Αλλαγή ημερομηνίας |
Αποδοκιμασμός της αλλαγής |
---|---|
20 Απριλίου 2023 |
|
8 Αυγούστου 2023 |
|
9 Αυγούστου 2023 |
|
9 Απριλίου 2024 |
|
16 Απριλίου 2024 |
|
Σύνοψη
Αυτό το άρθρο παρέχει οδηγίες για μια νέα κατηγορία ευπάθειας μικροαρχιτιστικών και υποθετικών εκτελέσεων πλευρικού καναλιού που επηρεάζουν πολλούς σύγχρονους επεξεργαστές και λειτουργικά συστήματα. Σε αυτά περιλαμβάνονται οι Intel, AMD και ARM. Συγκεκριμένες λεπτομέρειες για αυτές τις ευπάθειες που βασίζονται στο silicon μπορείτε να βρείτε στα ακόλουθα ADV (Προειδοποιήσεις ασφαλείας) και CVEs (Κοινές ευπάθειες και εκθέσεις):
-
ADV180002 | Οδηγίες για τον μετριασμό των ευπαθειών υποθετικής εκτέλεσης πλευρικού καναλιού
-
ADV180012 | Οδηγίες της Microsoft για την υποθετική παράκαμψη του Store
-
ADV180013 | Microsoft Guidance for Rogue System Register Read
-
ADV180018 | Οδηγίες της Microsoft για τον μετριασμό της παραλλαγής L1TF
-
ADV190013 | Οδηγίες της Microsoft για τον μετριασμό των ευπαθειών microarchitectural Data Sampling
-
ADV220002 | Οδηγίες της Microsoft για μη ενημερωμένες ευπάθειες δεδομένων Intel Processor MMIO
Σημαντικό: Αυτά τα προβλήματα επηρεάζουν επίσης άλλα λειτουργικά συστήματα, όπως Android, Chrome, iOS και MacOS. Συμβουλεύουμε τους πελάτες να ζητήσουν οδηγίες από αυτούς τους προμηθευτές.
Έχουμε κυκλοφορήσει αρκετές ενημερώσεις που θα σας βοηθήσουν να μετριάσετε αυτές τις ευπάθειες. Έχουμε επίσης λάβει μέτρα για να εξασφαλίσουμε τις υπηρεσίες cloud. Ανατρέξτε στις παρακάτω ενότητες για περισσότερες λεπτομέρειες.
Δεν έχουμε λάβει ακόμη πληροφορίες που να υποδεικνύουν ότι αυτές οι ευπάθειες χρησιμοποιήθηκαν για επίθεση σε πελάτες. Συνεργαζόμαστε στενά με συνεργάτες του κλάδου, συμπεριλαμβανομένων κατασκευαστών chip, OEM υλικού και προμηθευτών εφαρμογών για την προστασία των πελατών. Για να λάβετε όλα τα διαθέσιμα μέτρα προστασίας, απαιτούνται ενημερώσεις υλικολογισμικού (μικροκώδικας) και λογισμικού. Αυτό περιλαμβάνει μικροκώδικα από OEM συσκευής και, σε ορισμένες περιπτώσεις, ενημερώσεις λογισμικού προστασίας από ιούς.
Θέματα ευπάθειας
Αυτό το άρθρο αντιμετωπίζει τις ακόλουθες ευπάθειες υποθετικής εκτέλεσης:
Windows Update θα παρέχει επίσης μετριασμούς για τον Internet Explorer και τον Edge. Θα συνεχίσουμε να βελτιώνουμε αυτούς τους μετριασμούς έναντι αυτής της κατηγορίας ευπαθειών.
Για να μάθετε περισσότερα σχετικά με αυτήν την κατηγορία ευπαθειών, ανατρέξτε στο θέμα
Στις 14 Μαΐου 2019, η Intel δημοσίευσε πληροφορίες σχετικά με μια νέα υποκατηγορία ευπαθειών υποθετικής εκτέλεσης πλευρικού καναλιού, γνωστή ως Microarchitectural Data Sampling και τεκμηριωμένη στο ADV190013 | Μικροαρχική δειγματοληψία δεδομένων. Έχουν λάβει τα ακόλουθα CVE:
-
CVE-2019-11091 | Microarchitectural Data Sampling unacheable Memory (MDSUM)
-
CVE-2018-12126 | Μικροαρχική δειγματοληψία δεδομένων buffer αποθήκευσης (MSBDS)
-
CVE-2018-12127 | Δειγματοληψία δεδομένων buffer μικροαρχικής συμπλήρωσης (MFBDS)
-
CVE-2018-12130 | Μικροαρχιτική δειγματοληψία δεδομένων θύρας φόρτωσης (MLPDS)
Σημαντικό: Αυτά τα προβλήματα θα επηρεάσουν άλλα συστήματα, όπως Android, Chrome, iOS και MacOS. Συμβουλεύουμε τους πελάτες να ζητήσουν οδηγίες από αυτούς τους προμηθευτές.
Η Microsoft έχει κυκλοφορήσει ενημερώσεις που θα σας βοηθήσουν να μετριάσετε αυτές τις ευπάθειες. Για να λάβετε όλα τα διαθέσιμα μέτρα προστασίας, απαιτούνται ενημερώσεις υλικολογισμικού (μικροκώδικας) και λογισμικού. Αυτό μπορεί να περιλαμβάνει μικροκώδικα από OEM συσκευής. Σε ορισμένες περιπτώσεις, η εγκατάσταση αυτών των ενημερώσεων θα έχει αντίκτυπο στις επιδόσεις. Έχουμε επίσης ενεργήσει για να εξασφαλίσουμε τις υπηρεσίες cloud. Συνιστάται ιδιαίτερα η ανάπτυξη αυτών των ενημερώσεων.
Για περισσότερες πληροφορίες σχετικά με αυτό το πρόβλημα, ανατρέξτε στο ακόλουθο Συμβουλευτικό δελτίο ασφαλείας και χρησιμοποιήστε οδηγίες βάσει σεναρίων για να προσδιορίσετε τις ενέργειες που είναι απαραίτητες για τον μετριασμό της απειλής:
-
ADV190013 | Οδηγίες της Microsoft για τον μετριασμό των ευπαθειών microarchitectural Data Sampling
-
Οδηγίες των Windows για προστασία από ευπάθειες υποθετικής εκτέλεσης πλευρικού καναλιού
Σημείωση: Συνιστάται να εγκαθιστάτε όλες τις πιο πρόσφατες ενημερώσεις από Windows Update πριν από την εγκατάσταση ενημερώσεων μικροκώδικα.
Στις 6 Αυγούστου 2019, η Intel δημοσίευσε λεπτομέρειες σχετικά με μια ευπάθεια αποκάλυψης πληροφοριών πυρήνα των Windows. Αυτή η ευπάθεια είναι μια παραλλαγή της ευπάθειας Ευπάθεια υποθετικής εκτέλεσης πλευρικού καναλιού Spectre, Variant 1 και έχει αντιστοιχιστεί στο CVE-2019-1125.
Στις 9 Ιουλίου 2019, κυκλοφορήσαμε ενημερώσεις ασφαλείας για το λειτουργικό σύστημα Windows, για να μετριάσουμε αυτό το πρόβλημα. Λάβετε υπόψη ότι καθυστερήσαμε την τεκμηρίωση αυτού του μετριασμού δημοσίως μέχρι τη συντονισμένη αποκάλυψη του κλάδου την Τρίτη 6 Αυγούστου 2019.
Οι πελάτες που έχουν Windows Update ενεργοποιημένες και έχουν εφαρμόσει τις ενημερώσεις ασφαλείας που κυκλοφόρησαν στις 9 Ιουλίου 2019 προστατεύονται αυτόματα. Δεν απαιτείται περαιτέρω ρύθμιση παραμέτρων.
Σημείωση: Αυτή η ευπάθεια δεν απαιτεί ενημέρωση μικροκώδικα από τον κατασκευαστή της συσκευής σας (OEM).
Για περισσότερες πληροφορίες σχετικά με αυτή την ευπάθεια και τις κατάλληλες ενημερώσεις, ανατρέξτε στον Οδηγό ενημερώσεων ασφαλείας της Microsoft:
Στις 12 Νοεμβρίου 2019, η Intel δημοσίευσε ένα τεχνικό συμβουλευτικό δελτίο σχετικά με την ευπάθεια Intel® Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort στην οποία έχει εκχωρηθεί η ευπάθεια CVE-2019-11135. Η Microsoft έχει κυκλοφορήσει ενημερώσεις που συμβάλλουν στον μετριασμό αυτής της ευπάθειας και τα μέτρα προστασίας λειτουργικού συστήματος είναι ενεργοποιημένα από προεπιλογή για τον Windows Server 2019, αλλά είναι απενεργοποιημένα από προεπιλογή για τον Windows Server 2016 και παλαιότερες εκδόσεις λειτουργικού συστήματος Windows Server.
Στις 14 Ιουνίου 2022, δημοσιεύσαμε ADV220002 | Οδηγίες της Microsoft για μη ενημερωμένες ευπάθειες δεδομένων Intel Processor MMIO και έχει αντιστοιχίσει τα εξής CVE:
-
CVE-2022-21123 | Ανάγνωση κοινόχρηστων δεδομένων buffer (SBDR)
-
CVE-2022-21125 | Δειγματοληψία κοινόχρηστων δεδομένων buffer (SBDS)
-
CVE-2022-21127 | Ενημέρωση δειγματοληψίας buffer ειδικών καταχωρήσεων (ενημέρωση SRBDS)
-
CVE-2022-21166 | Καταχώρηση μερικής εγγραφής συσκευής (DRPW)
Προτεινόμενες ενέργειες
Θα πρέπει να κάνετε τις ακόλουθες ενέργειες για να συμβάλετε στην προστασία από τις ευπάθειες:
-
Εφαρμόστε όλες τις διαθέσιμες ενημερώσεις του λειτουργικού συστήματος Windows, συμπεριλαμβανομένων των μηνιαίων ενημερώσεων ασφαλείας των Windows.
-
Εφαρμόστε την κατάλληλη ενημέρωση υλικολογισμικού (μικροκώδικα) που παρέχεται από τον κατασκευαστή της συσκευής.
-
Αξιολογήστε τον κίνδυνο για το περιβάλλον σας με βάση τις πληροφορίες που παρέχονται στις Προειδοποιήσεις ασφαλείας της Microsoft: ADV180002, ADV180012, ADV190013 και ADV220002, καθώς και τις πληροφορίες που παρέχονται σε αυτό το άρθρο γνωσιακή βάση.
-
Αναλάβετε δράση όπως απαιτείται, χρησιμοποιώντας τις προειδοποιήσεις και τις πληροφορίες κλειδιού μητρώου που παρέχονται σε αυτό το άρθρο γνωσιακή βάση.
Σημείωση: Οι πελάτες Surface θα λάβουν μια ενημέρωση μικροκώδικα μέσω Windows Update. Για μια λίστα με τις πιο πρόσφατες ενημερώσεις υλικολογισμικού (μικροκώδικα) συσκευής Surface, ανατρέξτε στο θέμα KB4073065.
Στις 12 Ιουλίου 2022, δημοσιεύσαμε το CVE-2022-23825 | Η σύγχυση τύπων κλάδου CPU της AMD , η οποία περιγράφει ότι τα ψευδώνυμα στον προγνωστικό κλάδου μπορεί να προκαλέσουν την πρόβλεψη εσφαλμένου τύπου κλάδου από ορισμένους επεξεργαστές AMD. Αυτό το ζήτημα μπορεί ενδεχομένως να οδηγήσει σε αποκάλυψη πληροφοριών.
Για να συμβάλετε στην προστασία από αυτή την ευπάθεια, συνιστάται να εγκαταστήσετε ενημερώσεις των Windows με ημερομηνία ή μετά τον Ιούλιο του 2022 και, στη συνέχεια, να λάβετε μέτρα όπως απαιτείται από το CVE-2022-23825 και τις πληροφορίες κλειδιού μητρώου που παρέχονται σε αυτό το άρθρο γνωσιακή βάση.
Για περισσότερες πληροφορίες, ανατρέξτε στο δελτίο ασφαλείας AMD-SB-1037 .
Στις 8 Αυγούστου 2023, δημοσιεύσαμε το CVE-2023-20569 | Return Address Predictor (γνωστό και ως Inception) που περιγράφει μια νέα υποθετική επίθεση πλευρικού καναλιού που μπορεί να οδηγήσει σε υποθετική εκτέλεση σε μια διεύθυνση που ελέγχεται από εισβολείς. Αυτό το πρόβλημα επηρεάζει ορισμένους επεξεργαστές AMD και ενδέχεται να οδηγήσει σε αποκάλυψη πληροφοριών.
Για να προστατευτείτε από αυτή την ευπάθεια, συνιστάται να εγκαταστήσετε ενημερώσεις των Windows που έχουν ημερομηνία ή μετά τον Αύγουστο του 2023 και, στη συνέχεια, να λάβετε μέτρα όπως απαιτείται από το CVE-2023-20569 και τις πληροφορίες κλειδιού μητρώου που παρέχονται σε αυτό το άρθρο γνωσιακή βάση.
Για περισσότερες πληροφορίες, ανατρέξτε στο δελτίο ασφαλείας AMD-SB-7005 .
Στις 9 Απριλίου 2024 δημοσιεύσαμε το CVE-2022-0001 | Intel Branch History Injection που περιγράφει το Branch History Injection (BHI) που είναι μια συγκεκριμένη μορφή ενδο-λειτουργίας BTI. Αυτή η ευπάθεια παρουσιάζεται όταν ένας εισβολέας μπορεί να χειριστεί το ιστορικό διακλάδωσης πριν από τη μετάβαση από τη λειτουργία χρήστη σε λειτουργία εποπτείας (ή από τη λειτουργία VMX που δεν είναι ριζική/guest σε λειτουργία ρίζας). Αυτός ο χειρισμός θα μπορούσε να προκαλέσει την επιλογή μιας συγκεκριμένης πρόβλεψης πρόβλεψης για έναν έμμεσο κλάδο από έναν έμμεσο κλάδο, ενώ μια μικροεφαρμογή γνωστοποίησης στον προβλεπόμενο στόχο θα εκτελείται παροδικά. Αυτό μπορεί να είναι δυνατό, επειδή το σχετικό ιστορικό κλάδων μπορεί να περιέχει κλάδους που έχουν ληφθεί σε προηγούμενα περιβάλλοντα ασφαλείας, και ειδικότερα άλλες λειτουργίες πρόβλεψης.
Ρυθμίσεις μετριασμού για Windows Server και Azure Stack HCI
Προειδοποιήσεις ασφαλείας (ADV) και CVEs παρέχουν πληροφορίες σχετικά με τον κίνδυνο που θέτουν αυτές οι ευπάθειες. Σας βοηθούν επίσης να εντοπίσετε τις ευπάθειες και να προσδιορίσετε την προεπιλεγμένη κατάσταση μετριασμάτων για συστήματα Windows Server. Ο παρακάτω πίνακας συνοψίζει την απαίτηση του μικροκώδικα της CPU και την προεπιλεγμένη κατάσταση των μετριασμάτων στον Windows Server.
CVE |
Απαιτεί μικροκώδικα/υλικολογισμικό CPU; |
Προεπιλεγμένη κατάσταση μετριασμού |
---|---|---|
Όχι |
Ενεργοποιήθηκε από προεπιλογή (δεν υπάρχει επιλογή απενεργοποίησης) Ανατρέξτε στο ADV180002 για πρόσθετες πληροφορίες |
|
Ναι |
Απενεργοποιημένο από προεπιλογή. Ανατρέξτε στο ADV180002 για πρόσθετες πληροφορίες και σε αυτό το άρθρο της Γνωσιακής βάσης για τις ισχύουσες ρυθμίσεις κλειδιών μητρώου. Σημείωση Η "Retpoline" είναι ενεργοποιημένη από προεπιλογή για συσκευές που εκτελούν Windows 10, έκδοση 1809 και νεότερες εκδόσεις, αν είναι ενεργοποιημένο το Spectre Variant 2 (CVE-2017-5715). Για περισσότερες πληροφορίες σχετικά με το "Retpoline", ακολουθήστε την επιλογή Mitigating Spectre variant 2 with Retpoline στη δημοσίευση ιστολογίου των Windows. |
|
Όχι |
Windows Server 2019, Windows Server 2022 και Azure Stack HCI: Ενεργοποιημένο από προεπιλογή. Windows Server 2016 και παλαιότερες εκδόσεις: Απενεργοποιημένο από προεπιλογή.Ανατρέξτε στο ADV180002 για πρόσθετες πληροφορίες. |
|
Intel: Ναι AMD: Όχι |
Απενεργοποιημένο από προεπιλογή. Ανατρέξτε στην ADV180012 για περισσότερες πληροφορίες και σε αυτό το άρθρο για τις ρυθμίσεις των κατάλληλων κλειδιών μητρώου. |
|
Intel: Ναι |
Windows Server 2019, Windows Server 2022 και Azure Stack HCI: Ενεργοποιημένο από προεπιλογή. Windows Server 2016 και παλαιότερες εκδόσεις: Απενεργοποιημένο από προεπιλογή.Ανατρέξτε ADV190013 για περισσότερες πληροφορίες και σε αυτό το άρθρο για τις ρυθμίσεις των κατάλληλων κλειδιών μητρώου. |
|
Intel: Ναι |
Windows Server 2019, Windows Server 2022 και Azure Stack HCI: Ενεργοποιημένο από προεπιλογή. Windows Server 2016 και παλαιότερες εκδόσεις: Απενεργοποιημένο από προεπιλογή.Ανατρέξτε ADV190013 για περισσότερες πληροφορίες και σε αυτό το άρθρο για τις ρυθμίσεις των κατάλληλων κλειδιών μητρώου. |
|
Intel: Ναι |
Windows Server 2019, Windows Server 2022 και Azure Stack HCI: Ενεργοποιημένο από προεπιλογή. Windows Server 2016 και παλαιότερες εκδόσεις: Απενεργοποιημένο από προεπιλογή.Ανατρέξτε ADV190013 για περισσότερες πληροφορίες και σε αυτό το άρθρο για τις ρυθμίσεις των κατάλληλων κλειδιών μητρώου. |
|
Intel: Ναι |
Windows Server 2019, Windows Server 2022 και Azure Stack HCI: Ενεργοποιημένο από προεπιλογή. Windows Server 2016 και παλαιότερες εκδόσεις: Απενεργοποιημένο από προεπιλογή.Ανατρέξτε ADV190013 για περισσότερες πληροφορίες και σε αυτό το άρθρο για τις ρυθμίσεις των κατάλληλων κλειδιών μητρώου. |
|
Intel: Ναι |
Windows Server 2019, Windows Server 2022 και Azure Stack HCI: Ενεργοποιημένο από προεπιλογή. Windows Server 2016 και παλαιότερες εκδόσεις: Απενεργοποιημένο από προεπιλογή.Ανατρέξτε στο CVE-2019-11135 για περισσότερες πληροφορίες και σε αυτό το άρθρο για τις κατάλληλες ρυθμίσεις κλειδιών μητρώου. |
|
CVE-2022-21123 (μέρος του ADV220002 MMIO) |
Intel: Ναι |
Windows Server 2019, Windows Server 2022 και Azure Stack HCI: Ενεργοποιημένο από προεπιλογή. Windows Server 2016 και παλαιότερες εκδόσεις: Απενεργοποιημένο από προεπιλογή.*Ανατρέξτε στο CVE-2022-21123 για περισσότερες πληροφορίες και σε αυτό το άρθρο για τις κατάλληλες ρυθμίσεις κλειδιών μητρώου. |
CVE-2022-21125 (μέρος του ADV220002 MMIO) |
Intel: Ναι |
Windows Server 2019, Windows Server 2022 και Azure Stack HCI: Ενεργοποιημένο από προεπιλογή. Windows Server 2016 και παλαιότερες εκδόσεις: Απενεργοποιημένο από προεπιλογή.*Ανατρέξτε στο CVE-2022-21125 για περισσότερες πληροφορίες και σε αυτό το άρθρο για τις κατάλληλες ρυθμίσεις κλειδιών μητρώου. |
CVE-2022-21127 (μέρος του ADV220002 MMIO) |
Intel: Ναι |
Windows Server 2019, Windows Server 2022 και Azure Stack HCI: Ενεργοποιημένο από προεπιλογή. Windows Server 2016 και παλαιότερες εκδόσεις: Απενεργοποιημένο από προεπιλογή.*Ανατρέξτε στο CVE-2022-21127 για περισσότερες πληροφορίες και σε αυτό το άρθρο για τις κατάλληλες ρυθμίσεις κλειδιών μητρώου. |
CVE-2022-21166 (μέρος του MMIO ADV220002) |
Intel: Ναι |
Windows Server 2019, Windows Server 2022 και Azure Stack HCI: Ενεργοποιημένο από προεπιλογή. Windows Server 2016 και παλαιότερες εκδόσεις: Απενεργοποιημένο από προεπιλογή.*Ανατρέξτε στο CVE-2022-21166 για περισσότερες πληροφορίες και σε αυτό το άρθρο για τις κατάλληλες ρυθμίσεις κλειδιών μητρώου. |
CVE-2022-23825 (Σύγχυση τύπου κλάδου CPU AMD) |
AMD: Όχι |
Ανατρέξτε στο CVE-2022-23825 για περισσότερες πληροφορίες και σε αυτό το άρθρο για τις κατάλληλες ρυθμίσεις κλειδιών μητρώου. |
CVE-2023-20569 (Πρόβλεψη διεύθυνσης αποστολέα CPU AMD) |
AMD: Ναι |
Ανατρέξτε στο CVE-2023-20569 για περισσότερες πληροφορίες και σε αυτό το άρθρο για τις κατάλληλες ρυθμίσεις κλειδιών μητρώου. |
Intel: Όχι |
Απενεργοποιημένο από προεπιλογή Ανατρέξτε στο CVE-2022-0001 για περισσότερες πληροφορίες και σε αυτό το άρθρο για τις ισχύουσες ρυθμίσεις κλειδιών μητρώου. |
* Ακολουθήστε τις οδηγίες μετριασμού για το Meltdown παρακάτω.
Εάν θέλετε να λάβετε όλα τα διαθέσιμα μέτρα προστασίας από αυτές τις ευπάθειες, πρέπει να κάνετε αλλαγές κλειδιού μητρώου για να ενεργοποιήσετε αυτούς τους μετριασμούς που είναι απενεργοποιημένοι από προεπιλογή.
Η ενεργοποίηση αυτών των μετριασμάτων μπορεί να επηρεάσει τις επιδόσεις. Η κλίμακα των επιπτώσεων επιδόσεων εξαρτάται από πολλούς παράγοντες, όπως το συγκεκριμένο chipset στον φυσικό σας κεντρικό υπολογιστή και τους φόρτους εργασίας που εκτελούνται. Συνιστάται να αξιολογήσετε τις επιδόσεις για το περιβάλλον σας και να κάνετε τις απαραίτητες προσαρμογές.
Ο διακομιστής σας διατίθεται σε αυξημένο κίνδυνο εάν βρίσκεται σε μία από τις ακόλουθες κατηγορίες:
-
Κεντρικοί υπολογιστές Hyper-V: Απαιτεί προστασία για επιθέσεις VM σε VM και VM-to-host.
-
Κεντρικοί υπολογιστές υπηρεσιών απομακρυσμένης επιφάνειας εργασίας (RDSH): Απαιτεί προστασία από μία περίοδο λειτουργίας σε άλλη περίοδο λειτουργίας ή από επιθέσεις περιόδου λειτουργίας σε κεντρικό υπολογιστή.
-
Φυσικοί κεντρικοί υπολογιστές ή εικονικές μηχανές που εκτελούν μη αξιόπιστο κώδικα, όπως κοντέινερ ή μη αξιόπιστες επεκτάσεις για βάση δεδομένων, μη αξιόπιστο περιεχόμενο Web ή φόρτους εργασίας που εκτελούν κώδικα που προέρχεται από εξωτερικές προελεύσεις. Αυτά απαιτούν προστασία από μη αξιόπιστες επιθέσεις διεργασίας σε άλλη διεργασία ή από μη αξιόπιστες επιθέσεις διεργασίας σε πυρήνα.
Χρησιμοποιήστε τις ακόλουθες ρυθμίσεις κλειδιού μητρώου για να ενεργοποιήσετε τους μετριασμούς στο διακομιστή και επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές.
Σημείωση: Από προεπιλογή, η ενεργοποίηση μετριασμάτων που είναι απενεργοποιημένες μπορεί να επηρεάσει τις επιδόσεις. Η πραγματική επίδραση στις επιδόσεις εξαρτάται από πολλούς παράγοντες, όπως το συγκεκριμένο chipset στη συσκευή και τους φόρτους εργασίας που εκτελούνται.
Ρυθμίσεις μητρώου
Παρέχουμε τις ακόλουθες πληροφορίες μητρώου για την ενεργοποίηση μετριασμών που δεν είναι ενεργοποιημένες από προεπιλογή, όπως τεκμηριώνεται στις Προειδοποιήσεις ασφαλείας (ADV) και στις CVEs. Επιπλέον, παρέχουμε ρυθμίσεις κλειδιού μητρώου για τους χρήστες που θέλουν να απενεργοποιήσουν τους μετριασμούς όταν ισχύουν για τα προγράμματα-πελάτες Windows.
ΣΗΜΑΝΤΙΚΌ Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας ενημερώνουν για τον τρόπο αλλαγής του μητρώου. Ωστόσο, εάν αλλάξετε εσφαλμένα το μητρώο, ενδέχεται να προκύψουν σοβαρά προβλήματα. Επομένως, φροντίστε να ακολουθήσετε προσεκτικά αυτά τα βήματα. Για πρόσθετη προστασία, δημιουργήστε ένα αντίγραφο ασφαλείας του μητρώου πριν να το αλλάξετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο εάν παρουσιαστεί πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, ανατρέξτε στο ακόλουθο άρθρο στη Γνωσιακή βάση της Microsoft:
KB322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows
ΣΗΜΑΝΤΙΚΌΑπό προεπιλογή, οι παράμετροι του Retpoline ρυθμίζονται ως εξής εάν είναι ενεργοποιημένος ο μετριασμός Spectre, Μετριασμός μεταβλητής 2 (CVE-2017-5715):
- Ο μετριασμός retpoline ενεργοποιείται σε Windows 10, έκδοση 1809 και νεότερες εκδόσεις των Windows.
- Ο μετριασμός retpoline είναι απενεργοποιημένος στον Windows Server 2019 και σε νεότερες εκδόσεις του Windows Server.
Για περισσότερες πληροφορίες σχετικά με τη ρύθμιση παραμέτρων του Retpoline, ανατρέξτε στο θέμα Μετριασμός του Spectre παραλλαγή 2 με το Retpoline στα Windows.
|
Σημείωση: Η ρύθμιση της μάσκας FeatureSettingsOverride σε 3 είναι ακριβής τόσο για τις ρυθμίσεις "ενεργοποίησης" όσο και για "απενεργοποίηση". (Ανατρέξτε στην ενότητα "Συνήθεις ερωτήσεις" για περισσότερες λεπτομέρειες σχετικά με τα κλειδιά μητρώου.)
Για να απενεργοποιήσετε την Μεταβλητή 2: (CVE-2017-5715 | Μετριασμός του Branch Target Injection: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές. Για να ενεργοποιήσετε την Μεταβλητή 2: (CVE-2017-5715 | Μετριασμός του Branch Target Injection: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές. |
Από προεπιλογή, η προστασία από χρήστη σε πυρήνα για CVE-2017-5715 είναι απενεργοποιημένη για CSU AMD. Οι πελάτες πρέπει να επιτρέψουν στον μετριασμό να λάβει πρόσθετη προστασία για το CVE-2017-5715. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Συνήθεις ερωτήσεις #15 στο ADV180002.
Ενεργοποιήστε την προστασία από χρήστη σε πυρήνα σε επεξεργαστές AMD μαζί με άλλα μέτρα προστασίας για το CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Εάν είναι εγκατεστημένη η δυνατότητα Hyper-V, προσθέστε την ακόλουθη ρύθμιση μητρώου: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Αν πρόκειται για κεντρικό υπολογιστή Hyper-V και έχουν εφαρμοστεί οι ενημερώσεις υλικολογισμικού: Τερματίστε πλήρως όλες τις Εικονικές μηχανές. Αυτό επιτρέπει την εφαρμογή του μετριασμού που σχετίζεται με το υλικολογισμικό στον κεντρικό υπολογιστή πριν από την εκκίνηση των εικονικών μηχανών. Επομένως, οι εικονικές μηχανές ενημερώνονται επίσης κατά την επανεκκίνηση. Επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές. |
Για να ενεργοποιήσετε μετριασμούς για CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) και CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Εάν είναι εγκατεστημένη η δυνατότητα Hyper-V, προσθέστε την ακόλουθη ρύθμιση μητρώου: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Αν πρόκειται για κεντρικό υπολογιστή Hyper-V και έχουν εφαρμοστεί οι ενημερώσεις υλικολογισμικού: Τερματίστε πλήρως όλες τις Εικονικές μηχανές. Αυτό επιτρέπει την εφαρμογή του μετριασμού που σχετίζεται με το υλικολογισμικό στον κεντρικό υπολογιστή πριν από την εκκίνηση των εικονικών μηχανών. Επομένως, οι εικονικές μηχανές ενημερώνονται επίσης κατά την επανεκκίνηση. Επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές. Για να απενεργοποιήσετε μετριασμούς για CVE-2018-3639 (Speculative Store Bypass) AND μετριασμούς για CVE-2017-5715 (Spectre Variant 2) και CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές. |
Από προεπιλογή, η προστασία από χρήστη σε πυρήνα για CVE-2017-5715 είναι απενεργοποιημένη για τους επεξεργαστές AMD. Οι πελάτες πρέπει να επιτρέψουν στον μετριασμό να λάβει πρόσθετη προστασία για το CVE-2017-5715. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Συνήθεις ερωτήσεις #15 στο ADV180002.
Ενεργοποίηση προστασίας από χρήστη σε πυρήνα σε επεξεργαστές AMD μαζί με άλλα μέτρα προστασίας για CVE 2017-5715 και προστασία για CVE-2018-3639 (Speculative Store Bypass): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Εάν είναι εγκατεστημένη η δυνατότητα Hyper-V, προσθέστε την ακόλουθη ρύθμιση μητρώου: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Αν πρόκειται για κεντρικό υπολογιστή Hyper-V και έχουν εφαρμοστεί οι ενημερώσεις υλικολογισμικού: Τερματίστε πλήρως όλες τις Εικονικές μηχανές. Αυτό επιτρέπει την εφαρμογή του μετριασμού που σχετίζεται με το υλικολογισμικό στον κεντρικό υπολογιστή πριν από την εκκίνηση των εικονικών μηχανών. Επομένως, οι εικονικές μηχανές ενημερώνονται επίσης κατά την επανεκκίνηση. Επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές. |
Για να ενεργοποιήσετε μετριασμούς για την ευπάθεια Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) και Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) μαζί με Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] παραλλαγές, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 και CVE-2022-21166) συμπεριλαμβανομένης της υποθετικής απενεργοποίησης παράκαμψης χώρου αποθήκευσης (SSBD) [CVE-2018-3639 ] καθώς και L1 σφάλμα τερματικού (L1TF) [CVE-2018-3615, CVE-2018-3620 και CVE-2018-3646] χωρίς απενεργοποίηση του hyper-threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Εάν είναι εγκατεστημένη η δυνατότητα Hyper-V, προσθέστε την ακόλουθη ρύθμιση μητρώου: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Αν πρόκειται για κεντρικό υπολογιστή Hyper-V και έχουν εφαρμοστεί οι ενημερώσεις υλικολογισμικού: Τερματίστε πλήρως όλες τις Εικονικές μηχανές. Αυτό επιτρέπει την εφαρμογή του μετριασμού που σχετίζεται με το υλικολογισμικό στον κεντρικό υπολογιστή πριν από την εκκίνηση των εικονικών μηχανών. Επομένως, οι εικονικές μηχανές ενημερώνονται επίσης κατά την επανεκκίνηση. Επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές. Για να ενεργοποιήσετε μετριασμούς για την ευπάθεια Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) και Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) μαζί με spectre [CVE-2017-5753 & CVE-2017-5715] και Meltdown [CVE-2017-5754] παραλλαγές, συμπεριλαμβανομένης της υποθετικής παράκαμψης του store Disable (SSBD) [CVE-2018-3639] καθώς και L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 και CVE-2018-3646] με απενεργοποιημένη Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Εάν είναι εγκατεστημένη η δυνατότητα Hyper-V, προσθέστε την ακόλουθη ρύθμιση μητρώου: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Αν πρόκειται για κεντρικό υπολογιστή Hyper-V και έχουν εφαρμοστεί οι ενημερώσεις υλικολογισμικού: Τερματίστε πλήρως όλες τις Εικονικές μηχανές. Αυτό επιτρέπει την εφαρμογή του μετριασμού που σχετίζεται με το υλικολογισμικό στον κεντρικό υπολογιστή πριν από την εκκίνηση των εικονικών μηχανών. Επομένως, οι εικονικές μηχανές ενημερώνονται επίσης κατά την επανεκκίνηση. Επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές. Για να απενεργοποιήσετε τους μετριασμούς για την ευπάθεια Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) και τη δειγματοληψία δεδομένων μικροαρχιτεκτών ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) μαζί με spectre [CVE-2017-5753 & CVE-2017-5715] και Meltdown [CVE-2017-5754] παραλλαγές, συμπεριλαμβανομένης της υποθετικής παράκαμψης του store Disable (SSBD) [CVE-2018-3639] καθώς και L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 και CVE-2018-3646]: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές. |
Για να ενεργοποιήσετε τον μετριασμό για CVE-2022-23825 σε επεξεργαστές AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Για να προστατεύονται πλήρως, οι πελάτες μπορεί επίσης να χρειαστεί να απενεργοποιήσουν Hyper-Threading (γνωστό και ως Ταυτόχρονη πολυνηματικά (SMT)). Ανατρέξτε KB4073757 για οδηγίες σχετικά με την προστασία συσκευών Windows.
Για να ενεργοποιήσετε τον μετριασμό για το CVE-2023-20569 σε επεξεργαστές AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Για να ενεργοποιηθεί ο μετριασμός για CVE-2022-0001 σε επεξεργαστές Intel:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Ενεργοποίηση πολλαπλών μετριασμάτων
Για να ενεργοποιήσετε πολλαπλούς μετριασμούς, πρέπει να προσθέσετε το REG_DWORD αξία κάθε μετριασμού μαζί.
Για παράδειγμα:
Μετριασμός για ευπάθεια Asynchronous Abort συναλλαγών, δειγματοληψία δεδομένων Microarchitectural, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) και L1 Terminal Fault (L1TF) με απενεργοποιημένη Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
ΣΗΜΕΙΩΣΗ 8264 (σε δεκαδική) = 0x2048 (σε δεκαεξαδική) Για να ενεργοποιήσετε το BHI μαζί με άλλες υπάρχουσες ρυθμίσεις, θα πρέπει να χρησιμοποιήσετε το or τρέχουσας τιμής σε επίπεδο bit με 8.388.608 (0x800000). 0x800000 OR 0x2048(8264 σε δεκαδική) και θα μετατραπεί σε 8.396.872(0x802048). Το ίδιο και με τη μάσκα FeatureSettingsOverride. |
|
Μετριασμός για CVE-2022-0001 σε επεξεργαστές Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Συνδυασμένος μετριασμός |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Μετριασμός για ευπάθεια Asynchronous Abort συναλλαγών, δειγματοληψία δεδομένων Microarchitectural, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) και L1 Terminal Fault (L1TF) με απενεργοποιημένη Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Μετριασμός για CVE-2022-0001 σε επεξεργαστές Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Συνδυασμένος μετριασμός |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Επαλήθευση ότι είναι ενεργοποιημένα τα μέτρα προστασίας
Για να επαληθεύσουμε ότι είναι ενεργοποιημένα τα μέτρα προστασίας, δημοσιεύσαμε μια δέσμη ενεργειών του PowerShell την οποία μπορείτε να εκτελέσετε στις συσκευές σας. Εγκαταστήστε και εκτελέστε τη δέσμη ενεργειών χρησιμοποιώντας μία από τις παρακάτω μεθόδους.
Εγκαταστήστε τη Λειτουργική μονάδα PowerShell: PS> Install-Module SpeculationControl Εκτελέστε τη λειτουργική μονάδα PowerShell για να βεβαιωθείτε ότι είναι ενεργοποιημένα τα μέτρα προστασίας: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Εγκαταστήστε τη λειτουργική μονάδα PowerShell από το Technet ScriptCenter:
Εκτελέστε τη λειτουργική μονάδα PowerShell για να βεβαιωθείτε ότι είναι ενεργοποιημένα τα μέτρα προστασίας: Εκκινήστε το PowerShell και, στη συνέχεια, χρησιμοποιήστε το προηγούμενο παράδειγμα για να αντιγράψετε και να εκτελέσετε τις ακόλουθες εντολές: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Για μια λεπτομερή επεξήγηση της εξόδου της δέσμης ενεργειών PowerShell, ανατρέξτε στο θέμα KB4074629 .
Συνήθεις ερωτήσεις
Για την αποφυγή δυσμενών επιπτώσεων στις συσκευές των πελατών, οι ενημερώσεις ασφαλείας των Windows που κυκλοφόρησαν τον Ιανουάριο και τον Φεβρουάριο του 2018 δεν προσφέρθηκαν σε όλους τους πελάτες. Για λεπτομέρειες, ανατρέξτε στο θέμα KB407269 .
Ο μικροκώδικας παρέχεται μέσω μιας ενημέρωσης υλικολογισμικού. Συμβουλευτείτε τον OEM σχετικά με την έκδοση υλικολογισμικού που διαθέτει την κατάλληλη ενημέρωση για τον υπολογιστή σας.
Υπάρχουν πολλές μεταβλητές που επηρεάζουν τις επιδόσεις, οι οποίες κυμαίνονται από την έκδοση του συστήματος έως τους φόρτους εργασίας που εκτελούνται. Για ορισμένα συστήματα, το αποτέλεσμα επιδόσεων θα είναι αμελητέο. Για άλλους, θα είναι σημαντικό.
Σας συνιστούμε να αξιολογήσετε τις επιπτώσεις των επιδόσεων στα συστήματά σας και να κάνετε προσαρμογές ανάλογα με τις ανάγκες.
Εκτός από τις οδηγίες που παρέχονται σε αυτό το άρθρο σχετικά με τις εικονικές μηχανές, θα πρέπει να επικοινωνήσετε με την υπηρεσία παροχής για να βεβαιωθείτε ότι οι κεντρικοί υπολογιστές που εκτελούν τις εικονικές μηχανές σας προστατεύονται επαρκώς.ανατρέξτε στο θέμα Οδηγίες για μετριασμό των ευπαθειών υποθετικής εκτέλεσης πλευρικού καναλιού στο Azure . Για οδηγίες σχετικά με τη χρήση της Διαχείρισης ενημερώσεων Azure για τον μετριασμό αυτού του προβλήματος σε φιλοξενούμενες εικονικές μηχανές, ανατρέξτε στο θέμα KB4077467.
Για τις εικονικές μηχανές Windows Server που εκτελούνται στο Azure,Οι ενημερώσεις που κυκλοφόρησαν για είδωλα κοντέινερ Windows Server για τον Windows Server 2016 και τα Windows 10, έκδοση 1709 περιλαμβάνουν μετριασμούς για αυτό το σύνολο ευπαθειών. Δεν απαιτείται πρόσθετη ρύθμιση παραμέτρων.
Σημείωση Πρέπει να εξακολουθήσετε να είστε βέβαιοι ότι ο κεντρικός υπολογιστής στον οποίο εκτελούνται αυτά τα κοντέινερ έχει ρυθμιστεί ώστε να ενεργοποιεί τους κατάλληλους μετριασμούς.Όχι, η παραγγελία εγκατάστασης δεν έχει σημασία.
Ναι, πρέπει να κάνετε επανεκκίνηση μετά την ενημέρωση του υλικολογισμικού (μικροκώδικα) και, στη συνέχεια, ξανά μετά την ενημέρωση συστήματος.
Ακολουθούν οι λεπτομέρειες για τα κλειδιά μητρώου:
Το FeatureSettingsOverride αντιπροσωπεύει μια εικόνα bitmap που παρακάμπτει την προεπιλεγμένη ρύθμιση και ελέγχει τους μετριασμούς που θα απενεργοποιηθούν. Το Bit 0 ελέγχει τη μετριασμό που αντιστοιχεί στο CVE-2017-5715. Η bit 1 ελέγχει τον μετριασμό που αντιστοιχεί στο CVE-2017-5754. Τα bit έχουν οριστεί σε 0 για να ενεργοποιηθεί ο μετριασμός και σε 1 για την απενεργοποίηση της μετριασμού.
Η μάσκα FeatureSettingsOverride αντιπροσωπεύει μια μάσκα bitmap που χρησιμοποιείται μαζί με το FeatureSettingsOverride. Σε αυτήν την περίπτωση, χρησιμοποιούμε την τιμή 3 (που αναπαρίσταται ως 11 στο δυαδικό αριθμητικό σύστημα ή το αριθμητικό σύστημα βάσης 2) για να υποδείξουμε τα δύο πρώτα bit που αντιστοιχούν στους διαθέσιμους μετριασμούς. Αυτό το κλειδί μητρώου ορίζεται σε 3 και τα δύο για να ενεργοποιηθούν ή να απενεργοποιηθούν οι μετριασμούς.
MinVmVersionForCpuBasedMitigations is for Hyper-V hosts. Αυτό το κλειδί μητρώου καθορίζει την ελάχιστη έκδοση VM που απαιτείται για να χρησιμοποιήσετε τις ενημερωμένες δυνατότητες υλικολογισμικού (CVE-2017-5715). Ρυθμίστε αυτήν την επιλογή στην έκδοση 1.0 για να καλύψετε όλες τις εκδόσεις VM. Παρατηρήστε ότι αυτή η τιμή μητρώου θα παραβλέπεται (καλοήθης) σε κεντρικούς υπολογιστές που δεν είναι Hyper-V. Για περισσότερες λεπτομέρειες, ανατρέξτε στο θέμα Προστασία φιλοξενούμενων εικονικών μηχανών από CVE-2017-5715 (εισαγωγή προορισμού κλάδου).
Ναι, δεν υπάρχουν παρενέργειες εάν αυτές οι ρυθμίσεις μητρώου εφαρμοστούν πριν από την εγκατάσταση των επιδιορθώσεων που σχετίζονται με τον Ιανουάριο του 2018.
Δείτε μια λεπτομερή περιγραφή της εξόδου δέσμης ενεργειών στο KB4074629: Κατανόηση του αποτελέσματος της δέσμης ενεργειών SpeculationControl PowerShell .
Ναι, για τους κεντρικούς υπολογιστές Hyper-V του Windows Server 2016 που δεν διαθέτουν ακόμη την ενημέρωση υλικολογισμικού, έχουμε δημοσιεύσει εναλλακτικές οδηγίες που μπορούν να σας βοηθήσουν να μετριάσετε την εικονική μηχανή σε εικονική μηχανή ή εικονική μηχανή για τη φιλοξενία επιθέσεων. Ανατρέξτε στο θέμα Εναλλακτικές προστασίες για τους κεντρικούς υπολογιστές Hyper-V του Windows Server 2016 έναντι των ευπαθειών υποθετικής εκτέλεσης πλευρικού καναλιού .
Οι ενημερώσεις μόνο για την ασφάλεια δεν είναι αθροιστικές. Ανάλογα με την έκδοση του λειτουργικού σας συστήματος, ίσως χρειαστεί να εγκαταστήσετε αρκετές ενημερώσεις ασφαλείας για πλήρη προστασία. Γενικά, οι πελάτες θα πρέπει να εγκαταστήσουν τις ενημερώσεις Ιανουαρίου, Φεβρουαρίου, Μαρτίου και Απριλίου 2018. Τα συστήματα με επεξεργαστές AMD χρειάζονται μια πρόσθετη ενημέρωση, όπως φαίνεται στον ακόλουθο πίνακα:
Έκδοση λειτουργικού συστήματος |
Ενημέρωση ασφαλείας |
Windows 8.1, Windows Server 2012 R2 |
KB4338815 - Μηνιαία συνάθροιση |
KB4338824- Αποκλειστικά για την ασφάλεια |
|
Windows 7 SP1, Windows Server 2008 R2 SP1 ή Windows Server 2008 R2 SP1 (Εγκατάσταση Server Core) |
KB4284826 - Μηνιαία συνάθροιση |
KB4284867 - Μόνο για την ασφάλεια |
|
Windows Server 2008 SP2 |
KB4340583 - Ενημέρωση ασφαλείας |
Συνιστάται να εγκαταστήσετε τις ενημερώσεις αποκλειστικά για την ασφάλεια κατά σειρά κυκλοφορίας.
Σημείωση: Μια παλαιότερη έκδοση αυτών των συνήθων ερωτήσεις ανέφερε εσφαλμένα ότι η ενημέρωση αποκλειστικά για την ασφάλεια του Φεβρουαρίου περιελάμβανε τις επιδιορθώσεις ασφαλείας που κυκλοφόρησαν τον Ιανουάριο. Στην πραγματικότητα, δεν το κάνει.
Όχι. Η ενημέρωση ασφαλείας KB4078130 ήταν μια συγκεκριμένη επιδιόρθωση για την αποτροπή απρόβλεπτων συμπεριφορών του συστήματος, προβλημάτων επιδόσεων και μη αναμενόμενων επανεκκινήσεων μετά την εγκατάσταση του μικροκώδικα. Η εφαρμογή των ενημερώσεων ασφαλείας στα λειτουργικά συστήματα υπολογιστή-πελάτη Windows ενεργοποιεί και τους τρεις μετριασμούς. Στα λειτουργικά συστήματα Windows Server, θα πρέπει να ενεργοποιήσετε τους μετριασμούς αφού κάνετε τον σωστό έλεγχο. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα KB4072698.
Αυτό το πρόβλημα επιλύθηκε στο KB4093118.
Τον Φεβρουάριο του 2018, η Intel ανακοίνωσε ότι ολοκλήρωσε τις επικυρώσεις της και άρχισε να κυκλοφορεί μικροκώδικα για νεότερες πλατφόρμες CPU. Η Microsoft διαθέτει επικυρωμένες ενημερώσεις μικροκώδικα της Intel που αφορούν το Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 παραθέτει συγκεκριμένα άρθρα γνωσιακή βάση ανά έκδοση των Windows. Κάθε συγκεκριμένο άρθρο της Γνωσιακής Βάσης περιέχει τις διαθέσιμες ενημερώσεις μικροκώδικα της Intel από την CPU.
Στις 11 Ιανουαρίου 2018, η Intel ανέφερε προβλήματα στον μικροκώδικα που κυκλοφόρησε πρόσφατα, τα οποία προορίζονταν για την αντιμετώπιση του Spectre variant 2 (CVE-2017-5715 | Branch Target Injection). Συγκεκριμένα, η Intel σημείωσε ότι αυτός ο μικροκώδικας μπορεί να προκαλέσει "υψηλότερες από τις αναμενόμενες επανεκκινήσεις και άλλη απρόβλεπτη συμπεριφορά του συστήματος" και ότι αυτά τα σενάρια μπορεί να προκαλέσουν "απώλεια δεδομένων ή καταστροφή." Η εμπειρία μας είναι ότι η αστάθεια του συστήματος μπορεί να προκαλέσει απώλεια δεδομένων ή καταστροφή σε ορισμένες περιπτώσεις. Στις 22 Ιανουαρίου, η Intel συνέστησε στους πελάτες να σταματήσουν να αναπτύσσουν την τρέχουσα έκδοση μικροκώδικα στους επηρεαζόμενους επεξεργαστές, ενώ η Intel εκτελεί πρόσθετες δοκιμές για την ενημερωμένη λύση. Κατανοούμε ότι η Intel συνεχίζει να διερευνά τις πιθανές επιπτώσεις της τρέχουσας έκδοσης μικροκώδικα. Ενθαρρύνουμε τους πελάτες να εξετάζουν τις οδηγίες τους σε συνεχή βάση, για να ενημερώνουν τις αποφάσεις τους.
Ενώ η Intel ελέγχει, ενημερώνει και αναπτύσσει νέο μικροκώδικα, διαθέτουμε μια ενημέρωση εκτός ζώνης (OOB), η οποία KB4078130, η οποία συγκεκριμένα απενεργοποιεί μόνο τον μετριασμό έναντι του CVE-2017-5715. Στις δοκιμές μας, αυτή η ενημέρωση βρέθηκε για να αποτρέψει την περιγραφική συμπεριφορά. Για την πλήρη λίστα των συσκευών, ανατρέξτε στις οδηγίες αναθεώρησης μικροκώδικα από την Intel. Αυτή η ενημέρωση καλύπτει τα Windows 7 Service Pack 1 (SP1), Windows 8.1 και όλες τις εκδόσεις του Windows 10, τόσο υπολογιστή-πελάτη όσο και διακομιστή. Αν χρησιμοποιείτε μια συσκευή που επηρεάζεται, αυτή η ενημέρωση μπορεί να εφαρμοστεί με λήψη της από την τοποθεσία web Κατάλογος του Microsoft Update. Η εφαρμογή αυτού του ωφέλιμου φορτίου απενεργοποιεί συγκεκριμένα μόνο τον μετριασμό έναντι του CVE-2017-5715.
Προς το παρόν, δεν υπάρχουν γνωστές αναφορές που να υποδεικνύουν ότι αυτό το Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection) έχει χρησιμοποιηθεί για επίθεση σε πελάτες. Συνιστούμε, κατά περίπτωση, στους χρήστες των Windows να επανεκτιμήσουν τον μετριασμό έναντι του CVE-2017-5715, όταν η Intel αναφέρει ότι αυτή η απρόβλεπτη συμπεριφορά συστήματος έχει επιλυθεί για τη συσκευή σας.
Τον Φεβρουάριο του 2018, η Intelανακοίνωσε ότι ολοκλήρωσε τις επικυρώσεις της και άρχισε να κυκλοφορεί μικροκώδικα για νεότερες πλατφόρμες CPU. Η Microsoft κυκλοφορεί ενημερώσεις μικροκώδικα επικυρωμένων από την Intel που σχετίζονται με το Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 παραθέτει συγκεκριμένα άρθρα γνωσιακή βάση ανά έκδοση των Windows. Οι KB παραθέσουν τις διαθέσιμες ενημερώσεις μικροκώδικα της Intel ανά CPU.
Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα AMD Security Ενημερώσεις και AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . Αυτά είναι διαθέσιμα από το κανάλι υλικολογισμικού OEM.
Διαθέτουμε ενημερώσεις μικροκώδικα επικυρωμένων από την Intel που αφορούν το Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). Για να λάβουν τις πιο πρόσφατες ενημερώσεις μικροκώδικα της Intel μέσω Windows Update, οι πελάτες πρέπει να έχουν εγκαταστήσει μικροκώδικα της Intel σε συσκευές που εκτελούν λειτουργικό σύστημα Windows 10 πριν από την αναβάθμιση στην Ενημέρωση Απριλίου 2018 Windows 10 (έκδοση 1803).
Η ενημέρωση μικροκώδικα είναι επίσης διαθέσιμη απευθείας από τον Κατάλογο του Microsoft Update, αν δεν ήταν εγκατεστημένη στη συσκευή πριν από την αναβάθμιση του συστήματος. Ο μικροκώδικας της Intel είναι διαθέσιμος μέσω του Windows Update, του Υπηρεσίες Windows Server Update Services (WSUS) ή του Καταλόγου του Microsoft Update. Για περισσότερες πληροφορίες και οδηγίες λήψης, ανατρέξτε στο θέμα KB4100347.
Για περισσότερες πληροφορίες, ανατρέξτε στους ακόλουθους πόρους:
Ανατρέξτε στις ενότητες "Προτεινόμενες ενέργειες" και "Συνήθεις ερωτήσεις" του ADV180012 | Οδηγίες της Microsoft για υποθετική παράκαμψη του Store.
Για να επαληθευτεί η κατάσταση του SSBD, η δέσμη ενεργειών Get-SpeculationControlSettings PowerShell έχει ενημερωθεί για τον εντοπισμό των επηρεαζόμενων επεξεργαστών, την κατάσταση των ενημερώσεων του λειτουργικού συστήματος SSBD και την κατάσταση του μικροκώδικα επεξεργαστή, εάν υπάρχει. Για περισσότερες πληροφορίες και για να λάβετε τη δέσμη ενεργειών του PowerShell, ανατρέξτε στο θέμα KB4074629.
Στις 13 Ιουνίου 2018, ανακοινώθηκε και εκχωρήθηκε στο CVE-2018-3665 μια πρόσθετη ευπάθεια που περιλαμβάνει την υποθετική εκτέλεση πλευρικού καναλιού, γνωστή ως Lazy FP State Restore. Για πληροφορίες σχετικά με αυτή την ευπάθεια και τις προτεινόμενες ενέργειες, ανατρέξτε στο συμβουλευτικό δελτίο ασφαλείας ADV180016 | Οδηγίες της Microsoft για lazy FP State Restore .
Σημείωση Δεν υπάρχουν απαιτούμενες ρυθμίσεις παραμέτρων (μητρώο) για επαναφορά Lazy Restore FP.
Το Bounds Check Bypass Store (BCBS) γνωστοποιήθηκε στις 10 Ιουλίου 2018 και εκχωρήθηκε CVE-2018-3693. Θεωρούμε ότι το BCBS ανήκει στην ίδια κατηγορία ευπαθειών με την Bounds Check Bypass (Παραλλαγή 1). Προς το παρόν, δεν γνωρίζουμε περιπτώσεις BCBS στο λογισμικό μας. Ωστόσο, συνεχίζουμε την έρευνα αυτής της κλάσης ευπάθειας και θα συνεργαστούμε με τους συνεργάτες του κλάδου για την έκδοση μετριασμών, όπως απαιτείται. Ενθαρρύνουμε τους ερευνητές να υποβάλουν τυχόν σχετικά ευρήματα στο πρόγραμμα επικήρυξης Speculative Execution Side Channel της Microsoft, συμπεριλαμβανομένων οποιωνδήποτε αξιοποιήσιμων περιπτώσεων BCBS. Οι προγραμματιστές λογισμικού θα πρέπει να εξετάσουν τις οδηγίες για προγραμματιστές που έχουν ενημερωθεί για το BCBS στο C++ Developer Guidance for Speculative Execution Side Channels
Στις 14 Αυγούστου 2018, ανακοινώθηκε το σφάλμα τερματικού L1 (L1TF) και του ανατέθηκαν πολλά CVEs. Αυτές οι νέες ευπάθειες υποθετικής εκτέλεσης πλευρικού καναλιού μπορούν να χρησιμοποιηθούν για την ανάγνωση του περιεχομένου της μνήμης πέρα από ένα αξιόπιστο όριο και, εάν αξιοποιηθούν, θα μπορούσαν να οδηγήσουν σε αποκάλυψη πληροφοριών. Υπάρχουν πολλά διανύσματα με τα οποία ένας εισβολέας θα μπορούσε να ενεργοποιήσει τις ευπάθειες, ανάλογα με το ρυθμισμένο περιβάλλον. Το L1TF επηρεάζει τους επεξεργαστές Intel® Core® και τους επεξεργαστές Intel® Xeon®.
Για περισσότερες πληροφορίες σχετικά με αυτή την ευπάθεια και μια λεπτομερή προβολή των επηρεαζόμενων σεναρίων, συμπεριλαμβανομένης της προσέγγισης της Microsoft για τον μετριασμό του L1TF, ανατρέξτε στους ακόλουθους πόρους:
Τα βήματα για την απενεργοποίηση των Hyper-Threading διαφέρουν από OEM σε OEM, αλλά γενικά αποτελούν μέρος των εργαλείων ρύθμισης και ρύθμισης παραμέτρων του BIOS ή του υλικολογισμικού.
Οι πελάτες που χρησιμοποιούν επεξεργαστές ARM 64 bit θα πρέπει να επικοινωνήσουν με τον OEM της συσκευής για υποστήριξη υλικολογισμικού, επειδή τα μέτρα προστασίας λειτουργικού συστήματος ARM64 που μετριάζουν το CVE-2017-5715 | Για την ένεση προορισμού κλάδου (Spectre, Variant 2) απαιτείται η πιο πρόσφατη ενημέρωση υλικολογισμικού από OEM συσκευής.
Για περισσότερες πληροφορίες, ανατρέξτε στις ακόλουθες προειδοποιήσεις ασφαλείας
Περαιτέρω οδηγίες μπορείτε να βρείτε στις οδηγίες των Windows για προστασία από ευπάθειες υποθετικής εκτέλεσης πλευρικού καναλιού
Ανατρέξτε στις οδηγίες στις οδηγίες των Windows για προστασία από ευπάθειες υποθετικής εκτέλεσης πλευρικού καναλιού
Για οδηγίες για το Azure, ανατρέξτε σε αυτό το άρθρο: Οδηγίες για μετριασμό των ευπαθειών υποθετικής εκτέλεσης πλευρικού καναλιού στο Azure.
Για περισσότερες πληροφορίες σχετικά με την ενεργοποίηση retpoline, ανατρέξτε στη δημοσίευση ιστολογίου μας: Mitigating Spectre variant 2 with Retpoline on Windows .
Για λεπτομέρειες σχετικά με αυτή την ευπάθεια, ανατρέξτε στον Οδηγό ασφαλείας της Microsoft: CVE-2019-1125 | Ευπάθεια αποκάλυψης πληροφοριών πυρήνα των Windows.
Δεν γνωρίζουμε καμία περίπτωση ευπάθειας αποκάλυψης πληροφοριών που επηρεάζει την υποδομή της υπηρεσίας cloud.
Μόλις συνειδητοποιήσαμε αυτό το πρόβλημα, εργαστήκαμε γρήγορα για να το αντιμετωπίσουμε και να κυκλοφορήσει μια ενημέρωση. Πιστεύουμε ακράδαντα σε στενές συνεργασίες τόσο με ερευνητές όσο και με συνεργάτες του κλάδου για να κάνουμε τους πελάτες πιο ασφαλείς και δεν δημοσιεύσαμε λεπτομέρειες μέχρι την Τρίτη 6 Αυγούστου, συνεπείς με συντονισμένες πρακτικές γνωστοποίησης ευπαθειών.
Μπορείτε να βρείτε περαιτέρω οδηγίες στις οδηγίες των Windows για προστασία από ευπάθειες υποθετικής εκτέλεσης πλευρικού καναλιού.
Μπορείτε να βρείτε περαιτέρω οδηγίες στις οδηγίες των Windows για προστασία από ευπάθειες υποθετικής εκτέλεσης πλευρικού καναλιού.
Μπορείτε να βρείτε περισσότερες οδηγίες στην ενότητα Οδηγίες για την απενεργοποίηση της δυνατότητας Επεκτάσεων συγχρονισμού συναλλαγών της Intel (Intel TSX).
Αναφορές
Τα προϊόντα τρίτων κατασκευαστών που αναφέρονται σε αυτό το άρθρο έχουν κατασκευαστεί από εταιρείες που είναι ανεξάρτητες από τη Microsoft. Δεν παρεχόμαστε καμία εγγύηση, έμμεση ή άλλη, σχετικά με την απόδοση ή την αξιοπιστία αυτών των προϊόντων.
Παρέχουμε στοιχεία επικοινωνίας τρίτων για να σας βοηθήσουμε να βρείτε τεχνική υποστήριξη. Αυτά τα στοιχεία επικοινωνίας μπορεί να αλλάξουν χωρίς προειδοποίηση. Δεν εγγυόμαστε την ακρίβεια αυτών των στοιχείων επικοινωνίας τρίτου κατασκευαστή.