Applies ToAzure Local (formerly Azure Stack HCI) Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012

Промяна на датата

Декрипция на промяна

20 април 2023 г.

  • Добавена е информация от системния регистър на MMIO

8 август 2023 г.

  • Премахнато е съдържание за CVE-2022-23816, тъй като cve номерът не се използва

  • Добавено "Объркване на типа клон" в секцията "Уязвимости"

  • Добавена е повече информация към "CVE-2022-23825 | Секция на системния регистър AMD CPU Branch Type Confusion (BTC)"

9 август 2023 г.

  • Актуализирано е "CVE-2022-23825 | Секция на системния регистър AMD CPU Branch Type Confusion (BTC)"

  • Добавено "CVE-2023-20569 | AMD CPU Return Address Predictor" към секцията "Summary"

  • Добавен е "CVE-2023-20569 | СЕКЦИЯ на системния регистър AMD CPU Return Address Predictor"

9 април 2024 г.

  • Добавен CVE-2022-0001 | Intel Branch History Injection

16 април 2024 г.

  • Добавен е разделът "Разрешаване на няколко смекчавания"

Уязвимости

Тази статия обръща внимание на следните уязвимости при спекулативно изпълнение:

актуализиране на Windows също така ще предостави смекчавания на последствията за Internet Explorer и Edge. Ще продължим да подобряваме тези предпазни мерки срещу този клас уязвимости.

За да научите повече за този клас уязвимости, вж.

На 14 май 2019 г. Intel публикува информация за нов подклас уязвимости в страничен канал при спекулативно изпълнение, известни като Извадка за микроархитектурни данни и документирана в ADV190013 | Извадка от микроархитектурни данни. На тях са присвоени следните CVEs:

Важно: Тези проблеми ще засегнат други системи, като например Android, Chrome, iOS и MacOS. Съветваме клиентите да потърсят насоки от тези доставчици.

Microsoft издаде актуализации за намаляване на тези уязвимости. За да получите всички налични защити, са необходими фърмуер (микрокод) и софтуерни актуализации. Това може да включва микрокод от OEM на устройството. В някои случаи инсталирането на тези актуализации ще окаже влияние върху производителността. Също така предприехме действия за защита на нашите услуги в облака. Настоятелно ви препоръчваме да разположите тези актуализации.

За повече информация относно този проблем вижте следните съвети за защитата и използвайте указания, базирани на сценарии, за да определите действията, необходими за намаляване на заплахата:

Забележка: Препоръчваме ви да инсталирате най-новите актуализации от актуализиране на Windows, преди да инсталирате актуализации на микрокод.

На 6 август 2019 г. Intel издаде подробности за уязвимост при разкриване на информация за ядрото на Windows. Тази уязвимост е вариант на Spectre, уязвимост от спекулативно изпълнение на странични канали от вариант 1 и е присвоен CVE-2019-1125.

На 9 юли 2019 г. издадахме актуализации на защитата за операционната система Windows, за да облекчим този проблем. Моля, имайте предвид, че ние задържахме документирането на това смекчаване публично до координираното разкриване на информация в отрасъла във вторник, 6 август 2019 г.

Клиентите, които са актуализиране на Windows активирали и са приложили актуализациите на защитата, издадени на 9 юли 2019 г., са защитени автоматично. Не е необходима допълнителна конфигурация.

Забележка: Тази уязвимост не изисква актуализация на микрокод от производителя на вашето устройство (OEM).

За повече информация относно тази уязвимост и приложимите актуализации вж. Справочник за актуализации на защитата на Microsoft:

На 12 ноември 2019 г. Intel публикува техническа препоръка относно уязвимостта за асинхронно прекъсване на транзакциите на Intel® TSX, която е присвоена на CVE-2019-11135. Microsoft пусна актуализации за намаляване на тази уязвимост и защитите на ОС са разрешени по подразбиране за Windows Server 2019, но са забранени по подразбиране за Windows Server 2016 и по-стари издания на ОС на Windows Server.

На 14 юни 2022 г. публикувахме ADV220002 | Указания на Microsoft за уязвимости в остарели данни на процесор Intel MMIO и присвоени на тези CVEs: 

Препоръчани действия

Трябва да предприемете следните действия, за да помогнете за защитата срещу уязвимостите:

  1. Приложете всички налични актуализации на операционната система Windows, включително месечните актуализации на защитата на Windows.

  2. Приложете приложимата актуализация на фърмуера (микрокода), предоставена от производителя на устройството.

  3. Оценете риска за вашата среда въз основа на информацията, която се предоставя в Съвети за защитата на Microsoft: ADV180002, ADV180012, ADV190013 и ADV220002, в допълнение към информацията, предоставена в тази база знания статия.

  4. Предприемете необходимите действия, като използвате съветите и важната информация от системния регистър, които са предоставени в тази база знания статия.

Забележка: Клиентите на Surface ще получат актуализация на микрокода чрез актуализиране на Windows. За списък с най-новите актуализации на фърмуера на устройството Surface (микрокод) вижте KB4073065.

На 12 юли 2022 г. публикувахме CVE-2022-23825 | Объркване на типа на ЦП на AMD , което описва, че псевдонимите в предсказването на клона могат да доведат до предсказване на грешен тип клон на определени AMD процесори. Този проблем може потенциално да доведе до разкриване на информация.

За да се защитите от тази уязвимост, препоръчваме да инсталирате актуализации на Windows, които са с дата до юли 2022 г., и след това да предприемете действия, както се изисква от CVE-2022-23825 и информация за ключ от системния регистър, предоставена в тази база знания статия.

За повече информация вижте бюлетина за защитата AMD-SB-1037 .

На 8 август 2023 г. публикувахме CVE-2023-20569 | Return Address Predictor (известен също като Изключение), който описва нова спекулативна атака в страничен канал, която може да доведе до спекулативно изпълнение на контролиран от хакер адрес. Този проблем засяга определени AMD процесори и може потенциално да доведе до разкриване на информация.

За да се защитите от тази уязвимост, ви препоръчваме да инсталирате актуализации на Windows, които са с дата или след август 2023 г., и след това да предприемете действия, както се изисква от CVE-2023-20569 и информация за ключ от системния регистър, предоставена в тази база знания статия.

За повече информация вижте бюлетина за защитата AMD-SB-7005 .

На 9 април 2024 г. публикувахме CVE-2022-0001 | Intel Branch History Injection, което описва branch History Injection (BHI), което е специфична форма на BTI в режим "интра режим". Тази уязвимост възниква, когато атакуващ може да манипулира хронологията на клона преди преминаване от потребител към режим на супервайзор (или от VMX режим, който не е корен/гост в коренен режим). Тази обработка може да доведе до избор на конкретен запис на прогнозиращ за непряк клон от предсказване, а притурка за разкриване при прогнозираната цел ще се изпълни временно. Това може да е възможно, тъй като съответната хронология на клона може да съдържа клонове, взети в предишни контексти на защитата, и по-специално други режими на прогнозиране.

Настройки за смекчаване за Windows Server и Azure Stack HCI

Съветите за защитата (ADVs) и CVEs предоставят информация за риска, породен от тези уязвимости. Те също така ви помагат да идентифицирате уязвимостите и да идентифицирате състоянието по подразбиране на смекчаванията за системите на Windows Server. Таблицата по-долу обобщава изискването за ЦП микрокод и състоянието по подразбиране на смекчаванията на последствията на Windows Server.

CVE

Изисква микрокод/фърмуер на ЦП?

Състояние по подразбиране на смекчаването

CVE-2017-5753

Не

Разрешено по подразбиране (няма опция за забраняване)

Вижте ADV180002 за допълнителна информация

CVE-2017-5715

Да

Забранено по подразбиране.

Вижте ADV180002 за допълнителна информация и тази статия от Базата знания за приложимите настройки на ключове от системния регистър.

Забележка "Retpoline" е разрешен по подразбиране за устройства, работещи с Windows 10, версия 1809 и по-нови, ако Spectre Variant 2 (CVE-2017-5715) е разрешен. За повече информация относно "Retpoline" следвайте Смекчаване на Spectre variant 2 с Retpoline в публикация в блог на Windows.

CVE-2017-5754

Не

Windows Server 2019, Windows Server 2022 и Azure Stack HCI: разрешени по подразбиране.Windows Server 2016 и по-стари версии: Дезактивиран по подразбиране.

Вижте ADV180002 за допълнителна информация.

CVE-2018-3639

Intel: Да

AMD: Не

Забранено по подразбиране. Вижте ADV180012 за повече информация и тази статия за приложимите настройки на ключове от системния регистър.

CVE-2018-11091

Intel: Да

Windows Server 2019, Windows Server 2022 и Azure Stack HCI: разрешени по подразбиране.Windows Server 2016 и по-стари версии: Дезактивиран по подразбиране.

Вижте ADV190013 за повече информация и тази статия за приложимите настройки на ключове от системния регистър.

CVE-2018-12126

Intel: Да

Windows Server 2019, Windows Server 2022 и Azure Stack HCI: разрешени по подразбиране.Windows Server 2016 и по-стари версии: Дезактивиран по подразбиране.

Вижте ADV190013 за повече информация и тази статия за приложимите настройки на ключове от системния регистър.

CVE-2018-12127

Intel: Да

Windows Server 2019, Windows Server 2022 и Azure Stack HCI: разрешени по подразбиране.Windows Server 2016 и по-стари версии: Дезактивиран по подразбиране.

Вижте ADV190013 за повече информация и тази статия за приложимите настройки на ключове от системния регистър.

CVE-2018-12130

Intel: Да

Windows Server 2019, Windows Server 2022 и Azure Stack HCI: разрешени по подразбиране.Windows Server 2016 и по-стари версии: Дезактивиран по подразбиране.

Вижте ADV190013 за повече информация и тази статия за приложимите настройки на ключове от системния регистър.

CVE-2019-11135

Intel: Да

Windows Server 2019, Windows Server 2022 и Azure Stack HCI: разрешени по подразбиране.Windows Server 2016 и по-стари версии: Дезактивиран по подразбиране.

Вижте CVE-2019-11135 за повече информация и тази статия за приложимите настройки на ключ от системния регистър.

CVE-2022-21123 (част от MMIO ADV220002)

Intel: Да

Windows Server 2019, Windows Server 2022 и Azure Stack HCI: разрешени по подразбиране. Windows Server 2016 и по-стари версии: Дезактивиран по подразбиране.* 

Вижте CVE-2022-21123 за повече информация и тази статия за приложимите настройки на ключове от системния регистър.

CVE-2022-21125 (част от MMIO ADV220002)

Intel: Да

Windows Server 2019, Windows Server 2022 и Azure Stack HCI: разрешени по подразбиране. Windows Server 2016 и по-стари версии: Дезактивиран по подразбиране.* 

Вижте CVE-2022-21125 за повече информация и тази статия за приложимите настройки на ключове от системния регистър.

CVE-2022-21127 (част от MMIO ADV220002)

Intel: Да

Windows Server 2019, Windows Server 2022 и Azure Stack HCI: разрешени по подразбиране. Windows Server 2016 и по-стари версии: Дезактивиран по подразбиране.* 

Вижте CVE-2022-21127 за повече информация и тази статия за приложимите настройки на ключ от системния регистър.

CVE-2022-21166 (част от MMIO ADV220002)

Intel: Да

Windows Server 2019, Windows Server 2022 и Azure Stack HCI: разрешени по подразбиране. Windows Server 2016 и по-стари версии: Дезактивиран по подразбиране.* 

Вижте CVE-2022-21166 за повече информация и тази статия за приложимите настройки на ключ от системния регистър.

CVE-2022-23825 (объркване на клон на ЦП на AMD)

AMD: Не

Вижте CVE-2022-23825 за повече информация и тази статия за приложимите настройки на ключове от системния регистър.

CVE-2023-20569 (AMD CPU Return Address Predictor)

AMD: Да

Вижте CVE-2023-20569 за повече информация и тази статия за приложимите настройки на ключове от системния регистър.

CVE-2022-0001

Intel: Не

Забранено по подразбиране

Вижте CVE-2022-0001 за повече информация и тази статия за приложимите настройки на ключ от системния регистър.

* Следвайте указанията за смекчаване за Meltdown по-долу.

Ако искате да получите всички налични защити срещу тези уязвимости, трябва да направите промени в ключа на системния регистър, за да разрешите тези предпазни мерки, които са забранени по подразбиране.

Разрешаването на тези смекчавания може да повлияе на производителността. Мащабът на ефектите върху производителността зависи от множество фактори, като например специфичния чипсет във физическия хост и работните натоварвания, които се изпълняват. Препоръчваме ви да оцените ефекта на производителността за вашата среда и да направите необходимите корекции.

Сървърът ви е под повишен риск, ако е в една от следните категории:

  • Hyper-V хостове: Изисква защита за атаки на VM към VM и VM към хост.

  • Хостове на услуги за отдалечен работен плот (RDSH): Изисква защита от една сесия до друга или от атаки от сесия към хост.

  • Физически хостове или виртуални машини, които изпълняват ненадежден код, като например контейнери или ненадеждни разширения за база данни, ненадеждно уеб съдържание или работни натоварвания, които изпълняват код, който е от външни източници. Те изискват защита от ненадеждни атаки от процес към друг процес или от атаки от ненадежден процес към ядро.

Използвайте следните настройки на ключа от системния регистър, за да разрешите смекчаванията на сървъра, и рестартирайте устройството, за да влязат в сила промените.

Забележка: По подразбиране разрешаването на предпазни мерки, които са изключени, може да повлияе на производителността. Действителният ефект на производителността зависи от множество фактори, като например конкретния чипсет в устройството и работните натоварвания, които се изпълняват.

Настройки на системния регистър

Предоставяме следната информация в системния регистър, за да разрешим смекчавания, които не са разрешени по подразбиране, както е документирано в Съвети за защитата (ADVs) и CVEs. Освен това предоставяме настройки на ключа от системния регистър за потребителите, които искат да забранят предпазните мерки, когато е приложимо за клиенти на Windows.

ВАЖНО Този раздел, метод или задача съдържа стъпки, които ви казват как да промените системния регистър. Ако обаче промените системния регистър неправилно, е възможно да възникнат сериозни проблеми. Затова следвайте тези стъпки внимателно. За допълнителна защита архивирайте системния регистър, преди да го промените. След това можете да възстановите системния регистър, ако възникне проблем. За повече информация как да архивирате и възстановите системния регистър, вижте следната статия в базата знания на Microsoft:

KB322756 Как се архивира и възстановява системният регистър в Windows

ВАЖНОПо подразбиране Retpoline е конфигуриран по следния начин, ако Spectre, смекчаване на вариант 2 (CVE-2017-5715) е разрешено:

- Смекчаването на Retpoline е разрешено на Windows 10, версия 1809 и по-нови версии на Windows.

- Смекчаването на Retpoline е забранено на Windows Server 2019 и по-нови версии на Windows Server.

За повече информация относно конфигурацията на Retpoline вижте Предотвратяване на Spectre variant 2 с Retpoline в Windows.

  • За да разрешите предпазни мерки за CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) и CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Ако функцията Hyper-V е инсталирана, добавете следната настройка на системния регистър:

    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    Ако това е Hyper-V хост и актуализациите на фърмуера са приложени: Напълно изключете всички виртуални машини. Това позволява смекчаването, свързано с фърмуера, да се приложи на хоста, преди виртуалните машини да бъдат стартирани. Затова виртуални машини също се актуализират, когато се рестартират.

    Рестартирайте устройството, за да влязат в сила промените.

  • За да забраните предпазни мерки за CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) и CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Рестартирайте устройството, за да влязат в сила промените.

Забележка: Задаването на FeatureSettingsOverrideMask на 3 е точно както за настройките "разрешаване", така и за "забраняване". (Вижте раздела "ЧЗВ " за повече подробности относно ключовете от системния регистър.)

За да забраните вариант 2: (CVE-2017-5715 | Branch Target Injection) смекчаване:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартирайте устройството, за да влязат в сила промените.

За да разрешите вариант 2: (CVE-2017-5715 | Branch Target Injection) смекчаване:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартирайте устройството, за да влязат в сила промените.

По подразбиране защитата от потребител към ядро за CVE-2017-5715 е забранена за AMD процесори. Клиентите трябва да разрешат смекчаването, за да получат допълнителни защити за CVE-2017-5715.  За повече информация вижте ЧЗВ #15 в ADV180002.

Разрешаване на защитата от потребител към ядро на AMD процесори заедно с други защити за CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ако функцията Hyper-V е инсталирана, добавете следната настройка на системния регистър:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ако това е Hyper-V хост и актуализациите на фърмуера са приложени: Напълно изключете всички виртуални машини. Това позволява смекчаването, свързано с фърмуера, да се приложи на хоста, преди виртуалните машини да бъдат стартирани. Затова виртуални машини също се актуализират, когато се рестартират.

Рестартирайте устройството, за да влязат в сила промените.

За да разрешите предпазни мерки за CVE-2018-3639 (спекулативно заобикаляне на Store), CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (стоп надолу):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ако функцията Hyper-V е инсталирана, добавете следната настройка на системния регистър:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ако това е Hyper-V хост и актуализациите на фърмуера са приложени: Напълно изключете всички виртуални машини. Това позволява смекчаването, свързано с фърмуера, да се приложи на хоста, преди виртуалните машини да бъдат стартирани. Затова виртуални машини също се актуализират, когато се рестартират.

Рестартирайте устройството, за да влязат в сила промените.

За да забраните предпазни мерки за CVE-2018-3639 (спекулативно заобикаляне на Store) И смекчавания за CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (стоп надолу)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартирайте устройството, за да влязат в сила промените.

По подразбиране защитата от потребител към ядро за CVE-2017-5715 е забранена за AMD процесори. Клиентите трябва да разрешат смекчаването, за да получат допълнителни защити за CVE-2017-5715.  За повече информация вижте ЧЗВ #15 в ADV180002.

Разрешаване на защита от потребител към ядро на AMD процесори, както и други защити за CVE 2017-5715 и защити за CVE-2018-3639 (спекулативно заобикаляне на магазина):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ако функцията Hyper-V е инсталирана, добавете следната настройка на системния регистър:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ако това е Hyper-V хост и актуализациите на фърмуера са приложени: Напълно изключете всички виртуални машини. Това позволява смекчаването, свързано с фърмуера, да се приложи на хоста, преди виртуалните машини да бъдат стартирани. Затова виртуални машини също се актуализират, когато се рестартират.

Рестартирайте устройството, за да влязат в сила промените.

За да разрешите предпазни мерки за разширения за синхронизация на транзакции на Intel (Intel TSX) уязвимост при асинхронно прекратяване на транзакции (CVE-2019-11135) и извадка за микроархитектурни данни ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) заедно със Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] варианти, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 и CVE-2022-21166), включително спекулативно заобикаляне на магазина (SSBD) [CVE-2018-3639 ], както и L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646] без забраняване на хипер-нишки:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ако функцията Hyper-V е инсталирана, добавете следната настройка на системния регистър:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ако това е Hyper-V хост и актуализациите на фърмуера са приложени: Напълно изключете всички виртуални машини. Това позволява смекчаването, свързано с фърмуера, да се приложи на хоста, преди виртуалните машини да бъдат стартирани. Затова виртуални машини също се актуализират, когато се рестартират.

Рестартирайте устройството, за да влязат в сила промените.

За да разрешите предпазни мерки за разширения на intel transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) заедно със Spectre [CVE-2017-5753 & CVE-2017-5715] и Meltdown [CVE-2017-5754] варианти, включително спекулативно заобикаляне на магазина (SSBD) [CVE-2018-3639] както и L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646] с Hyper-Threading забранени:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ако функцията Hyper-V е инсталирана, добавете следната настройка на системния регистър:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ако това е Hyper-V хост и актуализациите на фърмуера са приложени: Напълно изключете всички виртуални машини. Това позволява смекчаването, свързано с фърмуера, да се приложи на хоста, преди виртуалните машини да бъдат стартирани. Затова виртуални машини също се актуализират, когато се рестартират.

Рестартирайте устройството, за да влязат в сила промените.

За да забраните предпазни мерки за разширения за синхронизация на транзакции на Intel (Intel TSX) уязвимост при асинхронно прекратяване на транзакции (CVE-2019-11135) и извадка за микроархитектурни данни ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) заедно със Spectre [CVE-2017-5753 & CVE-2017-5715] и Meltdown [CVE-2017-5754] варианти, включително спекулативно заобикаляне на магазина (SSBD) [CVE-2018-3639] както и L1 Терминална грешка (L1TF) [CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартирайте устройството, за да влязат в сила промените.

За да разрешите смекчаването за CVE-2022-23825 на AMD процесори:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

За да бъдат напълно защитени, клиентите може също да трябва да забранят Hyper-Threading (известно още като едновременно много нишки (SMT)). Вижте KB4073757 за указания относно защитата на устройствата с Windows.

За да разрешите смекчаването за CVE-2023-20569 на AMD процесори:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

За да разрешите смекчаването за CVE-2022-0001 на процесори Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Разрешаване на няколко смекчавания

За да разрешите няколко смекчавания, трябва да добавите REG_DWORD стойност на всяко смекчаване заедно.

Например:

Смекчаване за уязвимост при асинхронно прекратяване на транзакция, извадка за микроархитектурни данни, Spectre, Meltdown, MMIO, спекулативно заобикаляне на store (SSBD) и L1 terminal fault (L1TF) с Hyper-Threading дезактивирани

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

NOTE 8264 (в десетично число) = 0x2048 (в hex)

За да разрешите BHI заедно с други съществуващи настройки, ще трябва да използвате побитово OR на текущата стойност с 8 388 608 (0x800000). 

0x800000 OR 0x2048(8264 след десетичния знак) и ще стане 8 396 872(0x802048). Същото с FeatureSettingsOverrideMask.

Смекчаване за CVE-2022-0001 на процесори Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Комбинирано смекчаване

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Смекчаване за уязвимост при асинхронно прекратяване на транзакция, извадка за микроархитектурни данни, Spectre, Meltdown, MMIO, спекулативно заобикаляне на store (SSBD) и L1 terminal fault (L1TF) с Hyper-Threading дезактивирани

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

Смекчаване за CVE-2022-0001 на процесори Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Комбинирано смекчаване

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Проверка дали защитите са разрешени

За да се уверим, че защитата е разрешена, публикувахме скрипт на PowerShell, който можете да изпълнявате на вашите устройства. Инсталирайте и изпълнете скрипта, като използвате един от следните методи.

Инсталиране на модула на PowerShell:

PS> Install-Module SpeculationControl

Изпълнете модула на PowerShell, за да проверите дали защитите са разрешени:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Инсталирайте модула на PowerShell от Technet ScriptCenter:

  1. Отидете на https://aka.ms/SpeculationControlPS .

  2. Изтеглете SpeculationControl.zip в локална папка.

  3. Извличане на съдържанието в локална папка. Например: C:\ADV180002

Изпълнете модула на PowerShell, за да проверите дали защитите са разрешени:

Стартирайте PowerShell и след това използвайте предишния пример, за да копирате и изпълните следните команди:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

За подробно обяснение на резултата от скрипта на PowerShell вижте KB4074629

Често задавани въпроси

За да се избегне нежеланото въздействие върху клиентските устройства, актуализациите на защитата на Windows, издадени през януари и февруари 2018 г., не се предлагат на всички клиенти. За подробности вж. KB407269 .

Микрокодът се доставя чрез актуализация на фърмуера. Консултирайте се с вашия OEM за версията на фърмуера, която има подходящата актуализация за вашия компютър.

Има множество променливи, които влияят върху производителността, вариращи от версията на системата до работните натоварвания, които се изпълняват. При някои системи ефектът на производителността ще бъде незначителен. За другите ще бъде значителен.

Препоръчваме ви да оцените ефекта върху производителността на вашите системи и да направите необходимите корекции.

В допълнение към указанията, които са в тази статия относно виртуалните машини, трябва да се свържете с вашия доставчик на услуги, за да се уверите, че хостовете, които работят с вашите виртуални машини, са подходящо защитени.За виртуални машини с Windows Server, които се изпълняват в Azure, вижте Указания за намаляване на уязвимостите в страничен канал при спекулативно изпълнение в Azure . За указания относно използването на azure Update Management за смекчаване на този проблем на гост виртуални машини вижте KB4077467.

Актуализациите, които са издадени за Windows Server контейнер изображения за Windows Server 2016 и Windows 10, версия 1709 включват предпазни мерки за този набор от уязвимости. Не се изисква допълнителна конфигурация.Забележка Все пак трябва да се уверите, че хостът, на който се изпълняват тези контейнери, е конфигуриран да разреши подходящи предпазни мерки.

Не, поръчката за инсталиране няма значение.

Да, трябва да рестартирате след актуализацията на фърмуера (микрокода) и след това отново след актуализацията на системата.

Ето подробностите за ключовете от системния регистър:

FeatureSettingsOverride представлява растерно изображение, което замества настройката по подразбиране и контролира кои смекчавания ще бъдат забранени. Бит 0 контролира смекчаването, което съответства на CVE-2017-5715. Бит 1 контролира смекчаването, което съответства на CVE-2017-5754. Битовете са настроени на 0 , за да разрешите смекчаването и 1 , за да забраните смекчаването.

FeatureSettingsOverrideMask представлява растерна маска, която се използва заедно с FeatureSettingsOverride.  В тази ситуация използваме стойността 3 (представена като 11 в двоичното число или числовата система с основа 2), за да посочим първите два бита, които съответстват на наличните смекчавания. Този ключ от системния регистър е настроен на 3 , за да разрешите или забраните предпазните мерки.

MinVmVersionForCpuBasedMitigations е за Hyper-V хостове. Този ключ от системния регистър определя минималната версия на VM, която е необходима, за да използвате актуализираните възможности на фърмуера (CVE-2017-5715). Настройте го на 1.0 , за да обхваща всички версии на виртуална машина. Обърнете внимание, че тази стойност в системния регистър ще бъде игнорирана (на доброкачествена основа) на хостове, които не са Hyper-V. За повече подробности вижте Защита на гост виртуални машини от CVE-2017-5715 (branch target injection).

Да, няма странични ефекти, ако тези настройки на системния регистър са приложени преди инсталирането на корекции, свързани с януари 2018 г.

Вижте подробно описание на резултата от скрипта на KB4074629: Understanding SpeculationControl Резултат от скрипт на PowerShell .

Да, за хостове на Windows Server 2016 Hyper-V, които все още нямат налична актуализация на фърмуера, публикувахме алтернативни указания, които могат да ви помогнат да смекчите VM за VM или VM за хост атаки. Вижте Алтернативни защити за хостове на Windows Server 2016 Hyper-V срещу уязвимостите в страничен канал при спекулативно изпълнение .

Актуализациите само на защитата не са кумулативни. В зависимост от версията на операционната система може да се наложи да инсталирате няколко актуализации на защитата за пълна защита. По принцип клиентите ще трябва да инсталират актуализациите от януари, февруари, март и април 2018 г. Системи, които имат AMD процесори, се нуждаят от допълнителна актуализация, както е показано в следващата таблица:

Версия на операционната система

Актуализация на защитата

Windows 8.1, Windows Server 2012 R2

KB4338815 – месечен сборен пакет за актуализация

KB4338824 – само за защита

Windows 7 SP1, Windows Server 2008 R2 SP1 или Windows Server 2008 R2 SP1 (инсталация на сървърно ядро)

KB4284826 – месечен сборен пакет за актуализация

KB4284867 – само защита

Windows Server 2008 SP2

KB4340583 – Актуализация на защитата

Препоръчваме ви да инсталирате актуализациите само за защита в реда на издаване.

Забележка: По-стара версия на тези ЧЗВ неправилно заяви, че актуализацията само за защитата от февруари включва корекции на защитата, които са издадени през януари. Всъщност не е така.

Не. Актуализацията на защитата KB4078130 беше конкретна корекция, за да предотврати непредсказуемо поведение на системата, проблеми с производителността и неочаквани рестартирания след инсталирането на микрокода. Прилагането на актуализациите на защитата на клиентски операционни системи На Windows позволява и трите смекчавания. В операционните системи Windows Server все още трябва да разрешите смекчаванията, след като направите правилното тестване. За повече информация вж. KB4072698.

Този проблем е разрешен в KB4093118.

През февруари 2018 г. Intel обяви , че са завършили своите проверки и са започнали да пускат микрокод за по-нови платформи на ЦП. Microsoft прави достъпни валидирани от Intel актуализации на микрокод, които се отнасят до Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 посочва конкретни статии за база знания по версия на Windows. Всяка конкретна статия от Базата знания съдържа наличните актуализации на микрокод на Intel от ЦП.

На 11 януари 2018  г. Intel съобщи за проблеми в наскоро издадения микрокод, който е предназначен за адресиране на Spectre вариант 2 (CVE-2017-5715 | Branch Target Injection). По-конкретно Intel отбеляза, че този микрокод може да доведе до "по-високи от очакваните рестартирания и друго непредсказуемо поведение на системата" и че тези сценарии може да причинят "загуба на данни или повреда.Нашият опит е, че нестабилността на системата може да доведе до загуба на данни или повреда при някои обстоятелства. На 22 януари Intel препоръча на клиентите да спрат да разполагат текущата версия на микрокода на засегнатите процесори, докато Intel извършва допълнително тестване на актуализираното решение. Разбираме, че Intel продължава да проучва потенциалния ефект на текущата версия на микрокода. Насърчаваме клиентите да преглеждат насоките си редовно, за да информират за решенията си.

Докато Intel тества, актуализира и разполага нов микрокод, ние предоставяме актуална (OOB) актуализация, KB4078130, която специално забранява само смекчаването на последствията срещу CVE-2017-5715. В нашите тестове е установено, че тази актуализация предотвратява описаното поведение. За пълния списък с устройства вижте указанията за редакция на микрокода от Intel. Тази актуализация се отнася за Windows 7 Service Pack 1 (SP1), Windows 8.1 и всички версии на Windows 10, както за клиенти, така и за сървъри. Ако работите със засегнато устройство, тази актуализация може да бъде приложена, като я изтеглите от уеб сайта Каталог на Microsoft Update. Прилагането на този полезен обем специално забранява само смекчаването срещу CVE-2017-5715.

Към момента няма известни отчети, които показват, че spectre variant 2 (CVE-2017-5715 | Branch Target Injection) се използва за атака на клиенти. Препоръчваме, когато е необходимо, потребителите на Windows да активират повторно смекчаването срещу CVE-2017-5715, когато Intel съобщи, че това непредсказуемо поведение на системата е отстранено за вашето устройство.

През февруари 2018 г. Intelобяви , че са завършили своите проверки и са започнали да пускат микрокод за по-нови платформи на ЦП. Microsoft прави достъпни валидирани от Intel актуализации на микрокод, които са свързани със Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 посочва конкретни статии за база знания по версия на Windows. Списъкът с KBs налични актуализации на микрокод на Intel от ЦП.

За повече информация вижте AMD защита Актуализации и AMD whitepaper: Architecture Guidelines around Indirect Branch Control. Те са достъпни от канала на фърмуера за OEM.

Предоставяме валидирани от Intel актуализации на микрокод, които се отнасят до Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). За да получат най-новите актуализации на микрокод на Intel чрез актуализиране на Windows, клиентите трябва да са инсталирали микрокод на Intel на устройства, работещи с операционна система Windows 10, преди да надстроят до актуализацията на Windows 10 април 2018 г. (версия 1803).

Актуализацията на микрокода също е налична директно от каталога на Microsoft Update, ако не е инсталирана на устройството преди надстройване на системата. Микрокодът на Intel е достъпен чрез актуализиране на Windows, Windows Server Update Services (WSUS) или каталога на Microsoft Update. За повече информация и инструкции за изтегляне вж. KB4100347.

Вижте разделите "Препоръчителни действия" и "ЧЗВ" на  ADV180012 | Указания на Microsoft за спекулативно заобикаляне на Магазина.

За да проверите състоянието на SSBD, скриптът Get-SpeculationControlSettings PowerShell е актуализиран, за да открие засегнатите процесори, състоянието на актуализациите на операционната система SSBD и състоянието на микрокода на процесора, ако е приложимо. За повече информация и за да получите скрипта на PowerShell, вижте KB4074629.

На 13 юни 2018 г. беше обявена и възложена на CVE-2018-3665 допълнителна уязвимост, която включва спекулативно изпълнение в страничен канал, известно като възстановяване на състоянието на Lazy FP. За информация относно тази уязвимост и препоръчаните действия вижте съвети за защитата ADV180016 | Указания на Microsoft за възстановяване на състоянието на Lazy FP .

Забележка Няма задължителни настройки за конфигурация (системен регистър) за възстановяване на FP на Lazy.

Заобикаляне на границите на магазина (BCBS) е разкрито на 10 юли 2018 г. и е присвоено CVE-2018-3693. Смятаме, че BCBS принадлежи към същия клас уязвимости като заобикаляне на проверката за граници (вариант 1). В момента не сме наясно с никакви екземпляри на BCBS в нашия софтуер. Продължаваме обаче да проучваме този клас уязвимост и ще работим с партньори от отрасъла, за да издаваме смекчавания на последствията при нужда. Насърчаваме изследователите да подадат всички съответни констатации на програмата за оценка на страничен канал за спекулативно изпълнение, включително всички използваеми екземпляри на BCBS. Разработчиците на софтуер трябва да прегледат насоките за разработчици, които са актуализирани за BCBS при C++ указания за разработчици за спекулативни странични канали за изпълнение 

На 14 август 2018 г., L1 Terminal Fault (L1TF) беше обявена и присвоена няколко CVEs. Тези нови уязвимости на страничните канали при спекулативно изпълнение могат да се използват за четене на съдържанието на паметта в надеждна граница и ако бъдат използвани, могат да доведат до разкриване на информация. Има няколко вектора, чрез които атакуващият може да задейства уязвимостите в зависимост от конфигурираната среда. L1TF засяга процесори Intel® Core® и процесори Intel® Xeon®.

За повече информация относно тази уязвимост и подробен преглед на засегнатите сценарии, включително подхода на Microsoft за намаляване на L1TF, вижте следните ресурси:

Стъпките за забраняване на Hyper-Threading се различават от OEM към OEM, но обикновено са част от BIOS или инструментите за настройка и конфигурация на фърмуера.

Клиентите, които използват 64-битови ARM процесори, трябва да се свържат с OEM устройството за поддръжка на фърмуера, тъй като защитите с ARM64 операционна система, които смекчават CVE-2017-5715 | Branch target injection (Spectre, Variant 2) изисква най-новата актуализация на фърмуера от OEM на устройството, за да влязат в сила.

За повече информация относно разрешаването на Retpoline вижте нашата публикация в блога: Предотвратяване на Spectre variant 2 с Retpoline в Windows .

За подробности относно тази уязвимост вижте Ръководството за защита на Microsoft: CVE-2019-1125 | Уязвимост при разкриване на информация за ядрото на Windows.

Не сме наясно за нито един екземпляр на тази уязвимост при разкриване на информация, засягаща инфраструктурата на нашите услуги в облака.

Веднага щом разберем за този проблем, работихме бързо, за да го разрешим и да издадем актуализация. Твърдо вярваме в тясното партньорство с изследователи и партньори от отрасъла, за да направим клиентите по-защитени и не публикувахме подробности до вторник, 6 август, в съответствие с координираните практики за разкриване на уязвимости.

Справочни материали

Продуктите на трети лица, които са упоменати в тази статия, се произвеждат от фирми, които са независими от Microsoft. Не предоставяме никаква подразбираща се или друга гаранция относно производителността или надеждността на тези продукти.

Предоставяме информация за връзка с трети лица, за да Ви помогнем да намерите техническа поддръжка. Тази информация за връзка може да се промени без предизвестие. Не гарантираме точността на тази информация за връзка с трети лица.

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.