Modificare dată |
Modificare descriere |
19 iulie 2023 |
|
8 august 2023 |
|
9 august 2023 |
|
9 aprilie 2024 |
|
16 aprilie 2024 |
|
Rezumat
Acest articol oferă instrucțiuni pentru o nouă clasă de vulnerabilități de canal lateral bazate pe tehnologia siliconului și execuție speculativă, care afectează multe procesoare și sisteme de operare moderne. Printre acestea se numără Intel, AMD și ARM. Detalii specifice pentru aceste vulnerabilități bazate pe siliciu pot fi găsite în următoarele ADV-uri (recomandări de securitate) și CV-uri (vulnerabilități și expuneri comune):
-
ADV180002 | Instrucțiuni pentru a atenua vulnerabilitățile de canal lateral cu execuție speculativă
-
ADV180012 | Instrucțiuni Microsoft pentru ocolirea Store speculativă
-
ADV180013 | Instrucțiuni Microsoft pentru Înregistrare sistem Rogue Citite
-
ADV180016 | Instrucțiuni Microsoft pentru restaurarea stării FP leneș
-
ADV180018 | Îndrumări Microsoft pentru atenuarea variantei L1TF
Important: Această problemă afectează și alte sisteme de operare, cum ar fi Android, Chrome, iOS și macOS. Prin urmare, recomandăm clienților să solicite instrucțiuni de la acești furnizori.
Am lansat mai multe actualizări pentru a ajuta la atenuarea acestor vulnerabilități. De asemenea, am luat măsuri pentru a ne securiza serviciile cloud. Consultați secțiunile următoare pentru mai multe detalii.
Nu am primit încă nicio informație care să indice faptul că aceste vulnerabilități au fost utilizate pentru a ataca clienții. Lucrăm îndeaproape cu partenerii din industrie, inclusiv cu producătorii de cipuri, producătorii OEM de hardware și distribuitorii de aplicații pentru a proteja clienții. Pentru a obține toate protecțiile disponibile, sunt necesare actualizări de firmware (microcod) și software. Printre acestea se numără microcodul de la producătorii OEM ai dispozitivului și, în unele cazuri, actualizările la software-ul antivirus.
Acest articol tratează următoarele vulnerabilități:
Windows Update va furniza, de asemenea, atenuări pentru Internet Explorer și Edge. Vom continua să îmbunătățim aceste atenuări împotriva acestei clase de vulnerabilități.
Pentru a afla mai multe despre această clasă de vulnerabilități, consultați următoarele:
Vulnerabilităţi
Pe 14 mai 2019, Intel a publicat informații despre o nouă subclasă de vulnerabilități de canal lateral cu execuție speculativă, cunoscută drept Eșantionarea datelor microarchitecturală. Aceste vulnerabilități sunt abordate în următoarele CV-uri:
-
CVE-2019-11091 | Eșantionare date microarchitecturală Memorie nechecheizabilă (MDSUM)
-
CVE-2018-12126 | Eșantionare date tampon stocare microarchitecturală (MSBDS)
-
CVE-2018-12127 | Eșantionare date tampon umplere microarchitecturală (MFBDS)
-
CVE-2018-12130 | Eșantionarea datelor portului de încărcare microarchitectural (MLPDS)
Important: Aceste probleme vor afecta alte sisteme de operare, cum ar fi Android, Chrome, iOS și MacOS. Vă recomandăm să solicitați instrucțiuni de la acești furnizori.
Am lansat actualizări pentru a ajuta la atenuarea acestor vulnerabilități. Pentru a obține toate protecțiile disponibile, sunt necesare actualizări de firmware (microcod) și software. Acesta poate include microcodul de la producătorii OEM ai dispozitivului. În unele cazuri, instalarea acestor actualizări va avea un impact de performanță. De asemenea, am acționat pentru a ne securiza serviciile cloud. Vă recomandăm ferm să implementați aceste actualizări.
Pentru mai multe informații despre această problemă, consultați următoarele Sfaturi de securitate și utilizați instrucțiuni bazate pe scenarii pentru a determina acțiunile necesare pentru a atenua amenințarea:
Notă: Vă recomandăm să instalați toate actualizările cele mai recente de la Windows Update înainte de a instala orice actualizări de microcod.
Pe 6 august 2019 Intel a lansat detalii despre vulnerabilitatea dezvăluirii informațiilor despre kernelul Windows. Această vulnerabilitate este o variantă a vulnerabilității de canal lateral cu execuție speculativă Spectre varianta 1 și a fost atribuit CVE-2019-1125.
Pe 9 iulie 2019 am lansat actualizări de securitate pentru sistemul de operare Windows, pentru a ajuta la atenuarea acestei probleme. Rețineți că am susținut documentarea publicului a acestei atenuări până la dezvăluirea coordonată a domeniului, marți, 6 august 2019.
Clienții care au Windows Update activat și au aplicat actualizările de securitate lansate pe 9 iulie 2019 sunt protejați automat. Nu mai este necesară configurarea ulterioară.
Notă: Această vulnerabilitate nu necesită o actualizare de microcod de la producătorul dispozitivului (OEM).
Pentru mai multe informații despre această vulnerabilitate și actualizările aplicabile, consultați Ghidul actualizărilor de securitate Microsoft:
Pe 12 noiembrie 2019, Intel a publicat o recomandare tehnică privind vulnerabilitatea de abandonare asincronă a tranzacțiilor Intel TransactionAl Extensions (Intel TSX) atribuită CVE-2019-11135. Am lansat actualizări pentru a ajuta la atenuarea acestei vulnerabilități. În mod implicit, protecțiile sistemului de operare sunt activate pentru edițiile sistemului de operare Client Windows.
Pe 14 iunie 2022, am publicat ADV220002 | Instrucțiuni Microsoft privind vulnerabilitățile de date învechite MMIO ale procesorului Intel. Vulnerabilitățile des sunt atribuite în următoarele CV-uri:
-
CVE-2022-21127 | Actualizare specială de eșantionare a datelor tampon (actualizare SRBDS)
-
CVE-2022-21166 | Înregistrare dispozitiv scriere parțială (DRPW)
Acțiuni recomandate
Ar trebui să efectuați următoarele acțiuni pentru a contribui la protejarea împotriva acestor vulnerabilități:
-
Aplicați toate actualizările disponibile ale sistemului de operare Windows, inclusiv actualizările de securitate Windows lunare.
-
Aplicați actualizarea de firmware aplicabilă (microcod) furnizată de producătorul dispozitivului.
-
Evaluați riscul pentru mediul dvs. pe baza informațiilor furnizate în Recomandările de securitate Microsoft ADV180002, ADV180012, ADV190013 și ADV220002,în plus față de informațiile furnizate în acest articol.
-
Acționați după cum este necesar, utilizând recomandările și informațiile despre cheia de registry furnizate în acest articol.
Notă: Clienții Surface vor primi o actualizare de microcod prin intermediul Windows Update. Pentru o listă a celor mai recente actualizări de firmware (microcod) dispozitiv Surface disponibile, consultați KB4073065.
Pe 12 iulie 2022, am publicat CVE-2022-23825 | Confuzie de tip ramificație CPU AMD care descrie faptul că aliasurile din predictorul de ramură pot determina anumite procesoare AMD să prevadă tipul greșit de ramură. Această problemă ar putea duce la dezvăluirea informațiilor.
Pentru a contribui la protejarea împotriva acestei vulnerabilități, vă recomandăm să instalați actualizăriLe Windows care sunt datate la sau după iulie 2022, apoi să luați măsuri după cum este necesar în CVE-2022-23825 și informațiile despre cheia de registry furnizate în acest bază de cunoștințe articol.
Pentru mai multe informații, consultați buletinul de securitate AMD-SB-1037 .
Pe 8 august 2023, am publicat CVE-2023-20569 | Predictorul adresei de returnare a procesorului AMD (numit și Inception), care descrie un nou atac de canal lateral speculativ care poate duce la executarea speculativă la o adresă controlată de atacator. Această problemă afectează anumite procesoare AMD și poate duce la dezvăluirea informațiilor.
Pentru a contribui la protejarea împotriva acestei vulnerabilități, vă recomandăm să instalați actualizăriLe Windows care sunt datate la sau după august 2023, apoi să luați măsuri după cum este necesar în CVE-2023-20569 și informații despre cheia de registry furnizate în acest bază de cunoștințe articol.
Pentru mai multe informații, consultați buletinul de securitate AMD-SB-7005 .
Pe 9 aprilie 2024 am publicat CVE-2022-0001 | Injectare istoric ramificație Intel care descrie injectarea istoricului de ramură (BHI), care este o formă specifică de ITO intra-mode. Această vulnerabilitate apare atunci când un atacator poate manipula istoricul ramurilor înainte de trecerea de la utilizator la modul de supervizare (sau de la VMX non-root/guest la modul rădăcină). Această manipulare poate determina un predictor de ramură indirectă să selecteze o anumită intrare de predictor pentru o ramură indirectă, iar un gadget de dezvăluire de la ținta estimată se va executa în mod tranzitoriu. Acest lucru poate fi posibil, deoarece istoricul relevant al ramurilor poate conține ramuri luate în contexte de securitate anterioare și, în special, alte moduri de predicție.
Setări de atenuare pentru clienții Windows
Recomandările de securitate (ADV- urile) și CV-urile oferă informații despre riscul reprezentat de aceste vulnerabilități și despre modul în care acestea vă ajută să identificați starea implicită a atenuărilor pentru sistemele client Windows. Următorul tabel rezumă cerința de microcod CPU și starea implicită a atenuării pentru clienții Windows.
CVE |
Necesită microcod/firmware CPU? |
Stare implicită atenuare |
---|---|---|
CVE-2017-5753 |
Nu |
Activat în mod implicit (nicio opțiune de dezactivare) Consultați ADV180002 pentru informații suplimentare. |
CVE-2017-5715 |
Da |
Activat în mod implicit. Utilizatorii de sisteme bazate pe procesoare AMD ar trebui să consulte Întrebări frecvente #15, iar utilizatorii procesoarelor ARM ar trebui să consulte Întrebări frecvente #20 despre ADV180002 pentru acțiuni suplimentare și acest articol din Baza de informații pentru setările de cheie de registry aplicabile. Notă În mod implicit, Retpoline este activat pentru dispozitivele care rulează Windows 10, versiunea 1809 sau mai nouă dacă este activat Spectre varianta 2 (CVE-2017-5715). Pentru mai multe informații, în jurul Retpoline, urmați instrucțiunile din Atenuarea Spectre varianta 2 cu Retpoline pe postarea de blog Windows. |
CVE-2017-5754 |
Nu |
Activat în mod implicit Consultați ADV180002 pentru informații suplimentare. |
CVE-2018-3639 |
Intel: Da AMD: Nu ARM: Da |
Intel și AMD: dezactivate implicit. Consultați ADV180012 pentru mai multe informații și acest articol din Baza de informații pentru setările cheii de registry aplicabile. ARM: Activat în mod implicit fără opțiunea de dezactivare. |
CVE-2019-11091 |
Intel: Da |
Activat în mod implicit. Consultați ADV190013 pentru mai multe informații și acest articol pentru setările cheii de registry aplicabile. |
CVE-2018-12126 |
Intel: Da |
Activat în mod implicit. Consultați ADV190013 pentru mai multe informații și acest articol pentru setările cheii de registry aplicabile. |
CVE-2018-12127 |
Intel: Da |
Activat în mod implicit. Consultați ADV190013 pentru mai multe informații și acest articol pentru setările cheii de registry aplicabile. |
CVE-2018-12130 |
Intel: Da |
Activat în mod implicit. Consultați ADV190013 pentru mai multe informații și acest articol pentru setările cheii de registry aplicabile. |
CVE-2019-11135 |
Intel: Da |
Activat în mod implicit. Consultați CVE-2019-11135 pentru mai multe informații și acest articol pentru setările de cheie de registry aplicabile. |
CVE-2022-21123 (parte din MMIO ADV220002) |
Intel: Da |
Windows 10, versiunea 1809 și versiunile mai recente: activată în mod implicit. Windows 10, versiunea 1607 și versiunile anterioare: Dezactivat în mod implicit.Consultați CVE-2022-21123 pentru mai multe informații și acest articol pentru setările cheii de registry aplicabile. |
CVE-2022-21125 (parte din MMIO ADV220002) |
Intel: Da |
Windows 10, versiunea 1809 și versiunile mai recente: activată în mod implicit. Windows 10, versiunea 1607 și versiunile anterioare: Dezactivat în mod implicit.Consultați CVE-2022-21125 pentru mai multe informații. |
CVE-2022-21127 (parte din mmio ADV220002) |
Intel: Da |
Windows 10, versiunea 1809 și versiunile mai recente: activată în mod implicit. Windows 10, versiunea 1607 și versiunile anterioare: Dezactivat în mod implicit.Consultați CVE-2022-21127 pentru mai multe informații. |
CVE-2022-21166 (parte din MMIO ADV220002) |
Intel: Da |
Windows 10, versiunea 1809 și versiunile mai recente: activată în mod implicit. Windows 10, versiunea 1607 și versiunile anterioare: Dezactivat în mod implicit.Consultați CVE-2022-21166 pentru mai multe informații. |
CVE-2022-23825 (confuzie de tip ramificație CPU AMD) |
AMD: Nu |
Consultați CVE-2022-23825 pentru mai multe informații și acest articol pentru setările cheii de registry aplicabile. |
CVE-2023-20569 (Predictor adresă de returnare CPU AMD) |
AMD: Da |
Consultați CVE-2023-20569 pentru mai multe informații și acest articol pentru setările cheii de registry aplicabile. |
Intel: Nu |
Dezactivat în mod implicit. Consultați CVE-2022-0001 pentru mai multe informații și acest articol pentru setările de cheie de registry aplicabile. |
Notă: În mod implicit, activarea atenuării dezactivate poate afecta performanța dispozitivului. Efectul real de performanță depinde de mai mulți factori, cum ar fi chipsetul specific din dispozitiv și de volumul de lucru care rulează.
Setări registry
Vă oferim următoarele informații de registry pentru a activa atenuările care nu sunt activate în mod implicit, după cum este documentat în Sfaturi de securitate (ADVs) și CV-uri. În plus, furnizăm setările cheii de registry pentru utilizatorii care doresc să dezactiveze atenuările atunci când se aplică pentru clienții Windows.
Important: Această secțiune, metodă sau activitate conține pași care vă spun cum să modificați registry. Totuși, pot apărea probleme grave dacă faceți modificări incorecte în registry. Prin urmare, asigurați-vă că urmați acești pași cu atenție. Pentru protecție suplimentară, faceți backup registry înainte de a-l modifica. Apoi, puteți restaura registry dacă apare o problemă. Pentru mai multe informații despre cum să faceți backup și să restaurați registry, consultați următorul articol din Baza de cunoștințe Microsoft:322756 Cum să faceți backup și să restaurați registry în Windows
Important: În mod implicit, Retpoline este activat pe dispozitive Windows 10, versiunea 1809 dacă este activat Spectre, varianta 2 (CVE-2017-5715). Activarea Retpoline pe cea mai recentă versiune de Windows 10 poate îmbunătăți performanța pe dispozitivele care rulează Windows 10, versiunea 1809 pentru Spectre varianta 2, în special pe procesoare mai vechi.
Pentru a activa atenuările implicite pentru CVE-2017-5715 (Spectre varianta 2) și CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reporniți dispozitivul pentru ca modificările să aibă efect. Pentru a dezactiva atenuările pentru CVE-2017-5715 (Spectre varianta 2) și CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reporniți dispozitivul pentru ca modificările să aibă efect. |
Notă: O valoare 3 este corectă pentru FeatureSettingsOverrideMask atât pentru setările "enable" (activare), cât și pentru "disable". (Consultați secțiunea "Întrebări frecvente" pentru mai multe detalii despre cheile de registry.)
Pentru a dezactiva atenuările pentru CVE-2017-5715 (Spectre varianta 2) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reporniți dispozitivul pentru ca modificările să aibă efect. Pentru a activa atenuările implicite pentru CVE-2017-5715 (Spectre varianta 2) și CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reporniți dispozitivul pentru ca modificările să aibă efect. |
În mod implicit, protecția utilizator-la-kernel pentru CVE-2017-5715 este dezactivată pentru CPU-urile AMD și ARM. Trebuie să activați atenuarea pentru a primi protecții suplimentare pentru CVE-2017-5715. Pentru mai multe informații, consultați Întrebări frecvente #15 în ADV180002 pentru procesoarele AMD și Întrebări frecvente #20 în ADV180002 pentru procesoare ARM.
Activați protecția utilizator-kernel pe procesoarele AMD și ARM, împreună cu alte protecții pentru CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reporniți dispozitivul pentru ca modificările să aibă efect. |
Pentru a activa atenuările pentru CVE-2018-3639 (ocolire Store speculativă), atenuări implicite pentru CVE-2017-5715 (Spectre varianta 2) și CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reporniți dispozitivul pentru ca modificările să aibă efect. Notă: Procesoarele AMD nu sunt vulnerabile la CVE-2017-5754 (Meltdown). Această cheie de registry este utilizată în sistemele cu procesoare AMD pentru a permite atenuări implicite pentru CVE-2017-5715 pe procesoareLE AMD și atenuarea pentru CVE-2018-3639. Pentru a dezactiva atenuările pentru CVE-2018-3639 (Ocolire Store speculativă) *și* atenuări pentru CVE-2017-5715 (Spectre varianta 2) și CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reporniți dispozitivul pentru ca modificările să aibă efect. |
În mod implicit, protecția utilizator-la-kernel pentru CVE-2017-5715 este dezactivată pentru procesoarele AMD. Clienții trebuie să activeze atenuarea pentru a primi protecții suplimentare pentru CVE-2017-5715. Pentru mai multe informații, consultați Întrebări frecvente nr. 15 din ADV180002.
Activați protecția utilizator la kernel pe procesoarele AMD, împreună cu alte protecții pentru CVE 2017-5715 și protecții pentru CVE-2018-3639 (ocolire Store speculativă): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reporniți dispozitivul pentru ca modificările să aibă efect. |
Pentru a activa atenuările pentru vulnerabilitatea de abandonare asincronă a tranzacțiilor pentru extensiile de sincronizare tranzacții Intel (Intel TSX) (CVE-2019-11135) și eșantionarea datelor microarchitecturală (CVE-20)19-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) împreună cu variantele Spectre (CVE-2017-5753 & CVE-2017-5715) și Meltdown (CVE-2017-5754) inclusiv ocolirea Store speculativă dezactivată (SSBD) (CVE-2018-3639), precum și L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 și CVE-2018-3646) fără a dezactiva Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Dacă este instalată caracteristica Hyper-V, adăugați următoarea setare de registry: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Dacă aceasta este o gazdă Hyper-V și s-au aplicat actualizările de firmware: Închideți complet toate Mașini virtuale. Acest lucru permite aplicarea atenuării legate de firmware pe gazdă înainte de pornirea mașinilor virtuale. Prin urmare, mașinile virtuale sunt actualizate și atunci când sunt repornite. Reporniți dispozitivul pentru ca modificările să aibă efect. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) cu Hyper-Threading dezactivate: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Dacă este instalată caracteristica Hyper-V, adăugați următoarea setare de registry: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Dacă aceasta este o gazdă Hyper-V și s-au aplicat actualizările de firmware: Închideți complet toate Mașini virtuale. Acest lucru permite aplicarea atenuării legate de firmware pe gazdă înainte de pornirea mașinilor virtuale. Prin urmare, mașinile virtuale sunt actualizate și atunci când sunt repornite. Reporniți dispozitivul pentru ca modificările să aibă efect. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reporniți dispozitivul pentru ca modificările să aibă efect. |
Pentru a activa atenuarea pentru CVE-2022-23825 pe procesoareLE AMD :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Pentru a fi complet protejați, clienții pot avea nevoie, de asemenea, să dezactiveze Hyper-Threading (numit și Multi Threading simultan (SMT)). Consultați KB4073757pentru instrucțiuni despre protejarea dispozitivelor Windows.
Pentru a activa atenuarea pentru CVE-2023-20569 pe procesoareLE AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Pentru a activa atenuarea pentru CVE-2022-0001 pe procesoare Intel:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Activarea atenuării multiple
Pentru a activa mai multe atenuări, trebuie să adăugați împreună valoarea REG_DWORD a fiecărei atenuări.
De exemplu:
Mitigation for Transaction Asynchronous Abort vulnerability, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) și L1 Terminal Fault (L1TF) cu Hyper-Threading dezactivat |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
NOTĂ 8264 (în zecimal) = 0x2048 (în hexa) Pentru a activa BHI împreună cu alte setări existente, va trebui să utilizați OR la nivel de biți al valorii curente cu 8.388.608 (0x800000). 0x800000 OR 0x2048(8264 în zecimal) și va deveni 8.396.872 (0x802048). La fel cu FeatureSettingsOverrideMask. |
|
Atenuarea pentru CVE-2022-0001 pe procesoare Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Atenuare combinată |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Mitigation for Transaction Asynchronous Abort vulnerability, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) și L1 Terminal Fault (L1TF) cu Hyper-Threading dezactivat |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Atenuarea pentru CVE-2022-0001 pe procesoare Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Atenuare combinată |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Verificați dacă sunt activate protecțiile
Pentru a verifica dacă sunt activate protecțiile, am publicat un script PowerShell pe care îl puteți rula pe dispozitivele dvs. Instalați și rulați scriptul utilizând una dintre metodele următoare.
Instalați modulul PowerShell: PS> Install-Module SpeculationControl Rulați modulul PowerShell pentru a verifica dacă sunt activate protecțiile: PS> # Salvați politica de execuție curentă, astfel încât să poată fi resetat > $SaveExecutionPolicy PS = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl > Get-SpeculationControlSettings PS PS> # Resetați politica de executare la starea inițială PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Instalați modulul PowerShell din Technet ScriptCenter: Accesați https://aka.ms/SpeculationControlPS Descărcați SpeculationControl.zip într-un folder local. Extrageți conținutul într-un folder local, de exemplu C:\ADV180002 Rulați modulul PowerShell pentru a verifica dacă sunt activate protecțiile: Porniți PowerShell, apoi (utilizând exemplul anterior) copiați și rulați următoarele comenzi: PS> # Salvați politica de execuție curentă, astfel încât să poată fi resetat > $SaveExecutionPolicy PS = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 > Get-SpeculationControlSettings PS PS> # Resetați politica de executare la starea inițială PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Pentru o explicație detaliată a ieșirii scriptului PowerShell, consultați KB4074629.
Întrebări frecvente
Microcodul este livrat printr-o actualizare de firmware. Ar trebui să consultați producătorii procesorului (chipsetului) și dispozitivului cu privire la disponibilitatea actualizărilor de securitate firmware aplicabile pentru dispozitivul lor specific, inclusiv instrucțiuni de revizuire a microcodului Intels.
Abordarea unei vulnerabilități hardware printr-o actualizare software prezintă provocări semnificative. De asemenea, atenuările pentru sistemele de operare mai vechi necesită modificări arhitecturale extinse. Lucrăm cu producătorii cipurilor afectate pentru a determina cea mai bună modalitate de a oferi atenuări, care pot fi livrate în actualizările viitoare.
Actualizări pentru dispozitivele Microsoft Surface vor fi livrate clienților prin Windows Update împreună cu actualizările pentru sistemul de operare Windows. Pentru o listă de actualizări disponibile pentru firmware-ul dispozitivului Surface (microcod), consultați KB4073065.
Dacă dispozitivul dvs. nu provine de la Microsoft, aplicați firmware-ul de la producătorul dispozitivului. Pentru mai multe informații, contactați producătorul dispozitivului OEM.
În februarie și martie 2018, Microsoft a lansat o protecție suplimentară pentru unele sisteme bazate pe x86. Pentru mai multe informații, consultați KB4073757 și ADV180002 Sfatul Microsoft de securitate.
Actualizări să Windows 10 pentru HoloLens sunt disponibile pentru clienții HoloLens prin Windows Update.
După aplicarea actualizării Securitate Windows din februarie 2018, clienții HoloLens nu trebuie să ia nicio acțiune suplimentară pentru a-și actualiza firmware-ul dispozitivului. Aceste atenuări vor fi incluse, de asemenea, în toate versiunile viitoare de Windows 10 pentru HoloLens.
Nu. Actualizările doar de securitate nu sunt cumulative. În funcție de versiunea sistemului de operare pe care o rulați, va trebui să instalați fiecare actualizări lunare Doar de securitate pentru a fi protejat împotriva acestor vulnerabilități. De exemplu, dacă rulați Windows 7 pentru sisteme pe 32 de biți pe un procesor Intel afectat, trebuie să instalați toate actualizările Doar de securitate. Vă recomandăm să instalați aceste actualizări doar de securitate în ordinea lansării.
Notă O versiune anterioară a acestor Întrebări frecvente a declarat incorect că actualizarea doar pentru securitate din februarie includea remedierile de securitate lansate în ianuarie. De fapt, nu.
Nu. Actualizare de securitate 4078130 a fost o remediere specifică pentru a preveni comportamentele imprevizibile ale sistemului, problemele de performanță și/sau repornirile neașteptate după instalarea microcodului. Aplicarea actualizărilor de securitate din februarie pe sistemele de operare client Windows permite toate cele trei atenuări.
Intel a anunțat recent că și-a finalizat validările și a început lansarea microcodului pentru platformele CPU mai noi. Microsoft face disponibile actualizări de microcod Intel validate în jurul Spectre varianta 2 (CVE-2017-5715 "Injectare țintă ramură"). KB4093836 listează anumite articole din Baza de cunoștințe în funcție de versiunea de Windows. Fiecare articol KB individual conține actualizările disponibile pentru microcodul Intel în funcție de CPU.
Această problemă a fost rezolvată în KB4093118.
AMD a anunțat recent că au început lansarea microcodului pentru platforme cpu mai noi în jurul Spectre varianta 2 (CVE-2017-5715 "Injectare țintă pentru ramură"). Pentru mai multe informații, consultați Actualizări de securitate AMD și AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Acestea sunt disponibile de pe canalul de firmware OEM.
Facem disponibile actualizări de microcod Intel validate în jurul Spectre varianta 2 (CVE-2017-5715 "Injectare țintă ramură "). Pentru a obține cele mai recente actualizări de microcod Intel prin Windows Update, clienții trebuie să aibă instalat microcodul Intel pe dispozitivele care rulează un sistem de operare Windows 10 înainte de a face upgrade la actualizarea din aprilie 2018 a Windows 10 (versiunea 1803).
Actualizarea de microcod mai este disponibilă și direct din Catalog dacă nu a fost instalată pe dispozitiv înainte de upgrade-ul sistemului de operare. Microcodul Intel este disponibil prin Windows Update, WSUS sau Catalogul Microsoft Update. Pentru mai multe informații și instrucțiuni de descărcare, consultați KB4100347.
Pentru mai multe informații, consultați următoarele resurse:
Pentru detalii, consultați secțiunile "Acțiuni recomandate" și "Întrebări frecvente" din ADV180012 | Instrucțiuni Microsoft pentru ocolirea Store speculativă.
Pentru a verifica starea SSBD, Get-SpeculationControlSettings script PowerShell a fost actualizat pentru a detecta procesoarele afectate, starea actualizărilor sistemului de operare SSBD și starea microcodului de procesor, dacă este cazul. Pentru mai multe informații și pentru a obține scriptul PowerShell, consultați KB4074629.
Pe 13 iunie 2018, a fost anunțată și atribuită CVE-2018-3665 o vulnerabilitate suplimentară care implică execuția speculativă de pe canalul lateral, cunoscută drept Restaurare stare leneș FP. Nu sunt necesare setări de configurare (registry) pentru Restaurare FP lazy.
Pentru mai multe informații despre această vulnerabilitate și pentru acțiunile recomandate, consultați Sfatul de securitate ADV180016 | Instrucțiuni Microsoft pentru restaurarea stării lazy FP.
Notă: Nu sunt necesare setări de configurare (registry) pentru Restaurare FP lazy.
Bounds Check Bypass Store (BCBS) a fost dezvăluit la 10 iulie 2018 și atribuit CVE-2018-3693. Considerăm BCBS că aparține aceleiași clase de vulnerabilități ca ocolirea verificării limitelor (varianta 1). Momentan nu avem cunoștință de nicio instanță a BCBS în software-ul nostru, dar continuăm să cercetăm această clasă de vulnerabilitate și vom colabora cu partenerii din industrie pentru a lansa atenuări după cum este necesar. Continuăm să încurajăm cercetătorii să trimită orice constatări relevante programului de recompense Canal lateral execuție speculativă Microsoft, inclusiv instanțele exploatabile ale BCBS. Dezvoltatorii de software ar trebui să revizuiască îndrumările pentru dezvoltatori care au fost actualizate pentru BCBS la https://aka.ms/sescdevguide.
La 14 august 2018, a fost anunțatĂ L1 Terminal Fault (L1TF) și atribuite mai multe CV-uri. Aceste noi vulnerabilități de canal lateral cu execuție speculativă pot fi utilizate pentru a citi conținutul memoriei dintr-o limită de încredere și, dacă sunt exploatate, pot duce la dezvăluirea informațiilor. Un atacator ar putea declanșa vulnerabilitățile prin mai mulți vectori, în funcție de mediul configurat. L1TF afectează procesoarele Intel® Core® și procesoarele Intel® Xeon®.
Pentru mai multe informații despre această vulnerabilitate și o vizualizare detaliată a scenariilor afectate, inclusiv abordarea Microsoft privind atenuarea L1TF, consultați următoarele resurse:
Clienții care utilizează procesoare ARM pe 64 de biți ar trebui să consulte OEM-ul dispozitivului pentru asistență firmware, deoarece protecțiile sistemului de operare ARM64 care atenuează CVE-2017-5715 | Injectarea țintă pentru ramură (Spectre, varianta 2) necesită cea mai recentă actualizare de firmware de la producătorii OEM ai dispozitivului pentru a avea efect.
Pentru mai multe informații, consultați următoarele recomandări de securitate
Pentru mai multe informații, consultați următoarele recomandări de securitate
Instrucțiuni suplimentare pot fi găsite în instrucțiunile Windows, pentru a vă proteja împotriva vulnerabilităților de canal lateral cu execuție speculativă
Consultați instrucțiunile din Instrucțiuni Windows pentru a vă proteja împotriva vulnerabilităților de canal lateral cu execuție speculativă
Pentru instrucțiuni despre Azure, consultați acest articol: Instrucțiuni pentru atenuarea vulnerabilităților de canal lateral cu execuție speculativă din Azure.
Pentru mai multe informații despre activarea Retpoline, consultați postarea noastră de blog: Atenuarea Spectre varianta 2 cu Retpoline în Windows.
Pentru detalii despre această vulnerabilitate, consultați Ghidul de securitate Microsoft: CVE-2019-1125 | Vulnerabilitate dezvăluire informații kernel Windows.
Nu cunoaștem nicio instanță a acestei vulnerabilități de divulgare a informațiilor care să afecteze infrastructura noastră de servicii cloud.
Imediat ce am luat cunoștință de această problemă, ne-am străduit rapid să o remediem și să lansăm o actualizare. Credem cu tărie în parteneriate strânse cu cercetătorii și partenerii din industrie pentru a-i face pe clienți mai în siguranță și nu am publicat detalii până marți, 6 august, în conformitate cu practicile coordonate de divulgare a vulnerabilităților.
Instrucțiuni suplimentare pot fi găsite în instrucțiunile Windows, pentru a vă proteja împotriva vulnerabilităților de canal lateral cu execuție speculativă.
Instrucțiuni suplimentare pot fi găsite în instrucțiunile Windows, pentru a vă proteja împotriva vulnerabilităților de canal lateral cu execuție speculativă.
Instrucțiuni suplimentare pot fi găsite în Instrucțiuni pentru dezactivarea capacității Intel® Transactional Synchronization Extensions (Intel® TSX).
Referințe
Vă oferim informații de contact de la terți pentru a vă ajuta să găsiți asistență tehnică. Aceste informații de contact se pot modifica fără notificare prealabilă. Nu garantăm acuratețea acestor informații de contact de la terți.