KB4073119: Windows-ügyfél útmutató informatikai szakembereknek a szilícium-alapú mikroarchitekturális és spekulatív végrehajtási oldalcsatorna biztonsági rései elleni védelemhez

2019. május 14-én az Intel közzétette a mikroarchitekturális adatmintavétel néven ismert spekulatív végrehajtásoldali biztonsági rések új alosztályáról szóló információkat. Ezeket a biztonsági réseket a következő CVE-k kezelik:

• CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

• CVE-2018-12126 | Mikroarchitekturális tároló pufferadatainak mintavételezése (MSBDS)

• CVE-2018-12127 | Mikroarchitekturális kitöltőpuffer adatmintázása (MFBDS)

• CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)

Frissítéseket adtunk ki a biztonsági rések mérséklése érdekében. Az összes elérhető védelem beszerzéséhez belső vezérlőprogramra (mikrokódra) és szoftverfrissítésekre van szükség. Ide tartozhatnak az eszköz oem-jeiből származó mikrokódok is. Bizonyos esetekben a frissítések telepítése hatással lesz a teljesítményre. A felhőszolgáltatásaink védelme érdekében is cselekedtünk. Határozottan javasoljuk, hogy telepítse ezeket a frissítéseket.

A problémával kapcsolatos további információkért tekintse meg a következő biztonsági tanácsadást, és használja a forgatókönyvalapú útmutatót a fenyegetés mérsékléséhez szükséges műveletek meghatározásához:

• ADV190013 | A Microsoft útmutatója a mikroarchitekturális adatmintavétel biztonsági réseinek csökkentéséhez

• Windows-útmutató a spekulatív végrehajtás oldalcsatornás biztonsági rései elleni védelemhez

2019. augusztus 6-án az Intel kiadta a Windows kerneladatok felfedésével kapcsolatos biztonsági rés részleteit. Ez a biztonsági rés a Spectre Variant 1 spekulatív végrehajtási oldalcsatorna biztonsági résének változata, és CVE-2019-1125 lett hozzárendelve.

2019. július 9-én biztonsági frissítéseket adtunk ki a Windows operációs rendszerhez a probléma megoldása érdekében. Kérjük, vegye figyelembe, hogy a kockázatcsökkentés nyilvános dokumentálását a 2019. augusztus 6-án, kedden összehangolt iparági közzétételig tartottuk.

Azok az ügyfelek, akik Windows Update engedélyezve vannak, és alkalmazták a 2019. július 9-én kiadott biztonsági frissítéseket, automatikusan védettek lesznek. Nincs szükség további konfigurációra.

A biztonsági résről és a vonatkozó frissítésekről a Microsoft biztonsági frissítési útmutatójában talál további információt:

• CVE-2019-1125 | A Windows Kernel információfelfedés biztonsági rése

2019. november 12-én az Intel műszaki tanácsadást tett közzé az Intel transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort biztonsági résével kapcsolatban, amelyhez CVE-2019-11135 van hozzárendelve. Frissítéseket adtunk ki a biztonsági rés csökkentése érdekében. Alapértelmezés szerint az operációs rendszer védelme engedélyezve van a Windows-ügyfél operációsrendszer-kiadásaihoz.

2022. június 14-én közzétettük ADV220002 | Microsoft-útmutató az Intel processzor MMIO elavult adat biztonsági réseihez. A biztonsági rések a következő CVE-kben vannak hozzárendelve:

• CVE-2022-21123 | Megosztott pufferadatok olvasása (SBDR)

• CVE-2022-21125 | Megosztott pufferadatok mintavételezése (SBDS)

• CVE-2022-21127 | Speciális regiszterpufferadatok mintavételezési frissítése (SRBDS-frissítés)

• CVE-2022-21166 | Eszközregisztrálás részleges írása (DRPW)

Ajánlott műveletek

A biztonsági rések elleni védelem érdekében az alábbi műveleteket kell elvégeznie:

1. Alkalmazza az összes elérhető Windows operációsrendszer-frissítést, beleértve a havi Windows biztonsági frissítéseket is.

2. Alkalmazza az eszköz gyártója által biztosított megfelelő belsővezérlőprogram-frissítést (mikrokód).

3. A microsoftos biztonsági tanácsadók ADV180002, ADV180012, ADV190013 és ADV220002által biztosított információkon felül értékelje ki a környezetre vonatkozó kockázatokat.

4. Az ebben a cikkben található tanácsadási és beállításkulcs-információk segítségével szükség szerint elvégezheti a szükséges lépéseket.

2022. július 12-én megjelent a CVE-2022-23825 | AMD CPU-ágtípus – Az ág-előrejelző aliasai miatt előfordulhat, hogy egyes AMD-processzorok nem a megfelelő ágtípust jelzik előre. Ez a probléma információfelfedéshez vezethet.

A biztonsági rés elleni védelem érdekében javasoljuk, hogy telepítse a 2022 júliusában vagy azt követően dátumozott Windows-frissítéseket, majd végezze el a CVE-2022-23825 és az ebben a tudásbázis cikkben szereplő beállításkulcs-információk által megkövetelt lépéseket.

További információ: AMD-SB-1037 biztonsági közlemény.

2023. augusztus 8-án megjelent a CVE-2023-20569 | AMD CPU Return Address Predictor (más néven Inception), amely egy új spekulatív mellékcsatorna-támadást ír le, amely spekulatív végrehajtást eredményezhet egy támadó által vezérelt címen. Ez a probléma bizonyos AMD-processzorokat érint, és információfelfedéshez vezethet.

A biztonsági rés elleni védelem érdekében javasoljuk, hogy telepítse a 2023 augusztusában vagy azt követően dátummal ellátott Windows-frissítéseket, majd végezze el a CVE-2023-20569 és a beállításkulcsnak az ebben a tudásbázis cikkben megadott műveletet.

További információ: AMD-SB-7005 biztonsági közlemény.

2024. április 9-én megjelent a CVE-2022-0001 | Intel Branch History Injection ( Ágelőzmény-injektálás ), amely az elágazási előzmények injektálását (BHI) ismerteti, amely a módon belüli BTI egy speciális formája. Ez a biztonsági rés akkor fordul elő, ha egy támadó manipulálhatja az ágelőzményeket, mielőtt a felhasználóról a felügyeleti módra vált (vagy a VMX nem gyökérszintű/vendég módból a gyökér módba). Ez a módosítás azt eredményezheti, hogy egy közvetett ág-előrejelző kiválaszt egy adott prediktorbejegyzést egy közvetett ághoz, és az előrejelzett célnál egy közzétételi minialkalmazás átmenetien végre lesz hajtva. Ez azért lehetséges, mert a vonatkozó ágelőzmények tartalmazhatnak korábbi biztonsági környezetekben, és különösen más előrejelző módokban vett ágakat.

Alapértelmezés szerint a CVE-2017-5715 felhasználó–kernel védelme le van tiltva az AMD és arm processzorok esetében. Engedélyeznie kell a kockázatcsökkentést, hogy további védelmet kapjon a CVE-2017-5715-höz. További információkért lásd az AMD-processzorok ADV180002 15. és az ARM-processzorok ADV180002 20. gyakori kérdéseit.

Alapértelmezés szerint a CVE-2017-5715 felhasználó–kernel védelme le van tiltva az AMD processzorok esetében. Az ügyfeleknek engedélyeznie kell a kockázatcsökkentést, hogy további védelmet kapjanak a CVE-2017-5715-höz.  További információt a gyakori kérdések #15 ADV180002 című témakörben talál.

A CVE-2022-23825 kockázatcsökkentésének engedélyezése AMD processzorokon :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

A teljes védelem érdekében előfordulhat, hogy az ügyfeleknek le kell tiltania a Hyper-Threading (más néven egyidejű többszálúság (SMT)). A Windows-eszközök védelmére vonatkozó útmutatásért lásd: KB4073757. 

A CVE-2023-20569 kockázatcsökkentésének engedélyezése AMD processzorokon:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

A CVE-2022-0001 megoldásának engedélyezése Intel processzorokon:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

A PowerShell-szkript kimenetének részletes magyarázatáért lásd: KB4074629.

A mikrokód egy belső vezérlőprogram-frissítésen keresztül érhető el. Ellenőrizze a cpu-t (lapkakészletet) és az eszközgyártókat, hogy rendelkezésre állnak-e az adott eszközre vonatkozó belsővezérlőprogram-biztonsági frissítések, beleértve az Intels microcode változatának útmutatóját.

A hardveres biztonsági rés szoftverfrissítésen keresztüli kezelése jelentős kihívást jelent. Emellett a régebbi operációs rendszerek kockázatcsökkentései jelentős architekturális módosításokat igényelnek. Az érintett chipgyártókkal együtt dolgozunk azon, hogy meghatározzuk a legjobb megoldást a kockázatcsökkentésre, amely a jövőbeli frissítésekben is megjelenhet.

A Microsoft Surface-eszközökhöz készült Frissítések Windows Update és a Windows operációs rendszer frissítéseivel együtt jutnak el az ügyfelekhez. A Surface-eszköz belső vezérlőprogramjának (mikrokódjának) elérhető frissítéseit lásd: KB4073065.

Ha az eszköz nem a Microsofttól származik, az eszköz gyártója által kibocsátott belső vezérlőprogramot kell alkalmazni. További információért forduljon az OEM-eszköz gyártójától.

2018 februárjában és márciusában a Microsoft új védelmet adott ki néhány x86-alapú rendszerhez. További információ: KB4073757 és a Microsoft biztonsági tanácsadási ADV180002.

A HoloLenshez Windows 10 Frissítések a HoloLens ügyfelei Windows Update keresztül érhetik el.

A 2018. februári Windows biztonság Update alkalmazása után a HoloLens-ügyfeleknek nem kell további lépéseket tenniük az eszköz belső vezérlőprogramjának frissítéséhez. Ezek a kockázatcsökkentések a HoloLenshez készült Windows 10 összes jövőbeli kiadásában is szerepelni fognak.

Nem. A Csak biztonsági frissítések nem halmozottak. A futtatott operációs rendszer verziójától függően minden havi csak biztonsági frissítést telepítenie kell, hogy ezek a biztonsági rések védve legyenek. Ha például 32 bites Windows 7 rendszert futtat egy érintett Intel CPU-n, telepítenie kell az összes csak biztonsági frissítést. Javasoljuk, hogy a csak biztonsági frissítéseket a kiadás sorrendjében telepítse.

Megjegyzés A gyik egy korábbi verziója helytelenül állította, hogy a csak februári biztonsági frissítés tartalmazza a januárban kiadott biztonsági javításokat. Valójában nem.

Nem. A biztonsági frissítési 4078130 a mikrokód telepítése után a kiszámíthatatlan rendszerviselkedések, teljesítményproblémák és/vagy váratlan újraindítások megelőzésére szolgáló javítás volt. A februári biztonsági frissítések windowsos ügyféloldali operációs rendszereken való alkalmazása mindhárom kockázatcsökkentést lehetővé teszi.

Az Intel nemrég bejelentette, hogy befejezte az ellenőrzést, és megkezdte a mikrokód kiadását az újabb CPU-platformokhoz. A Microsoft elérhetővé teszi az Intel által ellenőrzött mikrokód-frissítéseket a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") körül. KB4093836 a Tudásbázis adott cikkeit sorolja fel Windows-verzió szerint. Mindegyik specifikus tudásbáziscikk tartalmazza az Intel elérhető mikrokódfrissítéseit CPU szerint.

Ezt a problémát a KB4093118 megoldottuk.

Az AMD nemrég bejelentette , hogy a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") köré kezdett mikrokódokat kiadni az újabb PROCESSZORplatformokhoz. További információért tekintse meg az AMD biztonsági Frissítések és az AMD tanulmányt: Architecture Guidelines around Indirect Branch Control (Az AMD biztonsági Frissítések és AZ AMD útmutatója: Architecture Guidelines around Indirect Branch Control (Az AMD biztonsági Frissítések és AZ AMD útmutatója: Architecture Guidelines around Indirect Branch Control (Az AMD biztonsági Frissítések és AZ AMD útmutatója Ezek az OEM belső vezérlőprogram-csatornáján érhetők el.

Az Intel által ellenőrzött mikrokód-frissítéseket teszünk elérhetővé a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection " körül). A legújabb Intel mikrokódfrissítések Windows Update keresztüli beszerzéséhez az ügyfeleknek telepíteniük kell az Intel mikrokódját az Windows 10 operációs rendszert futtató eszközökre a 2018. áprilisi Windows 10 frissítésre (1803-es verzió) való frissítés előtt.

A mikrokódfrissítés közvetlenül a katalógusból is elérhető, ha nem telepítettek mikrokódot az eszközre az operációs rendszer frissítése előtt. Az Intel mikrokód a Windows Update, a WSUS vagy a Microsoft Update Catalog segítségével érhető el. További információkért és a letöltési utasításokért lásd: KB4100347.

További információt a következő forrásanyagokban talál:

• ADV180012 | Microsoft-útmutató spekulatív áruház megkerüléséhez a CVE-2018-3639-hez

• ADV180013 | Microsoft-útmutató a CVE-2018-3640-hez és a KB4073065

• Microsoft Security Research and Defense Blog

• Fejlesztői útmutató a spekulatív áruház megkerüléséhez

Részletekért tekintse meg a ADV180012 | "Javasolt műveletek" és "GYIK" című szakaszát . Microsoft-útmutató spekulatív áruház megkerüléséhez.

Az SSBD állapotának ellenőrzéséhez a Get-SpeculationControlSettings PowerShell-szkript frissült, hogy észlelje az érintett processzorokat, az SSBD operációs rendszer frissítéseinek állapotát és a processzor mikrokódjának állapotát, ha van. További információkért és a PowerShell-szkript beszerzéséhez lásd: KB4074629.

2018. június 13-án bejelentették és hozzárendelték a CVE-2018-3665 nevű, oldalcsatornás spekulatív végrehajtást érintő további biztonsági rést, az úgynevezett Lazy FP State Restoret. Az FP-visszaállítás szakaszos visszaállításához nincs szükség konfigurációs (beállításjegyzékbeli) beállításokra.

A biztonsági résről és az ajánlott műveletekről további információt a biztonsági tanácsadási ADV180016 | A Microsoft útmutatója a lusta FP állapot visszaállításához.

A Bounds Check Bypass Store (BCBS) 2018. július 10-én került nyilvánosságra, és hozzárendelte a CVE-2018-3693-at. Úgy véljük, hogy a BCBS ugyanahhoz a biztonsági résosztályhoz tartozik, mint a Bounds Check Bypass (1. változat). Jelenleg nem tudunk a BCBS-ről a szoftverünkben, de továbbra is kutatjuk ezt a biztonságirés-osztályt, és az iparági partnerekkel együttműködve szükség szerint kiadjuk a kockázatcsökkentéseket. Továbbra is arra biztatjuk a kutatókat, hogy küldjenek el minden releváns megállapítást a Microsoft Spekulatív végrehajtási oldal csatorna bounty programba, beleértve a BCBS bármely kihasználható példányát is. A szoftverfejlesztőknek át kell tekinteniük a BCBS-hez frissített fejlesztői útmutatót a https://aka.ms/sescdevguide.

2018. augusztus 14-én bejelentették az L1 terminálhibát (L1TF), és több CVE-t rendeltek hozzá. Ezek az új spekulatív végrehajtási oldalcsatorna-biztonsági rések felhasználhatók a memória tartalmának megbízható határokon keresztüli olvasására, és ha kihasználják, információfelfedéshez vezethetnek. A támadók a konfigurált környezettől függően több vektoron keresztül is aktiválhatják a biztonsági réseket. Az L1TF az Intel® Core® processzorokat és az Intel® Xeon® processzorokat érinti.

A biztonsági résről és az érintett forgatókönyvek részletes áttekintéséről, beleértve a Microsoft L1TF-et csökkentő megközelítését, az alábbi forrásanyagokban talál további információt:

• ADV180018 | A Microsoft útmutatója az L1TF-változatok mérsékléséhez

• Security Advisory Security Research Blog

• Kiszolgálói útmutató az L1 terminálhibához

A 64 bites ARM-processzorokat használó ügyfeleknek ellenőriznie kell az eszköz OEM-jének belső vezérlőprogram-támogatását, mert az ARM64 operációs rendszernek a CVE-2017-5715 elleni védelmét enyhítő védelmi funkciói | Az elágazási célinjektálás (Spectre, Variant 2) működéséhez az eszköz operációs rendszereinek legújabb belsővezérlőprogram-frissítése szükséges.

További információért tekintse meg a következő biztonsági tanácsokat 

• Az Intel biztonsági tanácsadója

• ADV190013 | A Microsoft útmutatója a mikroarchitekturális adatmintavétel biztonsági réseinek csökkentéséhez

További információért tekintse meg a következő biztonsági tanácsokat

• Az Intel biztonsági tanácsadója

• ADV190013 | A Microsoft útmutatója a mikroarchitekturális adatmintavétel biztonsági réseinek csökkentéséhez

További útmutatást a Windows útmutatójában talál a spekulatív végrehajtás oldalcsatorna biztonsági rései elleni védelemhez

A spekulatív végrehajtás oldalcsatorna biztonsági rései elleni védelemhez tekintse meg a Windows útmutatójában található útmutatót

Az Azure-ra vonatkozó útmutatásért tekintse meg ezt a cikket: Útmutatás a spekulatív végrehajtás oldalcsatornás biztonsági réseinek csökkentéséhez az Azure-ban.  

A retpoline engedélyezésével kapcsolatos további információkért tekintse meg a Következő blogbejegyzést: A Spectre 2. változatának enyhítése a Windows retpoline-jával. 

A biztonsági rés részleteiért tekintse meg a Microsoft biztonsági útmutatóját: CVE-2019-1125 | A Windows Kernel információfelfedés biztonsági rése.

Nem tudunk arról, hogy ez az információfelfedési biztonsági rés hatással lehet a felhőszolgáltatás infrastruktúrájára.

Amint tudomást szereztünk a problémáról, gyorsan dolgoztunk a megoldásán, és kiadtunk egy frissítést. Határozottan hiszünk a kutatókkal és az iparági partnerekkel kialakított szoros partnerségekben, hogy az ügyfelek biztonságosabbak legyenek, és augusztus 6., keddig nem tették közzé a részleteket, összhangban az összehangolt biztonságirés-közzétételi gyakorlatokkal.

További útmutatást a Windows útmutatójában talál a spekulatív végrehajtás oldalcsatorna biztonsági rései elleni védelemhez.

További útmutatást a Windows útmutatójában talál a spekulatív végrehajtás oldalcsatorna biztonsági rései elleni védelemhez.

További útmutatást az Intel® tranzakciós szinkronizálási bővítmények (Intel® TSX) képességeinek letiltására vonatkozó útmutatóban talál.

Harmadik féltől származó kapcsolattartási adatokat adunk meg, hogy segítséget nyújtsunk a technikai támogatás megtalálásához. Ezek az elérhetőségi adatok értesítés nélkül megváltozhatnak. Nem garantáljuk a harmadik fél kapcsolattartási adatainak pontosságát.