Dátum módosítása |
Leírás módosítása |
2023. július 19. |
|
2023. augusztus 8. |
|
2023. augusztus 9. |
|
2024. április 9. |
|
2024. április 16. |
|
Összefoglalás
Ez a cikk a szilíciumalapú mikroarchitekturális és spekulatív végrehajtási oldalcsatornás biztonsági rések új osztályához nyújt útmutatást, amelyek számos modern processzort és operációs rendszert érintenek. Ide tartozik az Intel, az AMD és az ARM. A szilíciumalapú biztonsági résekre vonatkozó részletes információk a következő ADV-kben (biztonsági tanácsadók) és CVE-kben (gyakori biztonsági rések és kitettségek) találhatók:
-
ADV180002 | Útmutatás a spekulatív végrehajtás oldalcsatornás biztonsági réseinek csökkentéséhez
-
ADV180012 | Microsoft-útmutató spekulatív áruház megkerüléséhez
-
ADV180013 | Microsoft-útmutató a rogue rendszerregisztráció olvasásához
-
ADV180016 | A Microsoft útmutatója a szakaszolt FP állapot visszaállításához
-
ADV180018 | A Microsoft útmutatója az L1TF-változatok mérsékléséhez
-
ADV220002 | A Microsoft útmutatója az Intel Processzor MMIO elavult adatok biztonsági réseihez
Fontos: Ez a probléma más operációs rendszereket is érint, például Androidot, Chrome-ot, iOS-t és macOS-t. Ezért azt javasoljuk az ügyfeleknek, hogy kérjenek útmutatást ezektől a szállítóktól.
Számos frissítést adtunk ki a biztonsági rések mérséklése érdekében. A felhőszolgáltatások védelme érdekében is tettünk lépéseket. További részletekért tekintse meg az alábbi szakaszokat.
Még nem kaptunk információt arról, hogy ezeket a biztonsági réseket az ügyfelek megtámadására használták. Szorosan együttműködünk az iparági partnerekkel, köztük a chipkészítőkkel, a hardvergyártókkal és az alkalmazásgyártókkal az ügyfelek védelme érdekében. Az összes elérhető védelem beszerzéséhez belső vezérlőprogramra (mikrokódra) és szoftverfrissítésekre van szükség. Ez magában foglalja az eszköz oem-jeiből származó mikrokódokat és bizonyos esetekben a víruskereső szoftver frissítéseit.
Ez a cikk a következő biztonsági résekkel foglalkozik:
Windows Update Internet Explorert és Edge-et is biztosít. Továbbra is javítani fogjuk ezeket a kockázatcsökkentéseket a biztonsági rések ezen osztálya ellen.
A biztonsági rések ezen osztályával kapcsolatos további információkért tekintse meg az alábbiakat:
Sebezhetőség
2019. május 14-én az Intel közzétette a mikroarchitekturális adatmintavétel néven ismert spekulatív végrehajtásoldali biztonsági rések új alosztályáról szóló információkat. Ezeket a biztonsági réseket a következő CVE-k kezelik:
-
CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | Mikroarchitekturális tároló pufferadatainak mintavételezése (MSBDS)
-
CVE-2018-12127 | Mikroarchitekturális kitöltőpuffer adatmintázása (MFBDS)
-
CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)
Fontos: Ezek a problémák más operációs rendszereket, például Androidot, Chrome-ot, iOS-t és MacOS-t is érintenek. Javasoljuk, hogy kérjen útmutatást ezektől a szállítóktól.
Frissítéseket adtunk ki a biztonsági rések mérséklése érdekében. Az összes elérhető védelem beszerzéséhez belső vezérlőprogramra (mikrokódra) és szoftverfrissítésekre van szükség. Ide tartozhatnak az eszköz oem-jeiből származó mikrokódok is. Bizonyos esetekben a frissítések telepítése hatással lesz a teljesítményre. A felhőszolgáltatásaink védelme érdekében is cselekedtünk. Határozottan javasoljuk, hogy telepítse ezeket a frissítéseket.
A problémával kapcsolatos további információkért tekintse meg a következő biztonsági tanácsadást, és használja a forgatókönyvalapú útmutatót a fenyegetés mérsékléséhez szükséges műveletek meghatározásához:
Megjegyzés: Javasoljuk, hogy a mikrokód-frissítések telepítése előtt telepítse az Windows Update összes legújabb frissítését.
2019. augusztus 6-án az Intel kiadta a Windows kerneladatok felfedésével kapcsolatos biztonsági rés részleteit. Ez a biztonsági rés a Spectre Variant 1 spekulatív végrehajtási oldalcsatorna biztonsági résének változata, és CVE-2019-1125 lett hozzárendelve.
2019. július 9-én biztonsági frissítéseket adtunk ki a Windows operációs rendszerhez a probléma megoldása érdekében. Kérjük, vegye figyelembe, hogy a kockázatcsökkentés nyilvános dokumentálását a 2019. augusztus 6-án, kedden összehangolt iparági közzétételig tartottuk.
Azok az ügyfelek, akik Windows Update engedélyezve vannak, és alkalmazták a 2019. július 9-én kiadott biztonsági frissítéseket, automatikusan védettek lesznek. Nincs szükség további konfigurációra.
Megjegyzés: Ez a biztonsági rés nem igényel mikrokód-frissítést az eszköz gyártójától (OEM).
A biztonsági résről és a vonatkozó frissítésekről a Microsoft biztonsági frissítési útmutatójában talál további információt:
2019. november 12-én az Intel műszaki tanácsadást tett közzé az Intel transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort biztonsági résével kapcsolatban, amelyhez CVE-2019-11135 van hozzárendelve. Frissítéseket adtunk ki a biztonsági rés csökkentése érdekében. Alapértelmezés szerint az operációs rendszer védelme engedélyezve van a Windows-ügyfél operációsrendszer-kiadásaihoz.
2022. június 14-én közzétettük ADV220002 | Microsoft-útmutató az Intel processzor MMIO elavult adat biztonsági réseihez. A biztonsági rések a következő CVE-kben vannak hozzárendelve:
-
CVE-2022-21125 | Megosztott pufferadatok mintavételezése (SBDS)
-
CVE-2022-21127 | Speciális regiszterpufferadatok mintavételezési frissítése (SRBDS-frissítés)
Ajánlott műveletek
A biztonsági rések elleni védelem érdekében az alábbi műveleteket kell elvégeznie:
-
Alkalmazza az összes elérhető Windows operációsrendszer-frissítést, beleértve a havi Windows biztonsági frissítéseket is.
-
Alkalmazza az eszköz gyártója által biztosított megfelelő belsővezérlőprogram-frissítést (mikrokód).
-
A microsoftos biztonsági tanácsadók ADV180002, ADV180012, ADV190013 és ADV220002által biztosított információkon felül értékelje ki a környezetre vonatkozó kockázatokat.
-
Az ebben a cikkben található tanácsadási és beállításkulcs-információk segítségével szükség szerint elvégezheti a szükséges lépéseket.
Megjegyzés: A Surface-ügyfelek a Windows Update-ben kapnak mikrokódfrissítést. A Surface-eszköz belső vezérlőprogramjának (mikrokód) legújabb frissítéseiről a KB4073065 című témakörben olvashat.
2022. július 12-én megjelent a CVE-2022-23825 | AMD CPU-ágtípus – Az ág-előrejelző aliasai miatt előfordulhat, hogy egyes AMD-processzorok nem a megfelelő ágtípust jelzik előre. Ez a probléma információfelfedéshez vezethet.
A biztonsági rés elleni védelem érdekében javasoljuk, hogy telepítse a 2022 júliusában vagy azt követően dátumozott Windows-frissítéseket, majd végezze el a CVE-2022-23825 és az ebben a tudásbázis cikkben szereplő beállításkulcs-információk által megkövetelt lépéseket.
További információ: AMD-SB-1037 biztonsági közlemény.
2023. augusztus 8-án megjelent a CVE-2023-20569 | AMD CPU Return Address Predictor (más néven Inception), amely egy új spekulatív mellékcsatorna-támadást ír le, amely spekulatív végrehajtást eredményezhet egy támadó által vezérelt címen. Ez a probléma bizonyos AMD-processzorokat érint, és információfelfedéshez vezethet.
A biztonsági rés elleni védelem érdekében javasoljuk, hogy telepítse a 2023 augusztusában vagy azt követően dátummal ellátott Windows-frissítéseket, majd végezze el a CVE-2023-20569 és a beállításkulcsnak az ebben a tudásbázis cikkben megadott műveletet.
További információ: AMD-SB-7005 biztonsági közlemény.
2024. április 9-én megjelent a CVE-2022-0001 | Intel Branch History Injection ( Ágelőzmény-injektálás ), amely az elágazási előzmények injektálását (BHI) ismerteti, amely a módon belüli BTI egy speciális formája. Ez a biztonsági rés akkor fordul elő, ha egy támadó manipulálhatja az ágelőzményeket, mielőtt a felhasználóról a felügyeleti módra vált (vagy a VMX nem gyökérszintű/vendég módból a gyökér módba). Ez a módosítás azt eredményezheti, hogy egy közvetett ág-előrejelző kiválaszt egy adott prediktorbejegyzést egy közvetett ághoz, és az előrejelzett célnál egy közzétételi minialkalmazás átmenetien végre lesz hajtva. Ez azért lehetséges, mert a vonatkozó ágelőzmények tartalmazhatnak korábbi biztonsági környezetekben, és különösen más előrejelző módokban vett ágakat.
A Windows-ügyfelek kockázatcsökkentési beállításai
A biztonsági tanácsadások (ADV-k) és a CVE-k információt nyújtanak a biztonsági rések által jelentett kockázatról, valamint arról, hogyan segítenek azonosítani a Windows-ügyfélrendszerek alapértelmezett kockázatcsökkentési állapotát. Az alábbi táblázat összefoglalja a cpu-mikrokód követelményét és a Windows-ügyfeleken a kockázatcsökkentések alapértelmezett állapotát.
CVE |
Processzor-mikrokódra/belső vezérlőprogramra van szüksége? |
Kockázatcsökkentés – Alapértelmezett állapot |
---|---|---|
CVE-2017-5753 |
Nem |
Alapértelmezés szerint engedélyezve (nincs lehetőség letiltására) További információért tekintse meg a ADV180002 . |
CVE-2017-5715 |
Igen |
Alapértelmezés szerint engedélyezve van. Az AMD-processzorokon alapuló rendszerek felhasználóinak a 15. gyakori kérdéseket kell látniuk, az ARM-processzorok felhasználóinak pedig a ADV180002 20. számú gyakori kérdéseket kell látniuk további műveletekhez, valamint a vonatkozó beállításkulcs-beállításokról szóló tudásbáziscikket. Megjegyzés Alapértelmezés szerint a Retpoline engedélyezve van az Windows 10, 1809-es vagy újabb verziót futtató eszközökön, ha a Spectre Variant 2 (CVE-2017-5715) engedélyezve van. A Retpoline rel kapcsolatos további információkért kövesse a Windows retpoline-on futó Retpoline-nal foglalkozó 2. specifikációs változatának mérséklése című blogbejegyzés útmutatását. |
CVE-2017-5754 |
Nem |
Alapértelmezés szerint engedélyezve További információért tekintse meg a ADV180002 . |
CVE-2018-3639 |
Intel: Igen AMD: Nem ARM: Igen |
Intel és AMD: Alapértelmezés szerint le van tiltva. A vonatkozó beállításkulcs-beállításokról további információt a ADV180012 és a tudásbáziscikkben talál. ARM: Alapértelmezés szerint letiltás nélkül engedélyezve van. |
CVE-2019-11091 |
Intel: Igen |
Alapértelmezés szerint engedélyezve van. A vonatkozó beállításkulcs-beállításokról további információt a ADV190013 és ebben a cikkben talál. |
CVE-2018-12126 |
Intel: Igen |
Alapértelmezés szerint engedélyezve van. A vonatkozó beállításkulcs-beállításokról további információt a ADV190013 és ebben a cikkben talál. |
CVE-2018-12127 |
Intel: Igen |
Alapértelmezés szerint engedélyezve van. A vonatkozó beállításkulcs-beállításokról további információt a ADV190013 és ebben a cikkben talál. |
CVE-2018-12130 |
Intel: Igen |
Alapértelmezés szerint engedélyezve van. A vonatkozó beállításkulcs-beállításokról további információt a ADV190013 és ebben a cikkben talál. |
CVE-2019-11135 |
Intel: Igen |
Alapértelmezés szerint engedélyezve van. A vonatkozó beállításkulcs-beállításokról további információt a CVE-2019-11135 című témakörben és ebben a cikkben talál. |
CVE-2022-21123 (az MMIO ADV220002 része) |
Intel: Igen |
Windows 10, 1809-es verzió és újabb verziók: Alapértelmezés szerint engedélyezve van. Windows 10, 1607-es és korábbi verzió: Alapértelmezés szerint le van tiltva.A vonatkozó beállításkulcs-beállításokról további információt a CVE-2022-21123 című témakörben és ebben a cikkben talál. |
CVE-2022-21125 (az MMIO ADV220002 része) |
Intel: Igen |
Windows 10, 1809-es verzió és újabb verziók: Alapértelmezés szerint engedélyezve van. Windows 10, 1607-es és korábbi verzió: Alapértelmezés szerint le van tiltva.További információ: CVE-2022-21125 . |
CVE-2022-21127 (az MMIO ADV220002 része) |
Intel: Igen |
Windows 10, 1809-es verzió és újabb verziók: Alapértelmezés szerint engedélyezve van. Windows 10, 1607-es és korábbi verzió: Alapértelmezés szerint le van tiltva.További információ: CVE-2022-21127 . |
CVE-2022-21166 (az MMIO ADV220002 része) |
Intel: Igen |
Windows 10, 1809-es verzió és újabb verziók: Alapértelmezés szerint engedélyezve van. Windows 10, 1607-es és korábbi verzió: Alapértelmezés szerint le van tiltva.További információ: CVE-2022-21166 . |
CVE-2022-23825 (AMD CPU-ágtípus zavara) |
AMD: Nem |
A vonatkozó beállításkulcs-beállításokról további információt a CVE-2022-23825 című témakörben talál. |
CVE-2023-20569 (AMD CPU return address predictor) |
AMD: Igen |
A vonatkozó beállításkulcs-beállításokról további információt a CVE-2023-20569 című témakörben és ebben a cikkben talál. |
Intel: Nem |
Alapértelmezés szerint le van tiltva. A vonatkozó beállításkulcs-beállításokról további információt a CVE-2022-0001 című témakörben és ebben a cikkben talál. |
Megjegyzés: Alapértelmezés szerint a kikapcsolt kockázatcsökkentések engedélyezése hatással lehet az eszköz teljesítményére. A tényleges teljesítményhatás több tényezőtől függ, például az eszköz adott lapkakészletétől és a futó számítási feladatoktól.
Beállításjegyzék-beállítások
Az alapértelmezetten nem engedélyezett kockázatcsökkentések engedélyezéséhez a következő beállításjegyzék-információkat biztosítjuk a Biztonsági tanácsadók (ADV-k) és a CVE-k dokumentációjában leírtak szerint. Emellett beállításkulcs-beállításokat is biztosítunk azoknak a felhasználóknak, akik le szeretnék tiltani a kockázatcsökkentéseket, ha azok alkalmazhatók a Windows-ügyfelekre.
Fontos: Ez a szakasz, metódus vagy feladat olyan lépéseket tartalmaz, amelyekből megtudhatja, hogyan módosíthatja a beállításjegyzéket. Ha azonban helytelenül módosítja a beállításjegyzéket, komoly problémák léphetnek fel. Ezért ügyeljen arra, hogy gondosan kövesse ezeket a lépéseket. A további védelem érdekében a módosítás előtt biztonsági másolatot kell készítenie a beállításjegyzékről. Ezután probléma esetén visszaállíthatja a beállításjegyzéket. A beállításjegyzék biztonsági mentéséről és visszaállításáról további információt a Microsoft Tudásbázis következő cikkében talál:322756 A beállításjegyzék biztonsági mentése és visszaállítása a Windowsban
Fontos: Alapértelmezés szerint a Retpoline engedélyezve van Windows 10, 1809-es verzió eszközökön, ha a Spectre, Variant 2 (CVE-2017-5715) engedélyezve van. Ha engedélyezi a Retpoline-t a Windows 10 legújabb verzióján, az javíthatja a teljesítményt a Spectre 2. változatának Windows 10, 1809-es verzió futó eszközökön, különösen a régebbi processzorokon.
A CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Meltdown) alapértelmezett kockázatcsökkentéseinek engedélyezése reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f A módosítások érvénybe léptetéséhez indítsa újra az eszközt. A CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Meltdown) kockázatcsökkentéseinek letiltása reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f A módosítások érvénybe léptetéséhez indítsa újra az eszközt. |
Megjegyzés: A 3 érték pontos a FeatureSettingsOverrideMask beállításnál az "engedélyezés" és a "letiltás" beállításnál is. (A beállításkulcsokkal kapcsolatos további részletekért tekintse meg a "GYIK" szakaszt.)
A CVE-2017-5715 (Spectre Variant 2) kockázatcsökkentéseinek letiltása: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f A módosítások érvénybe léptetéséhez indítsa újra az eszközt. A CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Meltdown) alapértelmezett kockázatcsökkentéseinek engedélyezése: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f A módosítások érvénybe léptetéséhez indítsa újra az eszközt. |
Alapértelmezés szerint a CVE-2017-5715 felhasználó–kernel védelme le van tiltva az AMD és arm processzorok esetében. Engedélyeznie kell a kockázatcsökkentést, hogy további védelmet kapjon a CVE-2017-5715-höz. További információkért lásd az AMD-processzorok ADV180002 15. és az ARM-processzorok ADV180002 20. gyakori kérdéseit.
A CVE 2017-5715 egyéb védelmi megoldásaival együtt engedélyezze a felhasználók és a kernelek elleni védelmet az AMD- és ARM-processzorokon: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f A módosítások érvénybe léptetéséhez indítsa újra az eszközt. |
A CVE-2018-3639 (spekulatív tároló megkerülése) kockázatcsökkentéseinek engedélyezéséhez a CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Meltdown) alapértelmezett kockázatcsökkentései: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f A módosítások érvénybe léptetéséhez indítsa újra az eszközt. Megjegyzés: Az AMD processzorok nincsenek kitéve a CVE-2017-5754 (Meltdown) sebezhetőségnek. Ezt a beállításkulcsot az AMD-processzorokkal rendelkező rendszerekben használják az AMD processzorokon futó CVE-2017-5715 alapértelmezett kockázatcsökkentésének és a CVE-2018-3639 kockázatcsökkentésének engedélyezéséhez. A CVE-2018-3639 (spekulatív tároló megkerülése) *és* kockázatcsökkentéseinek letiltása a CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Meltdown) esetében reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f A módosítások érvénybe léptetéséhez indítsa újra az eszközt. |
Alapértelmezés szerint a CVE-2017-5715 felhasználó–kernel védelme le van tiltva az AMD processzorok esetében. Az ügyfeleknek engedélyeznie kell a kockázatcsökkentést, hogy további védelmet kapjanak a CVE-2017-5715-höz. További információt a gyakori kérdések #15 ADV180002 című témakörben talál.
Engedélyezze a felhasználók és a kernelek védelmét az AMD processzorokon a CVE 2017-5715 és a CVE-2018-3639 (spekulatív tároló megkerülése) egyéb védelmi szolgáltatásaival együtt: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f A módosítások érvénybe léptetéséhez indítsa újra az eszközt. |
Az Intel transactional Synchronization Extensions (Intel TSX) transaction Asynchronous Abort (CVE-2019-11135) és a microarchitectural Data Sampling (CVE-201) kockázatcsökkentéseinek engedélyezése 9-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) és Spectre (CVE-2017-5753 & CVE-2017-5715) és Meltdown (CVE-2017-5754) változatok, beleértve a spekulatív tároló megkerülő letiltását (SSBD) (CVE-2018-3639), valamint az L1 terminálhibát (L1TF) (CVE-2018-3615, CVE-2018-3620 és CVE-2018-3646) a hyper-threading letiltása nélkül: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ha a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ha ez egy Hyper-V-gazdagép, és a belső vezérlőprogram frissítései alkalmazva lettek: Teljesen állítsa le az összes Virtual Machines. Ez lehetővé teszi a belső vezérlőprogrammal kapcsolatos kockázatcsökkentés alkalmazását a gazdagépen a virtuális gépek elindítása előtt. Ezért a virtuális gépek is frissülnek, amikor újraindulnak. A módosítások érvénybe léptetéséhez indítsa újra az eszközt. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) Hyper-Threading letiltva: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ha a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ha ez egy Hyper-V-gazdagép, és a belső vezérlőprogram frissítései alkalmazva lettek: Teljesen állítsa le az összes Virtual Machines. Ez lehetővé teszi a belső vezérlőprogrammal kapcsolatos kockázatcsökkentés alkalmazását a gazdagépen a virtuális gépek elindítása előtt. Ezért a virtuális gépek is frissülnek, amikor újraindulnak. A módosítások érvénybe léptetéséhez indítsa újra az eszközt. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f A módosítások érvénybe léptetéséhez indítsa újra az eszközt. |
A CVE-2022-23825 kockázatcsökkentésének engedélyezése AMD processzorokon :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
A teljes védelem érdekében előfordulhat, hogy az ügyfeleknek le kell tiltania a Hyper-Threading (más néven egyidejű többszálúság (SMT)). A Windows-eszközök védelmére vonatkozó útmutatásért lásd: KB4073757.
A CVE-2023-20569 kockázatcsökkentésének engedélyezése AMD processzorokon:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
A CVE-2022-0001 megoldásának engedélyezése Intel processzorokon:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Több kockázatcsökkentés engedélyezése
Több kockázatcsökkentés engedélyezéséhez össze kell adnia az egyes kockázatcsökkentések REG_DWORD értékét.
Például:
A tranzakciók aszinkron megszakításával kapcsolatos biztonsági rés, a mikroarchitekturális adatok mintavételezése, a spectre, a meltdown, az MMIO, a spekulatív tár megkerülési letiltása (SSBD) és az L1 terminálhiba (L1TF) elhárítása letiltott Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
MEGJEGYZÉS 8264 (decimális) = 0x2048 (hexadecimális) A BHI és más meglévő beállítások engedélyezéséhez bitenkénti VAGY aktuális értéket kell használnia 8 388 608 -tal (0x800000). 0x800000 VAGY 0x2048 (8264 decimális), és 8 396 872 lesz (0x802048). Ugyanaz a FeatureSettingsOverrideMask elemnél is. |
|
A CVE-2022-0001 elhárítás Intel processzorokon |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Kombinált kockázatcsökkentés |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
A tranzakciók aszinkron megszakításával kapcsolatos biztonsági rés, a mikroarchitekturális adatok mintavételezése, a spectre, a meltdown, az MMIO, a spekulatív tár megkerülési letiltása (SSBD) és az L1 terminálhiba (L1TF) elhárítása letiltott Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
A CVE-2022-0001 elhárítás Intel processzorokon |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Kombinált kockázatcsökkentés |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Ellenőrizze, hogy a védelem engedélyezve van-e
A védelem engedélyezésének ellenőrzéséhez közzétettünk egy PowerShell-szkriptet, amelyet futtathat az eszközein. Telepítse és futtassa a szkriptet az alábbi módszerek egyikével.
Telepítse a PowerShell-modult: PS> Install-Module SpeculationControl Futtassa a PowerShell-modult a védelem engedélyezésének ellenőrzéséhez: PS> # Mentse az aktuális végrehajtási szabályzatot, hogy alaphelyzetbe lehessen állítani PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # A végrehajtási szabályzat visszaállítása az eredeti állapotra PS> Set-ExecutionPolicy $SaveExecutionPolicy – Hatókör aktuális felhasználója |
Telepítse a PowerShell-modult a Technet ScriptCenterből: Ugrás a https://aka.ms/SpeculationControlPS Töltse le SpeculationControl.zip egy helyi mappába. Bontsa ki a tartalmat egy helyi mappába, például C:\ADV180002 Futtassa a PowerShell-modult a védelem engedélyezésének ellenőrzéséhez: Indítsa el a PowerShellt, majd (az előző példával) másolja és futtassa a következő parancsokat: PS> # Mentse az aktuális végrehajtási szabályzatot, hogy alaphelyzetbe lehessen állítani PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # A végrehajtási szabályzat visszaállítása az eredeti állapotra PS> Set-ExecutionPolicy $SaveExecutionPolicy – Hatókör aktuális felhasználója |
A PowerShell-szkript kimenetének részletes magyarázatáért lásd: KB4074629.
Gyakori kérdések
A mikrokód egy belső vezérlőprogram-frissítésen keresztül érhető el. Ellenőrizze a cpu-t (lapkakészletet) és az eszközgyártókat, hogy rendelkezésre állnak-e az adott eszközre vonatkozó belsővezérlőprogram-biztonsági frissítések, beleértve az Intels microcode változatának útmutatóját.
A hardveres biztonsági rés szoftverfrissítésen keresztüli kezelése jelentős kihívást jelent. Emellett a régebbi operációs rendszerek kockázatcsökkentései jelentős architekturális módosításokat igényelnek. Az érintett chipgyártókkal együtt dolgozunk azon, hogy meghatározzuk a legjobb megoldást a kockázatcsökkentésre, amely a jövőbeli frissítésekben is megjelenhet.
A Microsoft Surface-eszközökhöz készült Frissítések Windows Update és a Windows operációs rendszer frissítéseivel együtt jutnak el az ügyfelekhez. A Surface-eszköz belső vezérlőprogramjának (mikrokódjának) elérhető frissítéseit lásd: KB4073065.
Ha az eszköz nem a Microsofttól származik, az eszköz gyártója által kibocsátott belső vezérlőprogramot kell alkalmazni. További információért forduljon az OEM-eszköz gyártójától.
2018 februárjában és márciusában a Microsoft új védelmet adott ki néhány x86-alapú rendszerhez. További információ: KB4073757 és a Microsoft biztonsági tanácsadási ADV180002.
A HoloLenshez Windows 10 Frissítések a HoloLens ügyfelei Windows Update keresztül érhetik el.
A 2018. februári Windows biztonság Update alkalmazása után a HoloLens-ügyfeleknek nem kell további lépéseket tenniük az eszköz belső vezérlőprogramjának frissítéséhez. Ezek a kockázatcsökkentések a HoloLenshez készült Windows 10 összes jövőbeli kiadásában is szerepelni fognak.
Nem. A Csak biztonsági frissítések nem halmozottak. A futtatott operációs rendszer verziójától függően minden havi csak biztonsági frissítést telepítenie kell, hogy ezek a biztonsági rések védve legyenek. Ha például 32 bites Windows 7 rendszert futtat egy érintett Intel CPU-n, telepítenie kell az összes csak biztonsági frissítést. Javasoljuk, hogy a csak biztonsági frissítéseket a kiadás sorrendjében telepítse.
Megjegyzés A gyik egy korábbi verziója helytelenül állította, hogy a csak februári biztonsági frissítés tartalmazza a januárban kiadott biztonsági javításokat. Valójában nem.
Nem. A biztonsági frissítési 4078130 a mikrokód telepítése után a kiszámíthatatlan rendszerviselkedések, teljesítményproblémák és/vagy váratlan újraindítások megelőzésére szolgáló javítás volt. A februári biztonsági frissítések windowsos ügyféloldali operációs rendszereken való alkalmazása mindhárom kockázatcsökkentést lehetővé teszi.
Az Intel nemrég bejelentette, hogy befejezte az ellenőrzést, és megkezdte a mikrokód kiadását az újabb CPU-platformokhoz. A Microsoft elérhetővé teszi az Intel által ellenőrzött mikrokód-frissítéseket a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") körül. KB4093836 a Tudásbázis adott cikkeit sorolja fel Windows-verzió szerint. Mindegyik specifikus tudásbáziscikk tartalmazza az Intel elérhető mikrokódfrissítéseit CPU szerint.
Ezt a problémát a KB4093118 megoldottuk.
Az AMD nemrég bejelentette , hogy a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") köré kezdett mikrokódokat kiadni az újabb PROCESSZORplatformokhoz. További információért tekintse meg az AMD biztonsági Frissítések és az AMD tanulmányt: Architecture Guidelines around Indirect Branch Control (Az AMD biztonsági Frissítések és AZ AMD útmutatója: Architecture Guidelines around Indirect Branch Control (Az AMD biztonsági Frissítések és AZ AMD útmutatója: Architecture Guidelines around Indirect Branch Control (Az AMD biztonsági Frissítések és AZ AMD útmutatója Ezek az OEM belső vezérlőprogram-csatornáján érhetők el.
Az Intel által ellenőrzött mikrokód-frissítéseket teszünk elérhetővé a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection " körül). A legújabb Intel mikrokódfrissítések Windows Update keresztüli beszerzéséhez az ügyfeleknek telepíteniük kell az Intel mikrokódját az Windows 10 operációs rendszert futtató eszközökre a 2018. áprilisi Windows 10 frissítésre (1803-es verzió) való frissítés előtt.
A mikrokódfrissítés közvetlenül a katalógusból is elérhető, ha nem telepítettek mikrokódot az eszközre az operációs rendszer frissítése előtt. Az Intel mikrokód a Windows Update, a WSUS vagy a Microsoft Update Catalog segítségével érhető el. További információkért és a letöltési utasításokért lásd: KB4100347.
További információt a következő forrásanyagokban talál:
Részletekért tekintse meg a ADV180012 | "Javasolt műveletek" és "GYIK" című szakaszát . Microsoft-útmutató spekulatív áruház megkerüléséhez.
Az SSBD állapotának ellenőrzéséhez a Get-SpeculationControlSettings PowerShell-szkript frissült, hogy észlelje az érintett processzorokat, az SSBD operációs rendszer frissítéseinek állapotát és a processzor mikrokódjának állapotát, ha van. További információkért és a PowerShell-szkript beszerzéséhez lásd: KB4074629.
2018. június 13-án bejelentették és hozzárendelték a CVE-2018-3665 nevű, oldalcsatornás spekulatív végrehajtást érintő további biztonsági rést, az úgynevezett Lazy FP State Restoret. Az FP-visszaállítás szakaszos visszaállításához nincs szükség konfigurációs (beállításjegyzékbeli) beállításokra.
A biztonsági résről és az ajánlott műveletekről további információt a biztonsági tanácsadási ADV180016 | A Microsoft útmutatója a lusta FP állapot visszaállításához.
Megjegyzés: Az FP-visszaállítás szakaszos visszaállításához nincs szükség konfigurációs (beállításjegyzékbeli) beállításokra.
A Bounds Check Bypass Store (BCBS) 2018. július 10-én került nyilvánosságra, és hozzárendelte a CVE-2018-3693-at. Úgy véljük, hogy a BCBS ugyanahhoz a biztonsági résosztályhoz tartozik, mint a Bounds Check Bypass (1. változat). Jelenleg nem tudunk a BCBS-ről a szoftverünkben, de továbbra is kutatjuk ezt a biztonságirés-osztályt, és az iparági partnerekkel együttműködve szükség szerint kiadjuk a kockázatcsökkentéseket. Továbbra is arra biztatjuk a kutatókat, hogy küldjenek el minden releváns megállapítást a Microsoft Spekulatív végrehajtási oldal csatorna bounty programba, beleértve a BCBS bármely kihasználható példányát is. A szoftverfejlesztőknek át kell tekinteniük a BCBS-hez frissített fejlesztői útmutatót a https://aka.ms/sescdevguide.
2018. augusztus 14-én bejelentették az L1 terminálhibát (L1TF), és több CVE-t rendeltek hozzá. Ezek az új spekulatív végrehajtási oldalcsatorna-biztonsági rések felhasználhatók a memória tartalmának megbízható határokon keresztüli olvasására, és ha kihasználják, információfelfedéshez vezethetnek. A támadók a konfigurált környezettől függően több vektoron keresztül is aktiválhatják a biztonsági réseket. Az L1TF az Intel® Core® processzorokat és az Intel® Xeon® processzorokat érinti.
A biztonsági résről és az érintett forgatókönyvek részletes áttekintéséről, beleértve a Microsoft L1TF-et csökkentő megközelítését, az alábbi forrásanyagokban talál további információt:
A 64 bites ARM-processzorokat használó ügyfeleknek ellenőriznie kell az eszköz OEM-jének belső vezérlőprogram-támogatását, mert az ARM64 operációs rendszernek a CVE-2017-5715 elleni védelmét enyhítő védelmi funkciói | Az elágazási célinjektálás (Spectre, Variant 2) működéséhez az eszköz operációs rendszereinek legújabb belsővezérlőprogram-frissítése szükséges.
További információért tekintse meg a következő biztonsági tanácsokat
További információért tekintse meg a következő biztonsági tanácsokat
Az Azure-ra vonatkozó útmutatásért tekintse meg ezt a cikket: Útmutatás a spekulatív végrehajtás oldalcsatornás biztonsági réseinek csökkentéséhez az Azure-ban.
A retpoline engedélyezésével kapcsolatos további információkért tekintse meg a Következő blogbejegyzést: A Spectre 2. változatának enyhítése a Windows retpoline-jával.
A biztonsági rés részleteiért tekintse meg a Microsoft biztonsági útmutatóját: CVE-2019-1125 | A Windows Kernel információfelfedés biztonsági rése.
Nem tudunk arról, hogy ez az információfelfedési biztonsági rés hatással lehet a felhőszolgáltatás infrastruktúrájára.
Amint tudomást szereztünk a problémáról, gyorsan dolgoztunk a megoldásán, és kiadtunk egy frissítést. Határozottan hiszünk a kutatókkal és az iparági partnerekkel kialakított szoros partnerségekben, hogy az ügyfelek biztonságosabbak legyenek, és augusztus 6., keddig nem tették közzé a részleteket, összhangban az összehangolt biztonságirés-közzétételi gyakorlatokkal.
További útmutatást az Intel® tranzakciós szinkronizálási bővítmények (Intel® TSX) képességeinek letiltására vonatkozó útmutatóban talál.
Referenciák
Harmadik féltől származó kapcsolattartási adatokat adunk meg, hogy segítséget nyújtsunk a technikai támogatás megtalálásához. Ezek az elérhetőségi adatok értesítés nélkül megváltozhatnak. Nem garantáljuk a harmadik fél kapcsolattartási adatainak pontosságát.