Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Уязвимости

На 14 май 2019 г. Intel публикува информация за нов подклас уязвимости в страничен канал при спекулативно изпълнение, известни като Извадка за микроархитектурни данни. Тези уязвимости са адресирани в следните CVEs:

Важно: Тези проблеми ще засегнат други операционни системи, като например Android, Chrome, iOS и MacOS. Съветваме ви да потърсите указания от съответните доставчици.

Издадахме актуализации, за да помогнем за намаляването на тези уязвимости. За да получите всички налични защити, са необходими фърмуер (микрокод) и софтуерни актуализации. Това може да включва микрокод от OEM на устройството. В някои случаи инсталирането на тези актуализации ще окаже влияние върху производителността. Също така предприехме действия за защита на нашите услуги в облака. Настоятелно ви препоръчваме да разположите тези актуализации.

За повече информация относно този проблем вижте следните съвети за защитата и използвайте указания, базирани на сценарии, за да определите действията, необходими за намаляване на заплахата:

Забележка: Препоръчваме ви да инсталирате най-новите актуализации от актуализиране на Windows, преди да инсталирате актуализации на микрокод.

На 6 август 2019 г. Intel издаде подробности за уязвимост при разкриване на информация за ядрото на Windows. Тази уязвимост е вариант на уязвимостта в спекулативната уязвимост на страничните канали при изпълнение на Spectre Variant 1 и е присвоена CVE-2019-1125.

На 9 юли 2019 г. издадахме актуализации на защитата за операционната система Windows, за да облекчим този проблем. Моля, имайте предвид, че ние задържахме документирането на това смекчаване публично до координираното разкриване на информация в отрасъла във вторник, 6 август 2019 г.

Клиентите, които са актуализиране на Windows активирали и са приложили актуализациите на защитата, издадени на 9 юли 2019 г., са защитени автоматично. Не е необходима допълнителна конфигурация.

Забележка: Тази уязвимост не изисква актуализация на микрокод от производителя на вашето устройство (OEM).

За повече информация относно тази уязвимост и приложимите актуализации вж. Справочник за актуализации на защитата на Microsoft:

На 12 ноември 2019 г. Intel публикува техническа препоръка относно уязвимостта за асинхронно прекъсване на транзакциите на Intel TSX, която е присвоена на CVE-2019-11135. Издадихме актуализации за намаляване на тази уязвимост. По подразбиране защитите на ОС са разрешени за изданията на ОС на Windows Client.

На 14 юни 2022 г. публикувахме ADV220002 | Указания на Microsoft за уязвимости в остарели данни на процесор Intel MMIO. Уязвимости са присвоени в следните CVEs:

Препоръчани действия

Трябва да предприемете следните действия, за да защитите срещу тези уязвимости:

  1. Приложете всички налични актуализации на операционната система Windows, включително месечните актуализации на защитата на Windows.

  2. Приложете приложимата актуализация на фърмуера (микрокода), предоставена от производителя на устройството.

  3. Оценете риска за вашата среда въз основа на информацията, предоставена в "Съвети за защитата на Microsoft" ADV180002, ADV180012, ADV190013 и ADV220002,в допълнение към информацията, предоставена в тази статия.

  4. Предприемете необходимите действия, като използвате съветите и важната информация от системния регистър, които са предоставени в тази статия.

Забележка: Клиентите на Surface ще получат актуализация на микрокод чрез Windows Update. За списък с най-новите налични актуализации на фърмуера на устройството Surface (микрокод) вижте KB4073065.

На 12 юли 2022 г. публикувахме CVE-2022-23825 | Объркване на типа на ЦП на AMD, което описва, че псевдонимите в предсказването на клона могат да доведат до предсказване на грешен тип клон на определени AMD процесори. Този проблем може потенциално да доведе до разкриване на информация.

За да се защитите от тази уязвимост, препоръчваме да инсталирате актуализации на Windows, които са с дата до юли 2022 г., и след това да предприемете действия, както се изисква от CVE-2022-23825 и информация за ключ от системния регистър, предоставена в тази база знания статия.

За повече информация вижте бюлетина за защитата AMD-SB-1037 .

На 8 август 2023 г. публикувахме CVE-2023-20569 | AMD CPU Return Address Predictor (известен също като Изключение), който описва нова спекулативна атака в страничен канал, която може да доведе до спекулативно изпълнение на контролиран от хакер адрес. Този проблем засяга определени AMD процесори и може потенциално да доведе до разкриване на информация.

За да се защитите от тази уязвимост, ви препоръчваме да инсталирате актуализации на Windows, които са с дата или след август 2023 г., и след това да предприемете действия, както се изисква от CVE-2023-20569 и информация за ключ от системния регистър, предоставена в тази база знания статия.

За повече информация вижте бюлетина за защитата AMD-SB-7005 .

На 9 април 2024 г. публикувахме CVE-2022-0001 | Intel Branch History Injection , което описва branch History Injection (BHI), което е специфична форма на BTI в режим "интра режим". Тази уязвимост възниква, когато атакуващ може да манипулира хронологията на клона преди преминаване от потребител към режим на супервайзор (или от VMX режим, който не е корен/гост в коренен режим). Тази обработка може да доведе до избор на конкретен запис на прогнозиращ за непряк клон от предсказване, а притурка за разкриване при прогнозираната цел ще се изпълни временно. Това може да е възможно, тъй като съответната хронология на клона може да съдържа клонове, взети в предишни контексти на защитата, и по-специално други режими на прогнозиране.

Настройки за смекчаване за клиенти на Windows

Съветите за защитата (ADVs) и CVEs предоставят информация за риска, породен от тези уязвимости, и как те ви помагат да идентифицирате състоянието по подразбиране на смекчаванията за клиентските системи на Windows. Следващата таблица обобщава изискването за микрокод на ЦП и състоянието по подразбиране на смекчаванията на последствията на клиенти на Windows.

CVE

Изисква микрокод/фърмуер на ЦП?

Състояние по подразбиране на смекчаването

CVE-2017-5753

Не

Разрешено по подразбиране (няма опция за забраняване)

Вижте ADV180002 за допълнителна информация.

CVE-2017-5715

Да

Разрешено по подразбиране. Потребителите на системи, базирани на AMD процесори, трябва да виждат ЧЗВ #15 и потребителите на ARM процесори трябва да виждат ЧЗВ #20 на ADV180002 за допълнително действие и тази статия от БЗ за приложимите настройки на ключове от системния регистър.

Забележка По подразбиране Retpoline е разрешен за устройства, работещи с Windows 10, версия 1809 или по-нова, ако Spectre Variant 2 (CVE-2017-5715) е разрешен. За повече информация относно Retpoline следвайте указанията в Spectre variant 2 за смекчаване с Retpoline в блог публикацията в Windows.

CVE-2017-5754

Не

Разрешено по подразбиране

Вижте ADV180002 за допълнителна информация.

CVE-2018-3639

Intel: Да AMD: Не ARM: Да

Intel и AMD: Дезактивирани по подразбиране. Вижте ADV180012 за повече информация и тази статия от Базата знания за приложимите настройки на ключове от системния регистър.

ARM: Разрешено по подразбиране без опция за забраняване.

CVE-2019-11091

Intel: Да

Разрешено по подразбиране.

Вижте ADV190013 за повече информация и тази статия за приложимите настройки на ключове от системния регистър.

CVE-2018-12126

Intel: Да

Разрешено по подразбиране.

Вижте ADV190013 за повече информация и тази статия за приложимите настройки на ключове от системния регистър.

CVE-2018-12127

Intel: Да

Разрешено по подразбиране.

Вижте ADV190013 за повече информация и тази статия за приложимите настройки на ключове от системния регистър.

CVE-2018-12130

Intel: Да

Разрешено по подразбиране.

Вижте ADV190013 за повече информация и тази статия за приложимите настройки на ключове от системния регистър.

CVE-2019-11135

Intel: Да

Разрешено по подразбиране.

Вижте CVE-2019-11135 за повече информация и тази статия за приложимите настройки на ключ от системния регистър.

CVE-2022-21123 (част от MMIO ADV220002)

Intel: Да

Windows 10, версия 1809 и по-нови: Разрешено по подразбиране.  Windows 10, версия 1607 и по-стара: Забранена по подразбиране. 

Вижте CVE-2022-21123 за повече информация и тази статия за приложимите настройки на ключове от системния регистър.

CVE-2022-21125 (част от MMIO ADV220002)

Intel: Да

Windows 10, версия 1809 и по-нови: Разрешено по подразбиране.  Windows 10, версия 1607 и по-стара: Забранена по подразбиране. 

Вижте CVE-2022-21125 за повече информация.

CVE-2022-21127 (част от MMIO ADV220002)

Intel: Да

Windows 10, версия 1809 и по-нови: Разрешено по подразбиране.  Windows 10, версия 1607 и по-стара: Забранена по подразбиране. 

Вижте CVE-2022-21127 за повече информация.

CVE-2022-21166 (част от MMIO ADV220002)

Intel: Да

Windows 10, версия 1809 и по-нови: Разрешено по подразбиране.  Windows 10, версия 1607 и по-стара: Забранена по подразбиране. 

Вижте CVE-2022-21166 за повече информация.

CVE-2022-23825 (объркване на клон на ЦП на AMD)

AMD: Не

Вижте CVE-2022-23825 за повече информация и тази статия за приложимите настройки на ключове от системния регистър.

CVE-2023-20569 (AMD CPU Return Address Predictor)

AMD: Да

Вижте CVE-2023-20569 за повече информация и тази статия за приложимите настройки на ключове от системния регистър.

CVE-2022-0001

Intel: Не

Забранено по подразбиране.

Вижте CVE-2022-0001 за повече информация и тази статия за приложимите настройки на ключ от системния регистър.

Забележка: По подразбиране разрешаването на предпазни мерки, които са изключени, може да повлияе на производителността на устройството. Действителният ефект на производителността зависи от множество фактори, като например конкретния чипсет в устройството и работните натоварвания, които се изпълняват.

Настройки на системния регистър

Предоставяме следната информация в системния регистър, за да разрешим смекчавания, които не са разрешени по подразбиране, както е документирано в Съвети за защитата (ADVs) и CVEs. Освен това предоставяме настройки на ключа от системния регистър за потребителите, които искат да забранят предпазните мерки, когато е приложимо за клиенти на Windows.

Важно: Тази секция, метод или задача съдържа стъпки, които ви казват как да промените системния регистър. Ако обаче промените системния регистър неправилно, е възможно да възникнат сериозни проблеми. Затова следвайте тези стъпки внимателно. За допълнителна защита архивирайте системния регистър, преди да го промените. След това можете да възстановите системния регистър, ако възникне проблем. За повече информация как да архивирате и възстановите системния регистър, вижте следната статия в базата знания на Microsoft:322756 Как да архивирате и възстановите системния регистър в Windows

Важно: По подразбиране Retpoline е разрешен на Windows 10 устройства, версия 1809, ако Spectre, вариант 2 (CVE-2017-5715) е разрешен. Разрешаването на Retpoline в най-новата версия на Windows 10 може да подобри производителността на устройства, работещи с Windows 10, версия 1809 за Spectre variant 2, особено на по-стари процесори.

За да разрешите предпазни мерки по подразбиране за CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартирайте устройството, за да влязат в сила промените.

За да забраните предпазни мерки за CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартирайте устройството, за да влязат в сила промените.

Забележка: Стойността 3 е точна за FeatureSettingsOverrideMask както за настройките "разрешаване", така и за "забраняване". (Вижте раздела "ЧЗВ" за повече информация относно ключовете от системния регистър.)

За да забраните предпазни мерки за CVE-2017-5715 (Spectre Variant 2) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартирайте устройството, за да влязат в сила промените.

За да разрешите предпазни мерки по подразбиране за CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартирайте устройството, за да влязат в сила промените.

По подразбиране защитата от потребител към ядро за CVE-2017-5715 е забранена за AMD и ARM ЦП. Трябва да разрешите смекчаването, за да получите допълнителни защити за CVE-2017-5715. За повече информация вижте ЧЗВ #15 в ADV180002 за AMD процесори и ЧЗВ #20 в ADV180002 за ARM процесори.

Разрешаване на защита от потребител към ядро на AMD и ARM процесори заедно с други защити за CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартирайте устройството, за да влязат в сила промените.

За да разрешите предпазни мерки за CVE-2018-3639 (спекулативно заобикаляне на Store), предпазни мерки по подразбиране за CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (срив):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартирайте устройството, за да влязат в сила промените.

Бележка: AMD процесорите не са уязвими за CVE-2017-5754 (Meltdown). Този ключ от системния регистър се използва в системи с AMD процесори, за да се разрешат предпазни мерки по подразбиране за CVE-2017-5715 на AMD процесори и смекчаване на последствията за CVE-2018-3639.

За да забраните предпазни мерки за CVE-2018-3639 (спекулативно заобикаляне на Store) *и* предпазни мерки за CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартирайте устройството, за да влязат в сила промените.

По подразбиране защитата от потребител към ядро за CVE-2017-5715 е забранена за AMD процесори. Клиентите трябва да разрешат смекчаването, за да получат допълнителни защити за CVE-2017-5715.  За повече информация вижте ЧЗВ #15 в ADV180002.

Разрешаване на защитата от потребител към ядро на AMD процесори заедно с други защити за CVE 2017-5715 и защити за CVE-2018-3639 (спекулативно заобикаляне на магазина):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартирайте устройството, за да влязат в сила промените.

За да разрешите предпазни мерки за разширения на intel transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling (CVE-201)9-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) с варианти Spectre (CVE-2017-5753 & CVE-2017-5715) и Meltdown (CVE-2017-5754), включително спекулативно заобикаляне на магазина (SSBD) (CVE-2018-3639), както и L1 terminal fault (L1TF) (CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646) без забраняване на hyper-threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ако функцията Hyper-V е инсталирана, добавете следната настройка на системния регистър:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ако това е Hyper-V хост и актуализациите на фърмуера са приложени: Напълно изключете всички виртуални машини. Това позволява смекчаването, свързано с фърмуера, да се приложи на хоста, преди виртуалните машини да бъдат стартирани. Затова виртуални машини също се актуализират, когато се рестартират.

Рестартирайте устройството, за да влязат в сила промените.

To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) със забранен Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ако функцията Hyper-V е инсталирана, добавете следната настройка на системния регистър:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ако това е Hyper-V хост и актуализациите на фърмуера са приложени: Напълно изключете всички виртуални машини. Това позволява смекчаването, свързано с фърмуера, да се приложи на хоста, преди виртуалните машини да бъдат стартирани. Затова виртуални машини също се актуализират, когато се рестартират.

Рестартирайте устройството, за да влязат в сила промените.

To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and  Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартирайте устройството, за да влязат в сила промените.

За да разрешите смекчаването за CVE-2022-23825 на AMD процесори :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

За да бъдат напълно защитени, клиентите може също да трябва да забранят Hyper-Threading (известно още като едновременно много нишки (SMT)). Вижте KB4073757за указания относно защитата на устройствата с Windows. 

За да разрешите смекчаването за CVE-2023-20569 на AMD процесори:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

За да разрешите смекчаването за CVE-2022-0001 на процесори Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Разрешаване на няколко смекчавания

За да разрешите няколко смекчавания, трябва да добавите REG_DWORD стойност на всяко смекчаване заедно. 

Например:

Смекчаване за уязвимост при асинхронно прекратяване на транзакция, извадка за микроархитектурни данни, Spectre, Meltdown, MMIO, спекулативно заобикаляне на store (SSBD) и L1 terminal fault (L1TF) с Hyper-Threading дезактивирани

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

NOTE 8264 (в десетично число) = 0x2048 (в hex)

За да разрешите BHI заедно с други съществуващи настройки, ще трябва да използвате побитово OR на текущата стойност с 8 388 608 (0x800000). 

0x800000 OR 0x2048(8264 след десетичния знак) и ще стане 8 396 872 (0x802048). Същото с FeatureSettingsOverrideMask.

Смекчаване за CVE-2022-0001 на процесори Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Комбинирано смекчаване

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Смекчаване за уязвимост при асинхронно прекратяване на транзакция, извадка за микроархитектурни данни, Spectre, Meltdown, MMIO, спекулативно заобикаляне на store (SSBD) и L1 terminal fault (L1TF) с Hyper-Threading дезактивирани

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

Смекчаване за CVE-2022-0001 на процесори Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Комбинирано смекчаване

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Проверка дали защитите са разрешени

За да се уверим, че защитата е разрешена, публикувахме скрипт на PowerShell, който можете да изпълнявате на вашите устройства. Инсталирайте и изпълнете скрипта, като използвате един от следните методи.

Инсталиране на модула на PowerShell:

PS> Install-Module Спекулативна контрола

Изпълнете модула на PowerShell, за да проверите дали защитите са разрешени:

PS> # Запишете текущото правило за изпълнение, така че да може да бъде нулирано

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned – текущ потребител на обхват

PS> Import-Module Спекулативна контрола

PS> Get-SpeculationControlSettings

PS> # Нулиране на правилата за изпълнение до първоначалното състояние

PS> Set-ExecutionPolicy $SaveExecutionPolicy – текущ потребител на обхвата

Инсталирайте модула на PowerShell от Technet ScriptCenter:

Отидете в https://aka.ms/SpeculationControlPS

Изтеглете SpeculationControl.zip в локална папка.

Извличане на съдържанието в локална папка, например C:\ADV180002

Изпълнете модула на PowerShell, за да проверите дали защитите са разрешени:

Стартирайте PowerShell и след това (като използвате предишния пример) копирайте и изпълнете следните команди:

PS> # Запишете текущото правило за изпълнение, така че да може да бъде нулирано

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned – текущ потребител на обхват

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Нулиране на правилата за изпълнение до първоначалното състояние

PS> Set-ExecutionPolicy $SaveExecutionPolicy – текущ потребител на обхвата

За подробно обяснение на резултата от скрипта на PowerShell вижте KB4074629.

Често задавани въпроси

Микрокодът се доставя чрез актуализация на фърмуера. Трябва да се консултирате с вашия ЦП (чипсет) и производителите на устройства за наличността на приложимите актуализации на защитата на фърмуера за тяхното конкретно устройство, включително указания за редакция на микрокод на Intels.

Разрешаването на уязвимост на хардуера чрез актуализация на софтуера създава значителни предизвикателства. Също така смекчаванията за по-стари операционни системи изискват значителни архитектурни промени. Работим със засегнатите производители на чипове, за да определим най-добрия начин за предоставяне на смекчавания на последствията, които могат да бъдат доставени в бъдещи актуализации.

Актуализации за устройства Microsoft Surface ще бъдат доставени на клиентите чрез актуализиране на Windows заедно с актуализациите за операционната система Windows. За списък с наличните актуализации на фърмуера на устройството Surface (микрокод) вижте KB4073065.

Ако вашето устройство не е от Microsoft, приложете фърмуера от производителя на устройството. За повече информация се свържете с производителя на OEM устройството.

През февруари и март 2018 г. Microsoft пусна допълнителна защита за някои системи, базирани на x86. За повече информация вижте KB4073757 и ADV180002 microsoft Security Advisory.

Актуализации да Windows 10 за HoloLens са налични за клиенти на HoloLens чрез актуализиране на Windows.

След като приложат актуализацията на Защита в Windows февруари 2018 г., клиентите на HoloLens не трябва да предприемат никакви допълнителни действия, за да актуализират фърмуера на устройството си. Тези смекчавания също ще бъдат включени във всички бъдещи издания на Windows 10 за HoloLens.

Не. Актуализациите само на защитата не са кумулативни. В зависимост от версията на операционната система, която използвате, ще трябва да инсталирате всяка месечна актуализация само на защитата, за да бъдете защитени срещу тези уязвимости. Например, ако работите с Windows 7 за 32-битови системи на засегнат процесор Intel, трябва да инсталирате всички актуализации само за защита. Препоръчваме да инсталирате тези актуализации само за защита в реда на издаване.

Забележка По-стара версия на тези ЧЗВ неправилно заяви, че актуализацията само за защитата от февруари включва корекциите на защитата, издадени през януари. Всъщност не е така.

Не. Актуализацията на защитата 4078130 беше конкретна корекция, за да предотврати непредсказуемо поведение на системата, проблеми с производителността и/или неочаквани рестартирания след инсталирането на микрокода. Прилагането на актуализациите на защитата от февруари на клиентски операционни системи на Windows позволява и трите смекчавания.

Intel наскоро обяви, че са завършили своите проверки и са започнали да пускат микрокод за по-нови платформи на процесора. Microsoft прави достъпни валидирани от Intel актуализации на микрокод около Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 изброява конкретни статии от базата знания по версия на Windows. Всяка конкретна KB съдържа налични актуализации на микрокод на Intel от ЦП.

Този проблем е разрешен в KB4093118.

AMD наскоро обяви, че са започнали да пускат микрокод за по-нови платформи на ЦП около Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). За повече информация вижте amd security Актуализации и AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Те са достъпни от канала на фърмуера за OEM.

Предоставяме валидирани от Intel актуализации на микрокод около Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection "). За да получат най-новите актуализации на микрокод на Intel чрез актуализиране на Windows, клиентите трябва да са инсталирали микрокод на Intel на устройства, работещи с операционна система Windows 10, преди да надстроят до актуализацията на Windows 10 април 2018 г. (версия 1803).

Актуализацията на микрокод е също така налична директно от каталога, ако не е инсталирана на устройството преди надстройването на операционната система. Микрокодът на Intel е достъпен чрез актуализиране на Windows, WSUS или каталога на Microsoft Update. За повече информация и инструкции за изтегляне вж. KB4100347.

За подробности вижте разделите "Препоръчителни действия" и "ЧЗВ" в ADV180012 | Указания на Microsoft за спекулативно заобикаляне на Магазина.

За да проверите състоянието на SSBD, скриптът на Get-SpeculationControlSettings PowerShell е актуализиран, за да открие засегнатите процесори, състоянието на актуализациите на SSBD операционната система и състоянието на микрокода на процесора, ако е приложимо. За повече информация и за да получите скрипта на PowerShell, вижте KB4074629.

На 13 юни 2018 г. беше обявена и възложена на CVE-2018-3665 допълнителна уязвимост, включваща спекулативно изпълнение в страничен канал, известна като възстановяване на състоянието на Lazy FP. Не са необходими настройки за конфигуриране (системен регистър) за възстановяване на FP на Lazy.

За повече информация относно тази уязвимост и за препоръчителни действия вижте съвети за защитата ADV180016 | Указания на Microsoft за възстановяване на състоянието на Lazy FP.

Забележка: Не са необходими настройки за конфигуриране (системен регистър) за възстановяване на FP на Lazy.

Заобикаляне на границите на магазина (BCBS) е разкрито на 10 юли 2018 г. и е присвоено CVE-2018-3693. Смятаме, че BCBS принадлежи към същия клас уязвимости като заобикаляне на проверката за граници (вариант 1). В момента не сме наясно с никакви екземпляри на BCBS в нашия софтуер, но продължаваме да проучваме този клас на уязвимост и ще работим с партньори от отрасъла, за да издаваме смекчавания на последствията, както е необходимо. Продължаваме да насърчаваме изследователите да представят каквито и да било съответни констатации в програмата за оценка на страничен канал за спекулативно изпълнение, включително всички използваеми екземпляри на БКБН. Разработчиците на софтуер трябва да прегледат насоките за разработчици, които са актуализирани за BCBS, на https://aka.ms/sescdevguide.

На 14 август 2018 г., L1 Terminal Fault (L1TF) беше обявена и присвоена няколко CVEs. Тези нови уязвимости в страничен канал при спекулативно изпълнение могат да се използват за четене на съдържанието на паметта в надеждна граница и ако бъдат използвани, могат да доведат до разкриване на информация. Хакер може да задейства уязвимости чрез няколко вектора, в зависимост от конфигурираната среда. L1TF засяга процесори Intel® Core® и процесори Intel® Xeon®.

За повече информация относно тази уязвимост и подробен преглед на засегнатите сценарии, включително подхода на Microsoft за намаляване на L1TF, вижте следните ресурси:

Клиентите, които използват 64-битови ARM процесори, трябва да проверят при OEM устройството за поддръжка на фърмуера, тъй като защитите на ARM64 операционната система, които смекчават CVE-2017-5715 | Branch target injection (Spectre, Variant 2) изисква най-новата актуализация на фърмуера от OEM на устройството, за да влязат в сила.

За повече информация относно разрешаването на Retpoline вижте нашата публикация в блога: Предотвратяване на Spectre variant 2 с Retpoline в Windows

За подробности относно тази уязвимост вижте Ръководството за защита на Microsoft: CVE-2019-1125 | Уязвимост при разкриване на информация за ядрото на Windows.

Не сме наясно за нито един екземпляр на тази уязвимост при разкриване на информация, засягаща инфраструктурата на нашите услуги в облака.

Веднага щом разберем за този проблем, работихме бързо, за да го разрешим и да издадем актуализация. Твърдо вярваме в тясното партньорство с изследователи и партньори от отрасъла, за да направим клиентите по-защитени и не публикувахме подробности до вторник, 6 август, в съответствие с координираните практики за разкриване на уязвимости.

Справочни материали

Предоставяме информация за връзка с трети лица, за да Ви помогнем да намерите техническа поддръжка. Тази информация за връзка може да се промени без предизвестие. Не гарантираме точността на тази информация за връзка с трети лица.

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.