskazówki dotyczące ochrony urządzeń z systemem Windows, zobacz KB4073757.
Aby włączyć łagodzenie dla CVE-2023-20569 na procesorach AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Aby włączyć łagodzenie dla CVE-2022-0001 na procesorach Intel:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Włączanie wielu środków łagodzących
Aby włączyć wiele środków łagodzących, należy dodać razem wartość REG_DWORD poszczególnych środków łagodzących.
Przykład:
Łagodzenie luki w zabezpieczeniach przerwania asynchronicznego transakcji, próbkowania danych mikroarchitekturalnych, Spectre, Meltdown, MMIO, speculative Store Bypass Disable (SSBD) i błędu terminalu L1 (L1TF) z wyłączoną Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
UWAGA 8264 (w postaci dziesiętnej) = 0x2048 (w szesnastce) Aby włączyć BHI wraz z innymi istniejącymi ustawieniami, należy użyć operacji bitowej LUB bieżącej wartości z wartością 8 388 608 (0x800000). 0x800000 LUB 0x2048(8264 w postaci dziesiętnej) i stanie się ona 8 396 872 (0x802048). Tak samo z FeatureSettingsOverrideMask. |
|
Łagodzenie problemów z cve-2022-0001 na procesorach Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Połączone łagodzenie |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Łagodzenie luki w zabezpieczeniach przerwania asynchronicznego transakcji, próbkowania danych mikroarchitekturalnych, Spectre, Meltdown, MMIO, speculative Store Bypass Disable (SSBD) i błędu terminalu L1 (L1TF) z wyłączoną Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Łagodzenie problemów z cve-2022-0001 na procesorach Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Połączone łagodzenie |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Sprawdź, czy są włączone zabezpieczenia
Aby sprawdzić, czy zabezpieczenia są włączone, opublikowaliśmy skrypt programu PowerShell, który można uruchomić na swoich urządzeniach. Zainstaluj skrypt i uruchom go przy użyciu jednej z następujących metod.
Instalowanie modułu programu PowerShell: PS> Install-Module SpeculationControl Uruchom moduł programu PowerShell, aby sprawdzić, czy są włączone zabezpieczenia: PS> # Zapisz bieżące zasady wykonywania, aby można było je zresetować PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Resetowanie zasad wykonywania do stanu pierwotnego PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Zainstaluj moduł programu PowerShell z witryny Technet ScriptCenter: Przejdź do https://aka.ms/SpeculationControlPS Pobierz SpeculationControl.zip do folderu lokalnego. Wyodrębnij zawartość do folderu lokalnego, na przykład C:\ADV180002 Uruchom moduł programu PowerShell, aby sprawdzić, czy są włączone zabezpieczenia: Uruchom program PowerShell, a następnie (używając poprzedniego przykładu) skopiuj i uruchom następujące polecenia: PS> # Zapisz bieżące zasady wykonywania, aby można było je zresetować PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Resetowanie zasad wykonywania do stanu pierwotnego PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Aby uzyskać szczegółowe objaśnienie danych wyjściowych skryptu programu PowerShell, zobacz KB4074629.
Często zadawane pytania
Mikrokod jest dostarczany za pośrednictwem aktualizacji oprogramowania układowego. Należy skontaktować się z producentami procesorów (mikroukładów) i urządzeń w sprawie dostępności odpowiednich aktualizacji zabezpieczeń oprogramowania układowego dla ich konkretnych urządzeń, w tym wskazówek dotyczących poprawek mikrokodu Intels.
Rozwiązanie problemu luki sprzętowej w aktualizacji oprogramowania wiąże się z poważnymi wyzwaniami. Ponadto środki łagodzące dla starszych systemów operacyjnych wymagają dużych zmian w architekturze. Współpracujemy z producentami mikroukładów, których dotyczy problem, w celu określenia najlepszego sposobu na zapewnienie środków łagodzących, które mogą zostać dostarczone w przyszłych aktualizacjach.
Aktualizacje dla urządzeń Microsoft Surface będą dostarczane klientom za pośrednictwem Windows Update wraz z aktualizacjami systemu operacyjnego Windows. Aby uzyskać listę dostępnych aktualizacji oprogramowania układowego urządzenia Surface (mikrokod), zobacz KB4073065.
Jeśli masz urządzenie innej firmy, stosuj oprogramowanie układowe od producenta urządzenia. Aby uzyskać więcej informacji, skontaktuj się z producentem urządzenia OEM.
W lutym i marcu 2018 r. firma Microsoft wydała dodatkową ochronę dla niektórych systemów opartych na procesorach x86. Aby uzyskać więcej informacji, zobacz KB4073757 i ADV180002 microsoft security advisory.
Aktualizacje do Windows 10 hololens są dostępne dla klientów HoloLens za pośrednictwem Windows Update.
Po zastosowaniu aktualizacji Zabezpieczenia Windows z lutego 2018 r. klienci urządzeń HoloLens nie muszą podejmować żadnych dodatkowych działań w celu zaktualizowania oprogramowania układowego urządzenia. Te środki łagodzące zostaną również uwzględnione we wszystkich przyszłych wersjach Windows 10 dla urządzenia HoloLens.
Nie. Aktualizacje samych zabezpieczeń nie są skumulowane. W zależności od wersji systemu operacyjnego, z którą korzystasz, musisz instalować comiesięczne aktualizacje samych zabezpieczeń, aby chronić je przed tymi lukami. Jeśli na przykład używasz systemu Windows 7 dla systemów 32-bitowych na procesorze Intel, którego dotyczy problem, musisz zainstalować wszystkie aktualizacje samych zabezpieczeń. Zalecamy zainstalowanie tych aktualizacji samych zabezpieczeń w kolejności ich wydania.
Uwaga We wcześniejszej wersji tego często zadawanych pytań błędnie stwierdzono, że aktualizacja samych zabezpieczeń z lutego zawierała poprawki zabezpieczeń wydane w styczniu. W rzeczywistości tak nie jest.
Nie. Aktualizacja zabezpieczeń 4078130 była konkretną poprawką zapobiegającą nieprzewidywalnym zachowaniom systemu, problemom z wydajnością i/lub nieoczekiwanym ponownym uruchomieniom po zainstalowaniu mikrokodu. Zastosowanie lutowych aktualizacji zabezpieczeń w klienckich systemach operacyjnych Windows umożliwia wszystkie trzy środki łagodzące.
Intel ogłosił niedawno , że zakończył sprawdzanie poprawności i zaczął wydawać mikrokod dla nowszych platform PROCESORA. Firma Microsoft udostępnia zatwierdzone przez Intel aktualizacje mikrokodu wokół Spectre Variant 2 (CVE-2017-5715 "Iniekcja celu rozgałęzienia"). KB4093836 zawiera listę konkretnych artykułów z bazy wiedzy według wersji systemu Windows. Każda aktualizacja KB zawiera dostępne aktualizacje mikrokodu Intel według CPU.
Ten problem został rozwiązany w KB4093118.
AMD ogłosiło niedawno , że zaczęło wydawać mikrokod dla nowszych platform PROCESORA wokół Spectre Variant 2 (CVE-2017-5715 "Iniekcja celu rozgałęzienia"). Aby uzyskać więcej informacji, zobacz Aktualizacje zabezpieczeń AMD i dokument oficjalny amd: wskazówki dotyczące architektury dotyczące pośredniej kontroli gałęzi. Są one dostępne w kanale oprogramowania układowego OEM.
Udostępniamy zatwierdzone przez Intel aktualizacje mikrokodu wokół spectre variant 2 (CVE-2017-5715 "Iniekcja celu rozgałęzienia "). Aby uzyskać najnowsze aktualizacje mikrokodu Intel za pośrednictwem Windows Update, klienci muszą zainstalować mikrokod Intel na urządzeniach z systemem operacyjnym Windows 10 przed uaktualnianiem do aktualizacji Windows 10 kwietnia 2018 (wersja 1803).
Aktualizacja mikrokodu jest również dostępna bezpośrednio z wykazu usług, jeśli została zainstalowana na urządzeniu przed uaktualnieniem systemu operacyjnego. Mikrokod Intel jest dostępny za pośrednictwem Windows Update, WSUS lub wykazu usługi Microsoft Update. Aby uzyskać więcej informacji i instrukcje pobierania, zobacz KB4100347.
Aby uzyskać więcej informacji, zobacz następujące zasoby:
Aby uzyskać szczegółowe informacje, zobacz sekcje "Zalecane akcje" i "Często zadawane pytania" w ADV180012 | Wskazówki firmy Microsoft dotyczące speculative Store Bypass.
Aby sprawdzić stan SSBD, skrypt Get-SpeculationControlSettings PowerShell został zaktualizowany w celu wykrycia procesorów, których dotyczy problem, stanu aktualizacji systemu operacyjnego SSBD i stanu mikrokodu procesora, jeśli ma to zastosowanie. Aby uzyskać więcej informacji i uzyskać skrypt programu PowerShell, zobacz KB4074629.
13 czerwca 2018 r. ogłoszono i przypisano CVE-2018-3665 dodatkową lukę w zabezpieczeniach polegającą na spekulacyjnym wykonywaniu w kanałach bocznych, znaną jako Lazy FP State Restore. Żadne ustawienia konfiguracji (rejestru) nie są potrzebne do przywracania FP Lazy Restore.
Aby uzyskać więcej informacji na temat tej luki w zabezpieczeniach i zalecanych działań, zobacz ADV180016 porad dotyczących bezpieczeństwa | Wskazówki firmy Microsoft dotyczące leniwego przywracania stanu FP.
Uwaga: Żadne ustawienia konfiguracji (rejestru) nie są potrzebne do przywracania FP Lazy Restore.
Bounds Check Bypass Store (BCBS) została ujawniona 10 lipca 2018 i przypisana CVE-2018-3693. Uważamy, że usługi BCBS należą do tej samej klasy luk co obejście sprawdzania granic (wariant 1). Obecnie nie znamy żadnych wystąpień bcbs w naszym oprogramowaniu, ale nadal badamy tę klasę luk i będziemy współpracować z partnerami branżowymi w celu uwolnienia środków łagodzących w razie potrzeby. Nadal zachęcamy naukowców do zgłaszania wszelkich istotnych ustaleń do programu nagród Speculative Execution Side Channel firmy Microsoft, w tym wszelkich możliwych do wykorzystania przypadków BCBS. Deweloperzy oprogramowania powinni zapoznać się ze wskazówkami dla deweloperów, które zostały zaktualizowane dla usługi BCBS w witrynie https://aka.ms/sescdevguide.
14 sierpnia 2018 r. ogłoszono błąd terminalu L1 (L1TF) i przypisano wiele cve. Te nowe spekulacyjne luki w zabezpieczeniach kanału bocznego mogą być używane do odczytywania zawartości pamięci przez zaufaną granicę i, jeśli zostaną wykorzystane, mogą prowadzić do ujawniania informacji. Osoba atakująca może wyzwalać luki w zabezpieczeniach przez wiele wektorów, w zależności od skonfigurowanego środowiska. L1TF wpływa na procesory Intel® Core i Intel® Xeon®®.
Aby uzyskać więcej informacji na temat tej luki w zabezpieczeniach oraz szczegółowy wgląd w scenariusze, na które ma to wpływ, w tym podejście firmy Microsoft do łagodzenia L1TF, zobacz następujące zasoby:
Klienci korzystający z 64-bitowych procesorów ARM powinni skontaktować się z producentem OEM urządzenia w celu obsługi oprogramowania układowego, ponieważ zabezpieczenia systemu operacyjnego ARM64, które łagodzą CVE-2017-5715 | Iniekcja celu rozgałęzienia (Spectre, wariant 2) wymaga najnowszej aktualizacji oprogramowania układowego od producentów OEM urządzeń, aby zostały zastosowane.
Aby uzyskać więcej informacji, zobacz poniższe porady dotyczące zabezpieczeń
Aby uzyskać więcej informacji, zobacz poniższe porady dotyczące zabezpieczeń
Dalsze wskazówki można znaleźć w temacie Wskazówki dotyczące systemu Windows w celu ochrony przed lukami specjatywnymi wykonywania w kanałach bocznych
Zapoznaj się ze wskazówkami w temacie Wskazówki dotyczące systemu Windows w celu ochrony przed lukami specjatywnymi wykonywania w kanałach bocznych
Aby uzyskać wskazówki dotyczące platformy Azure, zapoznaj się z tym artykułem: Wskazówki dotyczące łagodzenia luk w zabezpieczeniach spekulacyjnych w kanałach bocznych na platformie Azure.
Aby uzyskać więcej informacji na temat włączania Retpoline, zobacz nasz wpis na blogu: Mitigating Spectre variant 2 with Retpoline on Windows.
Aby uzyskać szczegółowe informacje na temat tej luki, zobacz Przewodnik po zabezpieczeniach firmy Microsoft: CVE-2019-1125 | Luka w zabezpieczeniach funkcji ujawniania informacji o jądrze systemu Windows.
Nie wiemy o żadnym przypadku tych luk w zabezpieczeniach w zakresie ujawniania informacji wpływających na infrastrukturę usług w chmurze.
Gdy tylko dowiedzieliśmy się o tym problemie, szybko pracowaliśmy nad jego rozwiązaniem i wydaniem aktualizacji. Zdecydowanie wierzymy w ścisłą współpracę zarówno z naukowcami, jak i partnerami branżowymi, aby zapewnić większe bezpieczeństwo klientom, i opublikowaliśmy szczegóły dopiero we wtorek, 6 sierpnia, zgodnie ze skoordynowanymi praktykami ujawniania luk w zabezpieczeniach.
Dalsze wskazówki można znaleźć w temacie Wskazówki dotyczące systemu Windows w celu ochrony przed lukami specjatywnymi wykonywania w kanałach bocznych.
Dalsze wskazówki można znaleźć w temacie Wskazówki dotyczące systemu Windows w celu ochrony przed lukami specjatywnymi wykonywania w kanałach bocznych.
Dalsze wskazówki można znaleźć w temacie Wskazówki dotyczące wyłączania® funkcji Intel Transactional Synchronization Extensions (Intel® TSX).
Informacje pomocnicze
Udostępniamy informacje kontaktowe innych firm, aby pomóc w znalezieniu pomocy technicznej. Niniejsze informacje kontaktowe mogą ulec zmianie bez powiadomienia. Nie gwarantujemy dokładności tych informacji kontaktowych innych firm.