Applies ToAzure Stack HCI Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012

Alterar data

Decriptação da alteração

20 de abril de 2023

  • Foram adicionadas informações de registo MMIO

8 de agosto de 2023

  • Conteúdo removido sobre CVE-2022-23816, uma vez que o número CVE não é utilizado

  • Adição de "Confusão do Tipo de Ramo" na secção "Vulnerabilidades"

  • Foram adicionadas mais informações ao "CVE-2022-23825 | AmD CPU Branch Type Confusion (BTC)" secção de registo

9 de agosto de 2023

  • Foi atualizado o "CVE-2022-23825 | AmD CPU Branch Type Confusion (BTC)" secção de registo

  • "CVE-2023-20569 | Previsão de Endereços de Retorno da CPU do AMD" para a secção "Resumo"

  • Foi adicionado o "CVE-2023-20569 | Secção de registo do Preditor de Endereços de Retorno da CPU AMD

9 de abril de 2024

  • CVE-2022-0001 adicionado | Injeção do Histórico do Intel Branch

16 de abril de 2024

  • Foi adicionada a secção "Ativar várias mitigações"

Vulnerabilidades

Este artigo aborda as seguintes vulnerabilidades de execução especulativa:

Windows Update também fornecerá mitigações do Internet Explorer e do Edge. Continuaremos a melhorar estas mitigações contra esta classe de vulnerabilidades.

Para saber mais sobre esta classe de vulnerabilidades, consulte

Em 14 de maio de 2019, a Intel publicou informações sobre uma nova subclasse de vulnerabilidades do canal lateral de execução especulativa conhecida como Amostragem de Dados Microarchitectural e documentadas no ADV190013 | Amostragem de Dados Microarchitectural. Foram-lhes atribuídos os seguintes CVEs:

Importante: Estes problemas afetarão outros sistemas, como Android, Chrome, iOS e MacOS. Aconselhamos os clientes a procurar orientação desses fornecedores.

A Microsoft lançou atualizações para ajudar a mitigar estas vulnerabilidades. Para obter todas as proteções disponíveis, são necessárias atualizações de firmware (microcódigo) e software. Isto pode incluir microcódigo dos OEMs do dispositivo. Em alguns casos, a instalação destas atualizações terá um impacto no desempenho. Também agimos para proteger os nossos serviços cloud. Recomendamos vivamente a implementação destas atualizações.

Para obter mais informações sobre este problema, veja o seguinte Aviso de Segurança e utilize a documentação de orientação baseada em cenários para determinar as ações necessárias para mitigar a ameaça:

Nota: Recomendamos que instale todas as atualizações mais recentes do Windows Update antes de instalar quaisquer atualizações de microcódigo.

Em 6 de agosto de 2019, a Intel divulgou detalhes sobre uma vulnerabilidade de divulgação de informações de kernel do Windows. Esta vulnerabilidade é uma variante da vulnerabilidade do canal lateral de execução especulativa Spectre, Variante 1 e foi-lhe atribuída CVE-2019-1125.

A 9 de julho de 2019, lançámos atualizações de segurança para o sistema operativo Windows para ajudar a mitigar este problema. Tenha em atenção que retivemos publicamente esta mitigação até à divulgação coordenada do setor na terça-feira, 6 de agosto de 2019.

Os clientes que tenham Windows Update ativado e tenham aplicado as atualizações de segurança lançadas a 9 de julho de 2019 são protegidos automaticamente. Não é necessária mais nenhuma configuração.

Nota: Esta vulnerabilidade não requer uma atualização de microcódigo do fabricante do dispositivo (OEM).

Para obter mais informações sobre esta vulnerabilidade e atualizações aplicáveis, consulte o Guia de Atualização de Segurança da Microsoft:

Em 12 de novembro de 2019, a Intel publicou um aviso técnico sobre® a vulnerabilidade Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort, atribuída à CVE-2019-11135. A Microsoft lançou atualizações para ajudar a mitigar esta vulnerabilidade e as proteções do SO estão ativadas por predefinição para o Windows Server 2019, mas desativadas por predefinição para Windows Server 2016 e edições anteriores do SO do Windows Server.

A 14 de junho de 2022, publicámos ADV220002 | Documentação de Orientação da Microsoft sobre Vulnerabilidades de Dados Obsoletos do Processador Intel MMIO e atribuiu estes CVEs: 

Ações recomendadas

Deve efetuar as seguintes ações para ajudar a proteger contra as vulnerabilidades:

  1. Aplique todas as atualizações do sistema operativo Windows disponíveis, incluindo as atualizações de segurança mensais do Windows.

  2. Aplique a atualização de firmware (microcódigo) aplicável fornecida pelo fabricante do dispositivo.

  3. Avalie o risco para o seu ambiente com base nas informações fornecidas nos Avisos de Segurança da Microsoft: ADV180002, ADV180012, ADV190013 e ADV220002, além das informações fornecidas neste artigo de base de dados de conhecimento.

  4. Tome medidas conforme necessário ao utilizar os avisos e as informações da chave de registo fornecidas neste artigo de base de dados de conhecimento.

Nota: Os clientes do Surface receberão uma atualização de microcódigo através de Windows Update. Para obter uma lista das atualizações mais recentes de firmware de dispositivos Surface (microcódigo), consulte KB4073065.

A 12 de julho de 2022, publicámos CVE-2022-23825 | AmD CPU Branch Type Confusion que descreve que os aliases no preditor do ramo podem fazer com que determinados processadores AMD prevejam o tipo de ramo errado. Este problema pode potencialmente levar à divulgação de informações.

Para ajudar a proteger contra esta vulnerabilidade, recomendamos que instale as atualizações do Windows datadas de ou depois de julho de 2022 e, em seguida, tome medidas conforme exigido pelo CVE-2022-23825 e as informações da chave de registo fornecidas neste artigo de base de dados de conhecimento.

Para obter mais informações, consulte o boletim de segurança AMD-SB-1037 .

A 8 de agosto de 2023, publicámos CVE-2023-20569 | Return Address Predictor (também conhecido como Inception) que descreve um novo ataque de canal especulativo que pode resultar na execução especulativa num endereço controlado por atacantes. Este problema afeta determinados processadores AMD e pode potencialmente levar à divulgação de informações.

Para ajudar a proteger contra esta vulnerabilidade, recomendamos que instale as atualizações do Windows datadas de ou depois de agosto de 2023 e, em seguida, tome medidas conforme exigido pelo CVE-2023-20569 e as informações da chave de registo fornecidas neste artigo base de dados de conhecimento.

Para obter mais informações, consulte o boletim de segurança AMD-SB-7005 .

A 9 de abril de 2024, publicámos CVE-2022-0001 | Injeção de Histórico do Ramo Intel que descreve a Injeção de Histórico de Ramificações (BHI), que é uma forma específica de BTI intra-modo. Esta vulnerabilidade ocorre quando um atacante pode manipular o histórico do ramo antes de transitar do modo de utilizador para o modo de supervisor (ou de VMX não raiz/convidado para o modo de raiz). Esta manipulação pode fazer com que um preditor de ramo indireto selecione uma entrada preditiva específica para um ramo indireto e uma miniaplicação de divulgação no destino previsto será executada de forma transitória. Isto pode ser possível porque o histórico de ramificações relevante pode conter ramos em contextos de segurança anteriores e, em particular, outros modos de predição.

Definições de mitigação para o Windows Server e o Azure Stack HCI

Os avisos de segurança (ADVs) e os CVEs fornecem informações sobre o risco que estas vulnerabilidades representam. Também ajudam a identificar as vulnerabilidades e a identificar o estado predefinido das mitigações para sistemas Windows Server. A tabela abaixo resume o requisito do microcódigo da CPU e o estado predefinido das mitigações no Windows Server.

CVE

Necessita de microcódigo/firmware da CPU?

Estado predefinido da Mitigação

CVE-2017-5753

Não

Ativado por predefinição (sem opção para desativar)

Veja ADV180002 para obter informações adicionais

CVE-2017-5715

Sim

Desativado por predefinição.

Veja ADV180002 para obter informações adicionais e este artigo da BDC para obter as definições de chave de registo aplicáveis.

Nota "Retpoline" está ativado por predefinição para dispositivos com Windows 10, versão 1809 e posterior se o Spectre Variant 2 (CVE-2017-5715) estiver ativado. Para obter mais informações sobre "Retpoline", siga Mitigating Spectre variant 2 with Retpoline on Windows blog post (Mitigar a Variante 2 do Spectre com Retpoline) na mensagem de blogue do Windows.

CVE-2017-5754

Não

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: ativados por predefinição. Windows Server 2016 e anterior: desativado por predefinição.

Veja ADV180002 para obter informações adicionais.

CVE-2018-3639

Intel: Sim

AMD: Não

Desativado por predefinição. Veja ADV180012 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis.

CVE-2018-11091

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: ativados por predefinição. Windows Server 2016 e anterior: desativado por predefinição.

Veja ADV190013 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis.

CVE-2018-12126

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: ativados por predefinição. Windows Server 2016 e anterior: desativado por predefinição.

Veja ADV190013 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis.

CVE-2018-12127

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: ativados por predefinição. Windows Server 2016 e anterior: desativado por predefinição.

Veja ADV190013 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis.

CVE-2018-12130

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: ativados por predefinição. Windows Server 2016 e anterior: desativado por predefinição.

Veja ADV190013 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis.

CVE-2019-11135

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: ativados por predefinição. Windows Server 2016 e anterior: desativado por predefinição.

Consulte CVE-2019-11135 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis.

CVE-2022-21123 (parte do MMIO ADV220002)

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: ativados por predefinição.  Windows Server 2016 e anterior: desativado por predefinição.* 

Consulte CVE-2022-21123 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis.

CVE-2022-21125 (parte do MMIO ADV220002)

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: ativados por predefinição.  Windows Server 2016 e anterior: desativado por predefinição.* 

Consulte CVE-2022-21125 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis.

CVE-2022-21127 (parte do MMIO ADV220002)

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: ativados por predefinição.  Windows Server 2016 e anterior: desativado por predefinição.* 

Consulte CVE-2022-21127 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis.

CVE-2022-21166 (parte do MMIO ADV220002)

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: ativados por predefinição.  Windows Server 2016 e anterior: desativado por predefinição.* 

Consulte CVE-2022-21166 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis.

CVE-2022-23825 (AmD CPU Branch Type Confusion)

AMD: Não

Consulte CVE-2022-23825 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis.

CVE-2023-20569 (Previsão de Endereços de Retorno da CPU amd)

AMD: Sim

Consulte CVE-2023-20569 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis.

CVE-2022-0001

Intel: Não

Desativado por predefinição

Consulte CVE-2022-0001 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis.

* Siga as orientações de mitigação para o Meltdown abaixo.

Se quiser obter todas as proteções disponíveis contra estas vulnerabilidades, tem de fazer alterações à chave do registo para ativar estas mitigações que estão desativadas por predefinição.

Ativar estas mitigações pode afetar o desempenho. A escala dos efeitos de desempenho depende de vários fatores, como o chipset específico no anfitrião físico e as cargas de trabalho em execução. Recomendamos que avalie os efeitos de desempenho do seu ambiente e faça os ajustes necessários.

O servidor está em risco acrescido se estiver numa das seguintes categorias:

  • Anfitriões Hyper-V: requer proteção para ataques VM a VM e VM para anfitrião.

  • Anfitriões de Serviços de Ambiente de Trabalho Remoto (RDSH): requer proteção de uma sessão para outra sessão ou de ataques de sessão para anfitrião.

  • Anfitriões físicos ou máquinas virtuais que executam código não fidedigno, como contentores ou extensões não fidedignas para a base de dados, conteúdo Web não fidedigno ou cargas de trabalho que executam código proveniente de origens externas. Estes requerem proteção contra ataques não fidedignos de processo para outro processo ou de processos não fidedignos para kernel.

Utilize as seguintes definições de chave de registo para ativar as mitigações no servidor e reinicie o dispositivo para que as alterações entrem em vigor.

Nota: Por predefinição, ativar mitigações desativadas pode afetar o desempenho. O efeito de desempenho real depende de vários fatores, como o chipset específico no dispositivo e as cargas de trabalho em execução.

Definições do registo

Estamos a fornecer as seguintes informações de registo para ativar mitigações que não estão ativadas por predefinição, conforme documentado em Avisos de Segurança (ADVs) e CVEs. Além disso, fornecemos definições de chave de registo para os utilizadores que pretendem desativar as mitigações quando aplicável aos clientes Windows.

IMPORTANTE Esta secção, método ou tarefa contém passos que lhe indicam como alterar o registo. No entanto, poderão ocorrer problemas graves se alterar o registo incorretamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para proteção adicional, faça uma cópia de segurança do registo antes de o alterar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como fazer uma cópia de segurança e restaurar o registo, consulte o seguinte artigo na Base de Dados de Conhecimento Microsoft:

KB322756 Como fazer uma cópia de segurança e restaurar o registo no Windows

IMPORTANTEPor predefinição, a Retpoline está configurada da seguinte forma se o Spectre, mitigação da Variante 2 (CVE-2017-5715) estiver ativada:

- A mitigação retpoline está ativada nas versões Windows 10, versão 1809 e posteriores do Windows.

- A mitigação retpoline está desativada no Windows Server 2019 e versões posteriores do Windows Server.

Para obter mais informações sobre a configuração da Retpoline, veja Mitigating Spectre variant 2 with Retpoline on Windows (Mitigar a Variante 2 do Spectre com Retpoline no Windows).

  • Para ativar mitigações para CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) e CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Se a funcionalidade Hyper-V estiver instalada, adicione a seguinte definição de registo:

    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    Se for um anfitrião Hyper-V e as atualizações de firmware tiverem sido aplicadas: Encerre totalmente todos os Máquinas Virtuais. Isto permite que a mitigação relacionada com firmware seja aplicada no anfitrião antes de as VMs serem iniciadas. Por conseguinte, as VMs também são atualizadas quando são reiniciadas.

    Reinicie o dispositivo para que as alterações entrem em vigor.

  • Para desativar mitigações para CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) e CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Reinicie o dispositivo para que as alterações entrem em vigor.

Nota: Definir FeatureSettingsOverrideMask como 3 é preciso para as definições "ativar" e "desativar". (Consulte a secção "FAQ " para obter mais detalhes sobre chaves de registo.)

Para desativar a Variante 2: (CVE-2017-5715 | Mitigação da Injeção de Destino do Ramo):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o dispositivo para que as alterações entrem em vigor.

Para ativar a Variante 2: (CVE-2017-5715 | Mitigação da Injeção de Destino do Ramo):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o dispositivo para que as alterações entrem em vigor.

Por predefinição, a proteção de utilizador para kernel para CVE-2017-5715 está desativada para CPUs AMD. Os clientes têm de ativar a mitigação para receber proteções adicionais para CVE-2017-5715.  Para obter mais informações, consulte FAQ n.º 15 no ADV180002.

Ative a proteção de utilizador para kernel em processadores AMD juntamente com outras proteções para CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se a funcionalidade Hyper-V estiver instalada, adicione a seguinte definição de registo:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se for um anfitrião Hyper-V e as atualizações de firmware tiverem sido aplicadas: Encerre totalmente todos os Máquinas Virtuais. Isto permite que a mitigação relacionada com firmware seja aplicada no anfitrião antes de as VMs serem iniciadas. Por conseguinte, as VMs também são atualizadas quando são reiniciadas.

Reinicie o dispositivo para que as alterações entrem em vigor.

Para ativar mitigações para CVE-2018-3639 (Bypass da Loja Especulativa), CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se a funcionalidade Hyper-V estiver instalada, adicione a seguinte definição de registo:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se for um anfitrião Hyper-V e as atualizações de firmware tiverem sido aplicadas: Encerre totalmente todos os Máquinas Virtuais. Isto permite que a mitigação relacionada com firmware seja aplicada no anfitrião antes de as VMs serem iniciadas. Por conseguinte, as VMs também são atualizadas quando são reiniciadas.

Reinicie o dispositivo para que as alterações entrem em vigor.

Para desativar mitigações para CVE-2018-3639 (Bypass do Arquivo Especulativo) E mitigações para CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o dispositivo para que as alterações entrem em vigor.

Por predefinição, a proteção de utilizador para kernel para CVE-2017-5715 está desativada para processadores AMD. Os clientes têm de ativar a mitigação para receber proteções adicionais para CVE-2017-5715.  Para obter mais informações, consulte FAQ n.º 15 no ADV180002.

Ative a proteção utilizador a kernel em processadores AMD juntamente com outras proteções para CVE 2017-5715 e proteções para CVE-2018-3639 (Bypass da Loja Especulativa):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se a funcionalidade Hyper-V estiver instalada, adicione a seguinte definição de registo:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se for um anfitrião Hyper-V e as atualizações de firmware tiverem sido aplicadas: Encerre totalmente todos os Máquinas Virtuais. Isto permite que a mitigação relacionada com firmware seja aplicada no anfitrião antes de as VMs serem iniciadas. Por conseguinte, as VMs também são atualizadas quando são reiniciadas.

Reinicie o dispositivo para que as alterações entrem em vigor.

Para ativar mitigações para Extensões de Sincronização Transacional Intel (Intel TSX) Transação Assíncrona Abortar vulnerabilidade (CVE-2019-11135) e Amostragem de Dados Microarchitecturais ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) juntamente com Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] variantes, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 e CVE-2022-21166) incluindo Disable de Bypass (SSBD) [CVE-2018-3639 ] bem como L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646] sem desativar o Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se a funcionalidade Hyper-V estiver instalada, adicione a seguinte definição de registo:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se for um anfitrião Hyper-V e as atualizações de firmware tiverem sido aplicadas: Encerre totalmente todos os Máquinas Virtuais. Isto permite que a mitigação relacionada com firmware seja aplicada no anfitrião antes de as VMs serem iniciadas. Por conseguinte, as VMs também são atualizadas quando são reiniciadas.

Reinicie o dispositivo para que as alterações entrem em vigor.

Para ativar mitigações para as Extensões de Sincronização Transacional Intel (Intel TSX) Transação Assíncrona Abortar vulnerabilidade (CVE-2019-11135) e Amostragem de Dados Microarchitecturais ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) juntamente com Spectre [CVE-2017-5753 & CVE-2017-5715] e Meltdown [CVE-2017-5754] incluindo Disable de Desativação do Bypass da Loja Especulativa (SSBD) [CVE-2018-3639] bem como L1 Falha de Terminal (L1TF) [CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646] com Hyper-Threading desativado:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se a funcionalidade Hyper-V estiver instalada, adicione a seguinte definição de registo:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se for um anfitrião Hyper-V e as atualizações de firmware tiverem sido aplicadas: Encerre totalmente todos os Máquinas Virtuais. Isto permite que a mitigação relacionada com firmware seja aplicada no anfitrião antes de as VMs serem iniciadas. Por conseguinte, as VMs também são atualizadas quando são reiniciadas.

Reinicie o dispositivo para que as alterações entrem em vigor.

Para desativar as mitigações da vulnerabilidade de Abortar (CVE-2019-11135) e Amostragem de Dados Microarchitecturais ( CVE-2018-11091) e Microarchitectural ( CVE-2018-11091) CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) juntamente com Spectre [CVE-2017-5753 & CVE-2017-5715] e Meltdown [CVE-2017-5754] incluindo Disable de Desativação do Bypass da Loja Especulativa (SSBD) [CVE-2018-3639] bem como L1 Falha de Terminal (L1TF) [CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o dispositivo para que as alterações entrem em vigor.

Para ativar a mitigação para CVE-2022-23825 em processadores AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Para estarem totalmente protegidos, os clientes também poderão ter de desativar Hyper-Threading (também conhecido como Multi Threading Simultâneo (SMT)). Consulte KB4073757 para obter orientações sobre como proteger dispositivos Windows.

Para ativar a mitigação para CVE-2023-20569 em processadores AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Para ativar a mitigação para CVE-2022-0001 em processadores Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Ativar várias mitigações

Para ativar várias mitigações, tem de adicionar o valor REG_DWORD de cada mitigação em conjunto.

Por exemplo:

Mitigação da vulnerabilidade Abortar Assíncrona de Transação, Amostragem de Dados Microarchitecturais, Spectre, Meltdown, MMIO, Disable de Bypass (SSBD) e L1 Terminal Fault (L1TF) com Hyper-Threading desativado

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

NOTA 8264 (em Decimal) = 0x2048 (em Hex)

Para ativar o BHI juntamente com outras definições existentes, terá de utilizar bit a bit OU do valor atual com 8.388.608 (0x800000). 

0x800000 OU 0x2048(8264 em decimal) e passará a ser 8.396.872(0x802048). O mesmo acontece com FeatureSettingsOverrideMask.

Mitigação para CVE-2022-0001 em processadores Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Mitigação combinada

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Mitigação da vulnerabilidade Abortar Assíncrona de Transação, Amostragem de Dados Microarchitecturais, Spectre, Meltdown, MMIO, Disable de Bypass (SSBD) e L1 Terminal Fault (L1TF) com Hyper-Threading desativado

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

Mitigação para CVE-2022-0001 em processadores Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Mitigação combinada

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Verificar se as proteções estão ativadas

Para ajudar a verificar se as proteções estão ativadas, publicámos um script do PowerShell que pode executar nos seus dispositivos. Instale e execute o script com um dos seguintes métodos.

Instale o Módulo do PowerShell:

PS> Install-Module SpeculationControl

Execute o módulo do PowerShell para verificar se as proteções estão ativadas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Instale o módulo do PowerShell a partir do Technet ScriptCenter:

  1. Aceda a https://aka.ms/SpeculationControlPS .

  2. Transfira SpeculationControl.zip para uma pasta local.

  3. Extraia os conteúdos para uma pasta local. Por exemplo: C:\ADV180002

Execute o módulo do PowerShell para verificar se as proteções estão ativadas:

Inicie o PowerShell e, em seguida, utilize o exemplo anterior para copiar e executar os seguintes comandos:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Para obter uma explicação detalhada da saída do script do PowerShell, veja KB4074629

Perguntas mais frequentes

Para ajudar a evitar afetar negativamente os dispositivos dos clientes, as atualizações de segurança do Windows lançadas em janeiro e fevereiro de 2018 não foram oferecidas a todos os clientes. Para obter detalhes, consulte KB407269 .

O microcódigo é fornecido através de uma atualização de firmware. Consulte o seu OEM sobre a versão de firmware que tem a atualização adequada para o seu computador.

Existem várias variáveis que afetam o desempenho, desde a versão do sistema até às cargas de trabalho em execução. Para alguns sistemas, o efeito de desempenho será insignificante. Para outros, será considerável.

Recomendamos que avalie os efeitos de desempenho nos seus sistemas e faça ajustes conforme necessário.

Para além da documentação de orientação neste artigo sobre máquinas virtuais, deve contactar o fornecedor de serviços para se certificar de que os anfitriões que executam as máquinas virtuais estão devidamente protegidos.Para máquinas virtuais do Windows Server em execução no Azure, veja Orientações para mitigar vulnerabilidades do canal lateral de execução especulativa no Azure . Para obter orientações sobre como utilizar a Gestão de Atualizações do Azure para mitigar este problema em VMs convidadas, veja KB4077467.

As atualizações lançadas para imagens de contentor do Windows Server para Windows Server 2016 e o Windows 10, versão 1709, incluem as mitigações para este conjunto de vulnerabilidades. Não é necessária qualquer configuração adicional.Nota Ainda tem de se certificar de que o anfitrião no qual estes contentores estão a ser executados está configurado para ativar as mitigações adequadas.

Não, a ordem de instalação não importa.

Sim, tem de reiniciar após a atualização do firmware (microcódigo) e, em seguida, novamente após a atualização do sistema.

Eis os detalhes das chaves de registo:

FeatureSettingsOverride representa um mapa de bits que substitui a predefinição e controla as mitigações que serão desativadas. O Bit 0 controla a mitigação que corresponde a CVE-2017-5715. O Bit 1 controla a mitigação que corresponde ao CVE-2017-5754. Os bits estão definidos como 0 para ativar a mitigação e para 1 para desativar a mitigação.

FeatureSettingsOverrideMask representa uma máscara de mapa de bits que é utilizada em conjunto com FeatureSettingsOverride.  Nesta situação, utilizamos o valor 3 (representado como 11 no sistema numeral binário ou numeral de base 2) para indicar os dois primeiros bits que correspondem às mitigações disponíveis. Esta chave de registo está definida como 3 para ativar ou desativar as mitigações.

MinVmVersionForCpuBasedMitigations destina-se a anfitriões Hyper-V. Esta chave de registo define a versão mínima da VM necessária para utilizar as capacidades de firmware atualizadas (CVE-2017-5715). Defina esta opção como 1.0 para abranger todas as versões da VM. Repare que este valor de registo será ignorado (benigno) em anfitriões não Hyper-V. Para obter mais detalhes, consulte Proteger máquinas virtuais convidadas do CVE-2017-5715 (injeção de destino do ramo).

Sim, não existem efeitos secundários se estas definições de registo forem aplicadas antes de instalar as correções relacionadas com janeiro de 2018.

Veja uma descrição detalhada da saída do script em KB4074629: Understanding SpeculationControl PowerShell script output .

Sim, para Windows Server 2016 anfitriões Hyper-V que ainda não têm a atualização de firmware disponível, publicámos orientações alternativas que podem ajudar a mitigar a VM na VM ou na VM para alojar ataques. Veja Proteções alternativas para Windows Server 2016 Anfitriões Hyper-V contra as vulnerabilidades especulativas do canal lateral de execução.

As atualizações apenas de segurança não são cumulativas. Consoante a versão do sistema operativo, poderá ter de instalar várias atualizações de segurança para proteção total. Em geral, os clientes terão de instalar as atualizações de janeiro, fevereiro, março e abril de 2018. Os sistemas com processadores AMD precisam de uma atualização adicional, conforme mostrado na tabela seguinte:

Versão do Sistema Operativo

Atualização de Segurança

Windows 8.1, Windows Server 2012 R2

KB4338815 - Rollup Mensal

KB4338824 - Apenas segurança

Windows 7 SP1, Windows Server 2008 R2 SP1 ou Windows Server 2008 R2 SP1 (instalação Server Core)

KB4284826 - Rollup Mensal

KB4284867 - Apenas Segurança

Windows Server 2008 SP2

KB4340583 – Atualização de Segurança

Recomendamos que instale as Atualizações apenas de segurança na ordem de lançamento.

Nota: Uma versão anterior desta FAQ declarou incorretamente que a atualização apenas de Segurança de Fevereiro incluía as correções de segurança que foram lançadas em janeiro. Na verdade, não.

Não. A atualização de segurança KB4078130 foi uma correção específica para evitar comportamentos imprevisíveis do sistema, problemas de desempenho e reinícios inesperados após a instalação do microcódigo. A aplicação das atualizações de segurança nos sistemas operativos cliente Windows permite as três mitigações. Nos sistemas operativos Windows Server, continua a ter de ativar as mitigações depois de efetuar os testes adequados. Para obter mais informações, veja KB4072698.

Este problema foi resolvido no KB4093118.

Em fevereiro de 2018, a Intel anunciou que tinha concluído as suas validações e começou a lançar o microcódigo para plataformas de CPU mais recentes. A Microsoft está a disponibilizar atualizações de microcódigo validadas pela Intel que dizem respeito ao Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Injeção de Destino de Ramo). KB4093836 lista artigos de base de dados de conhecimento específicos por versão do Windows. Cada artigo específico da BDC contém as atualizações de microcódigo Intel disponíveis pela CPU.

Em 11 de janeiro de 2018 , a Intel reportou problemas no microcódigo recentemente lançado que se destinava a abordar a variante Spectre 2 (CVE-2017-5715 | Injeção de Destino de Ramo). Especificamente, a Intel observou que este microcódigo pode causar "reinícios superiores ao esperado e outro comportamento imprevisível do sistema" e que estes cenários podem causar "perda de dados ou danos." A nossa experiência é que a instabilidade do sistema pode causar perda de dados ou danos em algumas circunstâncias. A 22 de janeiro, a Intel recomendou que os clientes deixassem de implementar a versão atual do microcódigo nos processadores afetados, enquanto a Intel realiza testes adicionais na solução atualizada. Compreendemos que a Intel continua a investigar o efeito potencial da versão atual do microcódigo. Incentivamos os clientes a reverem as suas orientações de forma contínua para informarem as suas decisões.

Enquanto a Intel testa, atualiza e implementa um novo microcódigo, estamos a disponibilizar uma atualização fora de banda (OOB) KB4078130, que desativa especificamente apenas a mitigação contra CVE-2017-5715. Nos nossos testes, esta atualização foi encontrada para impedir o comportamento descrito. Para obter a lista completa de dispositivos, veja a documentação de orientação de revisão de microcódigo da Intel. Esta atualização abrange o Windows 7 Service Pack 1 (SP1), Windows 8.1 e todas as versões do Windows 10, tanto do cliente como do servidor. Se estiver a executar um dispositivo afetado, esta atualização pode ser aplicada ao transferi-la a partir do site do Catálogo Microsoft Update. A aplicação deste payload desativa especificamente apenas a mitigação em relação ao CVE-2017-5715.

A partir deste momento, não existem relatórios conhecidos que indiquem que este Spectre Variant 2 (CVE-2017-5715 | A Injeção de Destino de Ramo) tem sido utilizada para atacar clientes. Recomendamos que, quando apropriado, os utilizadores do Windows reativem a mitigação contra o CVE-2017-5715 quando a Intel indicar que este comportamento imprevisível do sistema foi resolvido para o seu dispositivo.

Em fevereiro de 2018, a Intelanunciou que concluiu as validações e começou a lançar o microcódigo para plataformas de CPU mais recentes. A Microsoft está a disponibilizar atualizações de microcódigo validadas pela Intel relacionadas com o Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Injeção de Destino de Ramo). KB4093836 lista artigos de base de dados de conhecimento específicos por versão do Windows. A lista de KBs disponibiliza atualizações de microcódigo Intel por CPU.

Para obter mais informações, veja AmD Security Atualizações and AMD Whitepaper: Architecture Guidelines around Indirect Branch Control (Documento Técnico de Segurança AMD: Diretrizes de Arquitetura em torno do Controlo de Ramo Indireto). Estes estão disponíveis no canal de firmware do OEM.

Estamos a disponibilizar atualizações de microcódigo validadas pela Intel que dizem respeito ao Spectre Variant 2 (CVE-2017-5715 | Injeção de Destino de Ramo). Para obter as atualizações mais recentes do microcódigo Intel através de Windows Update, os clientes têm de ter instalado o microcódigo Intel em dispositivos com um sistema operativo Windows 10 antes de atualizar para a Atualização de Abril de 2018 do Windows 10 (versão 1803).

A atualização de microcódigo também está disponível diretamente a partir do Catálogo Microsoft Update se não tiver sido instalada no dispositivo antes de atualizar o sistema. O microcódigo Intel está disponível através de Windows Update, Windows Server Update Services (WSUS) ou do Catálogo Microsoft Update. Para obter mais informações e instruções de transferência, consulte KB4100347.

Para verificar o estado do SSBD, o script do PowerShell Get-SpeculationControlSettings foi atualizado para detetar processadores afetados, o estado das atualizações do sistema operativo SSBD e o estado do microcódigo do processador, se aplicável. Para obter mais informações e obter o script do PowerShell, veja KB4074629.

Em 13 de junho de 2018, foi anunciada e atribuída a CVE-2018-3665 uma vulnerabilidade adicional que envolve a execução especulativa de canal lateral, conhecida como Lazy FP State Restore. Para obter informações sobre esta vulnerabilidade e as ações recomendadas, veja o ADV180016 de Aconselhamento de Segurança | Documentação de Orientação da Microsoft para o Restauro do Estado FP Em Diferido .

Nota Não existem definições de configuração (registo) necessárias para o Restauro Em Diferido do Restauro FP.

Bounds Check Bypass Store (BCBS) foi divulgado em 10 de julho de 2018 e atribuído CVE-2018-3693. Consideramos que o BCBS pertence à mesma classe de vulnerabilidades que o Bounds Check Bypass (Variante 1). Atualmente, não temos conhecimento de nenhuma instância do BCBS no nosso software. No entanto, continuamos a investigar esta classe de vulnerabilidades e trabalharemos com parceiros do setor para lançar mitigações conforme necessário. Incentivamos os investigadores a submeter quaisquer conclusões relevantes ao programa de recompensas do Canal de Execução Especulativa da Microsoft, incluindo quaisquer instâncias exploráveis do BCBS. Os programadores de software devem rever a documentação de orientação para programadores que foi atualizada para BCBS em C++ Developer Guidance for Speculative Execution Side Channels (Orientação para Programadores C++ para Canais do Lado da Execução Especulativa

Em 14 de agosto de 2018, a L1 Terminal Fault (L1TF) foi anunciada e atribuída a vários CVEs. Estas novas vulnerabilidades do canal lateral de execução especulativa podem ser utilizadas para ler o conteúdo da memória através de um limite fidedigno e, se forem exploradas, podem levar à divulgação de informações. Existem vários vetores através dos quais um atacante pode acionar as vulnerabilidades, dependendo do ambiente configurado. L1TF afeta processadores Intel® Core® e processadores Intel® Xeon®.

Para obter mais informações sobre esta vulnerabilidade e uma vista detalhada dos cenários afetados, incluindo a abordagem da Microsoft para mitigar o L1TF, veja os seguintes recursos:

Os passos para desativar Hyper-Threading diferem do OEM para o OEM, mas geralmente fazem parte do BIOS ou das ferramentas de configuração e configuração de firmware.

Os clientes que utilizam processadores ARM de 64 bits devem contactar o OEM do dispositivo para obter suporte de firmware porque as proteções do sistema operativo ARM64 que mitigam o CVE-2017-5715 | A injeção de destino do ramo (Spectre, Variante 2) requer a atualização de firmware mais recente dos OEMs do dispositivo para entrar em vigor.

Para obter mais informações sobre a ativação retpoline, veja a nossa publicação de blogue: Mitigating Spectre variant 2 with Retpoline on Windows (Mitigar a Variante 2 do Spectre com Retpoline no Windows ).

Para obter detalhes sobre esta vulnerabilidade, consulte o Guia de Segurança da Microsoft: CVE-2019-1125 | Vulnerabilidade de Divulgação de Informações do Kernel do Windows.

Não temos conhecimento de nenhuma instância desta vulnerabilidade de divulgação de informações que afete a nossa infraestrutura de serviço cloud.

Assim que tivemos conhecimento deste problema, trabalhámos rapidamente para o resolver e lançar uma atualização. Acreditamos fortemente em parcerias estreitas com investigadores e parceiros do setor para tornar os clientes mais seguros, e não publicámos detalhes até terça-feira, 6 de agosto, consistentes com práticas coordenadas de divulgação de vulnerabilidades.

Referências

Os produtos de terceiros que este artigo aborda são fabricados por empresas que são independentes da Microsoft. Não estabelecemos qualquer garantia, implícita ou não, sobre o desempenho ou fiabilidade destes produtos.

Fornecemos informações de contacto de terceiros para o ajudar a encontrar suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. Não garantimos a exatidão destas informações de contacto de terceiros.

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.