Applies ToAzure Local (formerly Azure Stack HCI) Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012

Cambiar fecha

Descripción del cambio

20 de abril de 2023:

  • Se ha agregado información del registro MMIO.

8 de agosto de 2023

  • Se quitó el contenido sobre CVE-2022-23816 porque el número CVE no se usa

  • Se ha agregado "Confusión de tipo de rama" en la sección "Vulnerabilidades".

  • Se ha agregado más información a "CVE-2022-23825 | Sección del Registro "Confusión de tipo de rama de CPU (ERROR)" de AMD

9 de agosto de 2023

  • Se actualizó "CVE-2022-23825 | Sección del Registro "Confusión de tipo de rama de CPU (ERROR)" de AMD

  • Se agregó "CVE-2023-20569 | Predictor de dirección de devolución de CPU de AMD" en la sección "Resumen"

  • Se agregó la sección del registro "CVE-2023-20569 | Predictor de dirección de devolución de CPU de AMD"

9 de abril de 2024

  • CVE-2022-0001 agregado | Inserción de historial de bifurcaciones de Intel

16 de abril de 2024

  • Se agregó la sección "Habilitación de varias mitigaciones"

Vulnerabilidades

En este artículo se abordan las siguientes vulnerabilidades de ejecución especulativa:

Windows Update también proporcionará mitigaciones de Internet Explorer y Edge. Continuaremos mejorando estas mitigaciones contra esta clase de vulnerabilidades.

Para más información sobre esta clase de vulnerabilidades, consulte

El 14 de mayo de 2019, Intel publicó información sobre una nueva subclase de vulnerabilidades de canal lateral de ejecución especulativa conocida como muestreo de datos de microarquitectura y documentada en ADV190013 | Muestreo de datos de microarquitectura. A estas vulnerabilidades, se les han asignado los CVE siguientes:

Importante: Estos problemas también afectan a otros sistemas, como Android, Chrome, iOS y MacOS. Recomendamos a los clientes que busquen instrucciones de esos proveedores.

Microsoft ha publicado actualizaciones para ayudar a mitigar estas vulnerabilidades. Para poder disfrutar de todas las protecciones disponibles, se requieren actualizaciones de firmware (microcódigo) y software. Esto puedo incluir microcódigo de los OEM del dispositivo. En algunos casos, la instalación de estas actualizaciones afectará al rendimiento. Así mismo, también hemos tomado medidas para proteger sus servicios en la nube. Le recomendamos que implemente estas actualizaciones.

Para obtener más información sobre este problema, consulte el siguiente Aviso de seguridad y siga los consejos basados en escenario para determinar cuáles son las acciones necesarias para mitigar la amenaza:

Nota: Se recomienda instalar todas las actualizaciones más recientes de Windows Update antes de instalar las actualizaciones de microcódigo.

El 6 de agosto de 2019, Intel publicó información detallada sobre una vulnerabilidad de divulgación de información del kernel de Windows. Esta vulnerabilidad es una variante de la vulnerabilidad de canal lateral de ejecución especulativa de la variante 1 de Spectre y se ha asignado CVE-2019-1125.

El 9 de julio de 2019, publicamos actualizaciones de seguridad para el sistema operativo Windows con el fin de ayudar a mitigar este problema. Tenga en cuenta que aplazamos la documentación pública de esta mitigación hasta la divulgación coordinada en el sector del martes 6 de agosto de 2019.

Los clientes que tengan habilitado Windows Update y que hayan aplicado las actualizaciones de seguridad publicadas el 9 de julio de 2019 están protegidos automáticamente. No es necesario realizar ninguna configuración adicional.

Nota: Esta vulnerabilidad no requiere una actualización del microcódigo del fabricante (OEM) del dispositivo.

Para obtener más información sobre esta vulnerabilidad y las actualizaciones aplicables, consulte la Guía de actualizaciones de seguridad de Microsoft:

El 12 de noviembre de 2019, Intel publicó un aviso técnico sobre la vulnerabilidad de anulación asincrónica de transacciones de Intel® Transactional Synchronization Extensions (Intel TSX) que se asigna CVE-2019-11135. Microsoft ha publicado actualizaciones para ayudar a mitigar esta vulnerabilidad y las protecciones del sistema operativo están habilitadas de forma predeterminada para Windows Server 2019, pero deshabilitadas de forma predeterminada para Windows Server 2016 y versiones anteriores del sistema operativo Windows Server.

El 14 de junio de 2022, publicamos ADV220002 |  Las instrucciones de Microsoft sobre las vulnerabilidades de datos obsoletos del procesador MMIO de Intel y asignaron estos CVE: 

Acciones recomendadas

Debe realizar las siguientes acciones para ayudar a protegerse contra las vulnerabilidades:

  1. Aplique todas las actualizaciones disponibles del sistema operativo Windows, incluidas las actualizaciones de seguridad de Windows mensuales.

  2. Aplique la actualización del firmware (microcódigo) correspondiente que proporciona el fabricante del dispositivo.

  3. Evalúe el riesgo para su entorno en función de la información que se proporciona en los avisos de seguridad de Microsoft: ADV180002, ADV180012, ADV190013 y ADV220002, además de la información proporcionada en este artículo de knowledge base.

  4. Tome medidas según sea necesario mediante los avisos y información de clave del Registro que se proporcionan en este artículo de knowledge base.

Nota: Los clientes de Surface recibirán una actualización de microcódigo a través de Windows Update. Para obtener una lista de las actualizaciones más recientes del firmware (microcódigo) del dispositivo Surface, consulta KB4073065.

El 12 de julio de 2022 publicamos CVE-2022-23825 | Confusión de tipo de rama de CPU de AMD que donde se informa que los alias en el predictor de rama pueden hacer que ciertos procesadores AMD predigan el tipo de rama incorrecto. Este problema podría provocar la divulgación de información.

Para ayudar a protegerse contra esta vulnerabilidad, recomendamos instalar actualizaciones de Windows con fecha de julio de 2022 o posterior y, luego, tomar las medidas requeridas por CVE-2022-23825 y la información de la clave del Registro que se proporciona en este artículo de base de conocimiento.

Para obtener más información, consulte el boletín de seguridad AMD-SB-1037.

El 8 de agosto de 2023, publicamos CVE-2023-20569 | Predictor de direcciones de retorno(también conocido como Inicio) que describe un nuevo ataque de canal lateral especulativo que puede dar lugar a una ejecución especulativa en una dirección controlada por un atacante. Este problema afecta a determinados procesadores AMD y podría provocar la divulgación de información.

Para ayudar a protegerse contra esta vulnerabilidad, recomendamos instalar las actualizaciones de Windows con fecha de agosto de 2023 o posterior y luego tomar las medidas requeridas por CVE-2023-20569 y la información clave del registro que se proporciona en este artículo de base de conocimiento.

Para obtener más información, consulte el boletín de seguridad AMD-SB-7005.

El 9 de abril de 2024 publicamos CVE-2022-0001 | Inserción de historial de ramas de Intel que describe la inserción de historial de ramas (BHI), que es una forma específica de BTI dentro del modo. Esta vulnerabilidad se produce cuando un atacante puede manipular el historial de ramas antes de pasar del usuario al modo supervisor (o del modo VMX que no es de raíz/invitado al modo raíz). Esta manipulación podría provocar que un predictor de rama indirecta seleccione una entrada de predictor específica para una rama indirecta, y se ejecutará de forma transitoria un gadget de divulgación en el destino previsto. Esto puede ser posible porque el historial de ramas relevante puede contener ramas tomadas en contextos de seguridad anteriores y, en particular, otros modos de predicción.

Configuración de mitigación para Windows Server y Azure Stack HCI

Los avisos de seguridad (ADV) y los CVE proporcionan información sobre el riesgo que suponen estas vulnerabilidades. También le ayudan a identificar las vulnerabilidades e identificar el estado predeterminado de las mitigaciones para los sistemas Windows Server. En la siguiente tabla, se resumen los requisitos de microcódigo de la CPU y el estado predeterminado de las mitigaciones en Windows Server.

CVE

¿Se requiere microcódigo o firmware de la CPU?

Estado predeterminado de la mitigación

CVE-2017-5753

No

Habilitado de manera predeterminada (no existe la opción de deshabilitarlo).

Consulte ADV180002 para obtener información adicional.

CVE-2017-5715

Deshabilitado de manera predeterminada.

Consulte ADV180002 para obtener información adicional y este artículo de KB sobre la configuración de clave del Registro aplicable.

Nota: "Retpoline" está habilitado de forma predeterminada para los dispositivos que ejecutan Windows 10, versión 1809 y versiones posteriores si Spectre Variant 2 (CVE-2017-5715) está habilitada. Para obtener más información sobre “Retpoline”, siga entrada de blog sobre mitigación de la variante 2 de Spectre con Retpoline en Windows.

CVE-2017-5754

No

Windows Server 2019, Windows Server 2022 y Azure Stack HCI: habilitado de forma predeterminada. Windows Server 2016 y versiones anteriores: deshabilitadas de forma predeterminada.

Consulte ADV180002 para obtener más información.

CVE-2018-3639

Intel: Sí

AMD: No

Deshabilitado de manera predeterminada. Consulte ADV180012 para obtener más información y este artículo sobre la configuración de claves del Registro aplicable.

CVE-2018-11091

Intel: Sí

Windows Server 2019, Windows Server 2022 y Azure Stack HCI: habilitado de forma predeterminada. Windows Server 2016 y versiones anteriores: deshabilitadas de forma predeterminada.

Consulte ADV190013 para obtener más información y este artículo sobre la configuración de claves del Registro aplicable.

CVE-2018-12126

Intel: Sí

Windows Server 2019, Windows Server 2022 y Azure Stack HCI: habilitado de forma predeterminada. Windows Server 2016 y versiones anteriores: deshabilitadas de forma predeterminada.

Consulte ADV190013 para obtener más información y este artículo sobre la configuración de claves del Registro aplicable.

CVE-2018-12127

Intel: Sí

Windows Server 2019, Windows Server 2022 y Azure Stack HCI: habilitado de forma predeterminada. Windows Server 2016 y versiones anteriores: deshabilitadas de forma predeterminada.

Consulte ADV190013 para obtener más información y este artículo sobre la configuración de claves del Registro aplicable.

CVE-2018-12130

Intel: Sí

Windows Server 2019, Windows Server 2022 y Azure Stack HCI: habilitado de forma predeterminada. Windows Server 2016 y versiones anteriores: deshabilitadas de forma predeterminada.

Consulte ADV190013 para obtener más información y este artículo sobre la configuración de claves del Registro aplicable.

CVE-2019-11135

Intel: Sí

Windows Server 2019, Windows Server 2022 y Azure Stack HCI: habilitado de forma predeterminada. Windows Server 2016 y versiones anteriores: deshabilitadas de forma predeterminada.

Consulte CVE-2019-11135 para obtener más información y este artículo sobre la configuración de claves del Registro aplicable.

CVE-2022-21123 (parte de MMIO ADV220002)

Intel: Sí

Windows Server 2019, Windows Server 2022 y Azure Stack HCI: habilitado de forma predeterminada.  Windows Server 2016 y versiones anteriores: deshabilitadas de forma predeterminada.* 

Consulte CVE-2022-21123 para obtener más información y este artículo sobre la configuración de clave del Registro aplicable.

CVE-2022-21125 (parte de MMIO ADV220002)

Intel: Sí

Windows Server 2019, Windows Server 2022 y Azure Stack HCI: habilitado de forma predeterminada.  Windows Server 2016 y versiones anteriores: deshabilitadas de forma predeterminada.* 

Consulte CVE-2022-21125 para obtener más información y este artículo sobre la configuración de claves del Registro aplicable.

CVE-2022-21127 (parte de MMIO ADV220002)

Intel: Sí

Windows Server 2019, Windows Server 2022 y Azure Stack HCI: habilitado de forma predeterminada.  Windows Server 2016 y versiones anteriores: deshabilitadas de forma predeterminada.* 

Consulte CVE-2022-21127 para obtener más información y este artículo sobre la configuración de claves del Registro aplicable.

CVE-2022-21166 (parte de MMIO ADV220002)

Intel: Sí

Windows Server 2019, Windows Server 2022 y Azure Stack HCI: habilitado de forma predeterminada.  Windows Server 2016 y versiones anteriores: deshabilitadas de forma predeterminada.* 

Consulte CVE-2022-21166 para obtener más información y este artículo sobre la configuración de claves del Registro aplicable.

CVE-2022-23825 (Confusión de tipo de rama de CPU DE AMD)

AMD: No

Consulte CVE-2022-23825 para obtener más información y este artículo sobre la configuración de claves del Registro aplicable.

CVE-2023-20569 (Predictor de dirección de retorno de CPU de AMD)

AMD: Sí

Consulte CVE-2023-20569 para obtener más información y este artículo sobre la configuración de claves del Registro aplicable.

CVE-2022-0001

Intel: No

Deshabilitado de manera predeterminada.

Consulte CVE-2022-0001 para obtener más información y este artículo sobre la configuración de claves del Registro aplicable.

* Siga las instrucciones de mitigación para Meltdown a continuación.

Si desea obtener todas las protecciones disponibles contra estas vulnerabilidades, debe realizar cambios en la clave del Registro para habilitar estas mitigaciones que están deshabilitadas de forma predeterminada.

La habilitación de estas mitigaciones puede afectar al rendimiento. La escala de impactos en el rendimiento depende de varios factores, como el conjunto de chips del host físico y las cargas de trabajo que se ejecutan. Se recomienda evaluar los efectos de rendimiento de su entorno y realizar los ajustes necesarios.

Su servidor correrá un mayor riesgo si se encuentra en una de las siguientes categorías:

  • Hosts de Hyper-V:  requiere protección para ataques de máquina virtual a máquina virtual y de máquina virtual a host.

  • Hosts de servicios de escritorio remoto (RDSH): se necesita protección contra ataques de una sesión a otra y de una sesión al host.

  • Hosts físicos o máquinas virtuales que ejecutan código que no es de confianza, como contenedores o extensiones que no son de confianza para la base de datos, contenido web que no es de confianza o cargas de trabajo que ejecutan código procedente de orígenes externos. Se necesita protección contra ataques de un proceso que no es de confianza a otro proceso o de un proceso que no es de confianza al kernel.

Use la siguiente configuración de la clave del Registro para habilitar estas mitigaciones en el servidor y reinicie el dispositivo para aplicar los cambios.

Nota: De forma predeterminada, habilitar mitigaciones que están desactivadas puede afectar al rendimiento. El impacto real en el rendimiento depende de varios factores, como el conjunto de chips del dispositivo y las cargas de trabajo que se ejecutan.

Configuración del Registro

Proporcionamos la siguiente información de registro para habilitar las mitigaciones que no están habilitadas de forma predeterminada, como se documenta en los Avisos de seguridad (ADV) y CVE. Además, proporcionamos la configuración de clave del registro para los usuarios que deseen deshabilitar las mitigaciones cuando sea aplicable para los clientes de Windows.

IMPORTANTE Esta sección, método o tarea contiene pasos que le indican cómo modificar el registro. Sin embargo, pueden darse problemas graves si modifica el Registro de manera incorrecta. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del Registro antes de modificarlo. De esta manera podrá restaurar el Registro en caso de que se produzca un problema. Para obtener más información sobre cómo realizar una copia de seguridad y restaurar el Registro, consulte el artículo siguiente en Microsoft Knowledge Base:

KB322756 Cómo realizar una copia de seguridad y restaurar el Registro en Windows

IMPORTANTEDe manera predeterminada, Retpoline se configura de la siguiente manera si Spectre, mitigación de la variante 2 (CVE-2017-5715) está habilitada:

- La mitigación de Retpoline está habilitada en Windows 10, versión 1809 y versiones posteriores de Windows.

- La mitigación de Retpoline está deshabilitada en Windows Server 2019 y versiones posteriores de Windows Server.

Para obtener más información sobre la configuración de Retpoline, consulte Mitigación de la variante 2 de Spectre con Retpoline en Windows.

  • Para habilitar mitigaciones para CVE-2017-5715 (variante 2 de Spectre), CVE-2017-5754 (Meltdown) y CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro:

    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    Si se trata de un host de Hyper-V y se han aplicado las actualizaciones de firmware: apagar completamente todos los Virtual Machines. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician.

    Reinicie el dispositivo para que los cambios surtan efecto.

  • Para deshabilitar las mitigaciones para CVE-2017-5715 (variante 2 de Spectre), CVE-2017-5754 (Meltdown) y CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Reinicie el dispositivo para que los cambios surtan efecto.

Nota: Establecer FeatureSettingsOverrideMask en 3 es preciso para las opciones "habilitar" y "deshabilitar". (Consulte la sección "Preguntas frecuentes" para obtener más detalles sobre las claves del Registro).

Para deshabilitar la mitigación de la variante 2: (CVE-2017-5715 | Inserción de destino de rama):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el dispositivo para que los cambios surtan efecto.

Para habilitar la mitigación de la variante 2: (CVE-2017-5715 | Inserción de destino de rama):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el dispositivo para que los cambios surtan efecto.

De manera predeterminada, la protección de usuario a kernel para CVE-2017-5715 está deshabilitada para las CPU AMD. Los clientes deben habilitar la mitigación para recibir protecciones adicionales para CVE-2017-5715.  Para más información, consulte las Preguntas frecuentes #15 en ADV180002.

Habilitar la protección de usuario a kernel en procesadores AMD junto con otras protecciones para CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Si se trata de un host de Hyper-V y se han aplicado las actualizaciones del firmware: apague por completo todas las máquinas virtuales. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician.

Reinicie el dispositivo para que los cambios surtan efecto.

Para deshabilitar mitigaciones para CVE-2018-3639 (derivación de almacenamiento especulativo) Y mitigaciones para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Si se trata de un host de Hyper-V y se han aplicado las actualizaciones del firmware: apague por completo todas las máquinas virtuales. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician.

Reinicie el dispositivo para que los cambios surtan efecto.

Para deshabilitar mitigaciones para CVE-2018-3639 (derivación de almacenamiento especulativo) Y mitigaciones para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

De manera predeterminada, la protección de usuario a kernel para CVE-2017-5715 está deshabilitada para los procesadores AMD. Los clientes deben habilitar la mitigación para recibir protecciones adicionales para CVE-2017-5715.  Para obtener más información, vea las preguntas más frecuentes n.º 15 en ADV180002.

Habilitar la protección de usuario a kernel en procesadores AMD junto con otras protecciones para CVE 2017-5715 y protecciones para CVE-2018-3639 (derivación de almacenamiento especulativo):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Si se trata de un host de Hyper-V y se han aplicado las actualizaciones del firmware: apague por completo todas las máquinas virtuales. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician.

Reinicie el dispositivo para que los cambios surtan efecto.

Habilitar mitigaciones para la vulnerabilidad de anulación asincrónica de transacciones de Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) y muestreo de datos de microarquitectura ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) junto con Spectre [CVE-2017-5753 & CVE-2017-5715], variantes de Meltdown [CVE-2017-5754], MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 y CVE-2022-21166) incluida la deshabilitación de derivación del almacén especulativo (SSBD) [CVE-2018-3639 ], así como L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646] sin deshabilitar Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Si se trata de un host de Hyper-V y se han aplicado las actualizaciones de firmware: apagar completamente todos los Virtual Machines. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician.

Reinicie el dispositivo para que los cambios surtan efecto.

Habilitar mitigaciones para la vulnerabilidad de anulación asincrónica de transacciones de Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) y el muestreo de datos de microarquitectura (CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) junto con Spectre [CVE-2017-5753 y CVE-2017-5715] y Meltdown variantes [CVE-2017-5754] incluida la deshabilitación de derivación del almacén especulativo (SSBD) [CVE-2018-3639], así como L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646] con Hyper-Threading deshabilitado:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Si se trata de un host de Hyper-V y se han aplicado las actualizaciones del firmware: apague por completo todas las máquinas virtuales. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician.

Reinicie el dispositivo para que los cambios surtan efecto.

Deshabilitar mitigaciones para la vulnerabilidad de anulación asincrónica de transacciones de Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) y muestreo de datos de microarquitectura (CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) junto con Spectre [CVE-2017-5753 y CVE-2017-5715] y Meltdown variantes [CVE-2017-5754] incluida la deshabilitación de derivación del almacén especulativo (SSBD) [CVE-2018-3639], así como L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el dispositivo para que los cambios surtan efecto.

Para habilitar la mitigación de CVE-2022-23825 en procesadores AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Para estar totalmente protegidos, es posible que los clientes también necesiten deshabilitar Hyper-Threading (también conocido como multiproceso simultáneo (SMT)). Consulte KB4073757 para obtener instrucciones sobre cómo proteger dispositivos Windows.

Para habilitar la mitigación de CVE-2023-20569 en procesadores AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Para habilitar la mitigación de CVE-2022-0001 en procesadores Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Habilitación de varias mitigaciones

Para habilitar varias mitigaciones, debe agregar juntos el valor de REG_DWORD de cada mitigación.

Por ejemplo:

Mitigación de vulnerabilidad de anulación asincrónica de transacciones, muestreo de datos de Microarquitectura, Spectre, Meltdown, MMIO, deshabilitación de derivación de almacenamiento especulativo (SSBD) y error de terminal L1 (L1TF) con Hyper-Threading deshabilitado

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

NOTA 8264 (en decimal) = 0x2048 (en hexadecimal)

Para habilitar BHI junto con otras configuraciones existentes, deberá usar el OR bit a bit o del valor actual con 8 388 608 (0x800000). 

0x800000 O 0x2048(8264 en decimal) y se convertirá en 8 396 872(0x802048). Igual que con FeatureSettingsOverrideMask.

Mitigación para CVE-2022-0001 en procesadores Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Mitigación combinada

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Mitigación de vulnerabilidad de anulación asincrónica de transacciones, muestreo de datos de Microarquitectura, Spectre, Meltdown, MMIO, deshabilitación de derivación de almacenamiento especulativo (SSBD) y error de terminal L1 (L1TF) con Hyper-Threading deshabilitado

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

Mitigación para CVE-2022-0001 en procesadores Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Mitigación combinada

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Verificar si las protecciones están habilitadas

Para ayudar a comprobar que las protecciones están habilitadas, hemos publicado un script de PowerShell que puede ejecutar en los dispositivos. Instale y ejecute el script mediante uno de los métodos siguientes.

Instale el módulo de PowerShell:

PS> Install-Module SpeculationControl

Ejecute el módulo de PowerShell para verificar si las  protecciones están habilitadas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Instale el módulo PowerShell desde Technet ScriptCenter:

  1. Vaya a https://aka.ms/SpeculationControlPS .

  2. Descargue SpeculationControl.zip en una carpeta local.

  3. Extraiga el contenido en una carpeta local. Por ejemplo: C:\ADV180002

Ejecute el módulo de PowerShell para verificar si las protecciones están habilitadas:

Inicie PowerShell y, luego, utilice el ejemplo anterior para copiar y ejecutar los siguientes comandos:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Para obtener una explicación detallada de la salida del script de PowerShell, consulte KB4074629

Preguntas más frecuentes

A fin de evitar que los dispositivos de los clientes se vean afectados negativamente, las actualizaciones de seguridad de Windows que se publicaron en enero y febrero de  2018  no se ofrecieron a todos los clientes. Para obtener más información, consulte KB407269 .

El microcódigo se obtiene a través de una actualización de firmware. Póngase en contacto con su OEM para que le informe qué  versión de firmware tiene la actualización adecuada para su equipo.

Existen múltiples variables que afectan el rendimiento, desde la versión del sistema hasta las cargas de trabajo que se ejecutan. En  algunos sistemas, el impacto en el rendimiento será insignificante. En  otros, será considerable.

Se recomienda que evalúe el impacto en el rendimiento de sus sistemas y que realice los ajustes necesarios.

Además de las instrucciones que aparecen en este artículo con respecto a las máquinas virtuales, debe ponerse en contacto con su proveedor de servicios para asegurarse de que los hosts que ejecutan sus máquinas virtuales están adecuadamente protegidos. Para las máquinas virtuales de Windows Server que se ejecutan en Azure, consulte Guía para mitigar vulnerabilidades de canal lateral de ejecución especulativa en Azure . Para obtener instrucciones sobre el uso de Azure Update Management para mitigar este problema en las máquinas virtuales invitadas, consulte KB4077467.

Las actualizaciones que se publicaron para las imágenes del contenedor de Windows Server para Windows Server 2016 y Windows 10, versión 1709, incluyen mitigaciones para este conjunto de vulnerabilidades. No se precisa ninguna configuración adicional.Nota Debe asegurarse de que el host en el que se ejecutan estos contenedores está configurado para habilitar las mitigaciones adecuadas.

No, el orden de instalación es indiferente.

Sí, debe reiniciar la máquina después la actualización del firmware (microcódigo) y nuevamente después de la actualización del sistema.

Estos son los detalles sobre las claves del Registro:

FeatureSettingsOverride representa un mapa de bits que anula la configuración predeterminada y controla las mitigaciones que se deshabilitarán. El bit 0 controla la mitigación adecuada para CVE-2017-5715. El bit 1 controla la mitigación adecuada para CVE-2017-5754. Los bits se establecen en 0 para habilitar la mitigación y en 1 para deshabilitarla.

FeatureSettingsOverrideMask representa una máscara de mapa de bits que se usa junto con FeatureSettingsOverride.  En esta situación, usamos el valor 3 (representado como 11 en el sistema numérico binario o en el sistema de números base 2) para indicar los dos primeros bits que corresponden a las mitigaciones disponibles. Esta clave del Registro se establece en 3, tanto  para habilitar las mitigaciones como para deshabilitarlas.

MinVmVersionForCpuBasedMitigations es para los hosts de Hyper-V. Esta clave del Registro define la versión de máquina virtual mínima que se requiere para que usted use las capacidades del firmware actualizado (CVE-2017-5715). Esta clave se establece en 1.0 para cubrir todas las versiones de máquina virtual. Tenga en cuenta que este valor del registro se ignorará (benigno) en los hosts que no son de Hyper-V. Para obtener más información, consulte Proteger máquinas virtuales invitadas de CVE-2017-5715 (inserción de destino de rama).

Sí. No  hay efectos secundarios si estos valores del registro se aplican antes de instalar las correcciones relacionadas con enero de 2018.

Consulte una descripción detallada de la salida del script en KB4074629: información sobre la salida del script de PowerShell SpeculationControl .

Sí. En el caso de los hosts de Hyper-V de Windows Server 2016 para los que la actualización del firmware aún no está disponible, hemos publicado instrucciones alternativas que pueden ayudar a mitigar los ataques de máquina virtual a máquina virtual o de máquina virtual al host. Consulte Protección alternativa para hosts de Hyper-V de Windows Server 2016 contra vulnerabilidades del canal lateral de ejecución especulativa .

Las actualizaciones solo de seguridad no son acumulativas. En función de la versión de su sistema operativo, es posible que deba instalar varias actualizaciones de seguridad para contar con protección completa. En general, los clientes deberán instalar las actualizaciones de enero, febrero, marzo y abril de  2018 . Los sistemas que cuentan con procesadores AMD necesitan una actualización adicional, tal como se muestra en la siguiente tabla:

Versión de sistema operativo

Actualización de seguridad

Windows 8.1, Windows Server 2012 R2

KB4338815 : paquete acumulativo mensual

KB4338824: solo de seguridad

Windows 7 SP1, Windows Server 2008 R2 SP1 o Windows Server 2008 R2 SP1 (instalación de Server Core)

KB4284826 : paquete acumulativo mensual

KB4284867 : solo seguridad

Windows Server 2008 SP2

KB4340583 : actualización de seguridad

Se recomienda instalar las actualizaciones solo de seguridad en el orden de lanzamiento.

Nota: Una versión anterior de estas preguntas frecuentes indicaba de forma incorrecta que la actualización de solo seguridad de febrero incluía las correcciones de seguridad publicadas en enero. De hecho, no lo hace.

No. La actualización de seguridad KB4078130 era una corrección específica para evitar comportamientos imprevisibles del sistema, problemas de rendimiento y reinicios inesperados después de la instalación del microcódigo. La aplicación de las actualizaciones de seguridad de febrero en los sistemas operativos cliente de Windows habilita las tres mitigaciones. En los sistemas operativos de Windows Server, aún debe habilitar las mitigaciones después de realizar las pruebas adecuadas. Para obtener más información, vea KB4072698.

Este problema se ha resuelto en KB4093118.

En febrero de 2018, Intel anunció  que había completado sus validaciones y comenzó a publicar microcódigo para plataformas de CPU más recientes. Microsoft está poniendo a disposición actualizaciones de microcódigo validadas por Intel relacionadas con la variante 2 de Spectre (CVE-2017-5715 | Inserción de destino de rama). KB4093836 enumera artículos de knowledge base específicos por versión de Windows. Cada artículo específico de KB contiene las actualizaciones disponibles de microcódigo de Intel según la CPU.

El 11 de enero de 2018, Intel notificó problemas en el microcódigo publicado recientemente destinado a abordar la variante 2 de Spectre (CVE-2017-5715 | Inserción de destino de rama). En concreto, Intel indicó que este microcódigo puede provocar “mayor de lo esperado en los reinicios y otros ” de comportamiento impredecible del sistema, y que estos escenarios pueden causar "pérdida de datos o daños.” Según nuestra experiencia, la inestabilidad del sistema puede provocar la pérdida o el daño de datos en algunas circunstancias. El 22 de enero, Intel recomendó a los clientes que dejaran de implementar la versión de microcódigo actual en los procesadores afectados, mientras que Intel realiza pruebas adicionales en la solución actualizada. Entendemos que Intel continúa investigando el potencial efecto de la versión actual del microcódigo. Recomendamos  a los clientes que revisen sus instrucciones constantemente para informar sus decisiones.

Mientras Intel prueba, actualiza e implementa un nuevo microcódigo, estamos poniendo a disposición una actualización fuera de banda (OOB), KB4078130, que deshabilita específicamente solo la mitigación contra CVE-2017-5715. Durante las pruebas, se ha observado que esta actualización evita el comportamiento descrito. Para obtener la lista completa de dispositivos, consulte la guía de revisión de microcódigo de Intel. Esta actualización abarca Windows 7 Service Pack 1 (SP1), Windows 8.1 y todas las versiones de Windows 10, tanto para clientes como para servidores. Si está ejecutando un dispositivo afectado, esta actualización se puede aplicar descargándola desde el  sitio web deMicrosoft Update Catalog. La aplicación de esta carga útil deshabilita específicamente solo la mitigación contra CVE-2017-5715.

Hasta ahora, no se ha recibido ninguna notificación que indique que esta variante 2 de Spectre (CVE-2017-5715 | Inserción de destino de rama) se haya usado para atacar a los clientes. Recomendamos a los usuarios de Windows que, cuando sea adecuado, vuelvan a habilitar la mitigación contra CVE-2017-5715 cuando Intel notifique que este comportamiento imprevisible del sistema se haya resuelto para su dispositivo.

En febrero de 2018, Intel anunció que ha completado sus validaciones y ha empezado a publicar microcódigo para plataformas de CPU más recientes. Microsoft está poniendo a disposición actualizaciones de microcódigo validadas por Intel relacionadas con la variante 2 de Spectre (CVE-2017-5715 | Inserción de destino de rama). KB4093836 enumera artículos de knowledge base específicos por versión de Windows. Los artículos de KB mencionan las actualizaciones disponibles de microcódigo de Intel según la CPU.

Para obtener más información, consulte amd Security Updates y AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . Está disponible en el canal de firmware de OEM.

Microsoft pondrá a disposición de sus usuarios las actualizaciones de microcódigo de la variante 2 de Spectre (CVE-2017-5715 | Inserción de destino de bifurcación) que haya validado Intel. Para obtener las actualizaciones más recientes de microcódigo de Intel a través de  Windows Update, los clientes deben haber instalado un microcódigo de Intel en dispositivos que ejecutan un sistema operativo de Windows 10 antes actualizarlo a la versión de abril de 2018 de Windows 10 (versión 1803).

La actualización del microcódigo también está disponible directamente desde el catálogo de Microsoft Update si no se instaló en el dispositivo antes de actualizar el sistema. El microcódigo de Intel está disponible a través de Windows Update, Windows Server Update Services (WSUS) o el catálogo de Microsoft Update. Para obtener más información e instrucciones de descarga, consulte KB4100347.

Consulte las “secciones Acciones” recomendadas y “Preguntas más frecuentes” de  ADV180012 | Instrucciones de Microsoft para la omisión del almacén especulativo.

Para comprobar el estado de SSBD, se actualizó el script de PowerShell Get-SpeculationControlSettings para detectar los procesadores afectados, el estado de las actualizaciones del sistema operativo para SSBD y el estado del microcódigo del procesador, si corresponde. Para obtener más información y obtener el script de PowerShell, consulte KB4074629.

El 13 de junio de 2018, se anunció una vulnerabilidad adicional que implica la ejecución especulativa de canal lateral, conocida como Lazy FP State Restore, y se asignó CVE-2018-3665 . Para obtener información sobre esta vulnerabilidad y las acciones recomendadas, consulte el aviso  de seguridadADV180016 | Instrucciones de Microsoft para la restauración diferida del estado de FP .

Nota No hay ninguna configuración necesaria (registro) para la restauración diferida de FP Restore.

El almacén de omisión de comprobación de límites (BCBS) se divulgó el 10 de julio de 2018 y se asignó CVE-2018-3693. Consideramos que BCBS pertenece a la misma clase de vulnerabilidades que Bounds Check Bypass (variante 1). Actualmente no estamos al tanto de ninguna instancia de BCBS en nuestro software. Sin embargo, seguimos investigando esta clase de vulnerabilidades y trabajaremos con los partners del sector para publicar mitigaciones según sea necesario. Recomendamos a los investigadores que envíen los resultados pertinentes al programa de recompensas del Canal lateral de ejecución especulativade Microsoft , incluidas las instancias que se pueden aprovechar de BCBS. Los desarrolladores de software deben revisar la guía para desarrolladores que se ha actualizado para BCBS en Guía para desarrolladores de C++ para los canales laterales de ejecución especulativa 

El 14 de agosto de 2018, se anunció L1 Terminal Fault (L1TF) y se asignaron varios CVE. Estas nuevas vulnerabilidades de canal lateral de ejecución especulativa pueden utilizarse para leer el contenido de la memoria a través de un límite de confianza y, si se atacan, pueden provocar que se divulgue información. Existen múltiples vectores por medio de los cuales un atacante podría activar las vulnerabilidades, según el entorno configurado. L1TF afecta a los procesadores de Intel® Core® e Intel® Xeon®.

Para obtener más información sobre esta vulnerabilidad y una vista detallada de los escenarios afectados, incluido el enfoque de Microsoft para mitigar L1TF, consulte los siguientes recursos:

Si bien los pasos necesarios para deshabilitar Hyper-Threading son diferentes según el OEM, en general, son parte de la configuración del BIOS o firmware y de las herramientas de configuración.

Los clientes que usan procesadores ARM de 64 bits deben ponerse en contacto con el OEM del dispositivo para obtener soporte técnico de firmware, ya que las protecciones del sistema operativo ARM64 que mitigan CVE-2017-5715| la inserción de destino de rama (Spectre, variante 2) requiere la actualización de firmware más reciente de los OEM del dispositivo para que surta efecto.

Para obtener más información al respecto, consulte los avisos de seguridad siguientes:

Para obtener instrucciones de Azure, consulte este artículo: guía para mitigar vulnerabilidades de canal lateral de ejecución especulativa en Azure.

Para obtener más información sobre la habilitación de Retpoline, consulte nuestra entrada de blog: mitigación de la variante 2 de Spectre con Retpoline en Windows .

Para obtener más información sobre esta vulnerabilidad, consulte la Guía de seguridad de Microsoft: CVE-2019-1125 | Vulnerabilidad de divulgación de información del kernel de Windows.

No tenemos conocimientos de instancias en las que esta vulnerabilidad de divulgación de información haya afectado a nuestra infraestructura de servicios en la nube.

Tan pronto conocimos el problema, trabajamos rápidamente para solucionarlo y publicar una actualización. Creemos firmemente en establecer asociaciones estrechas con investigadores y partners del sector para la protección de nuestros clientes y no publicamos detalles hasta el martes, 6 de agosto, de acuerdo con las prácticas de divulgación de vulnerabilidades coordinadas.

Referencias

Los productos de otros fabricantes que se mencionan en este artículo han sido creados por compañías independientes de Microsoft. No ofrecemos ninguna garantía, ya sea implícita o de otro tipo, sobre la confiabilidad o el rendimiento de dichos productos.

Proporcionamos información de contacto de otros proveedores para ayudarle a encontrar soporte técnico. Dicha información de contacto puede cambiar sin notificación previa. No garantizamos la precisión de esta información de contacto de terceros.

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.