Ubah tanggal |
Ubah deskripsi |
19 Juli 2023 |
|
8 Agustus 2023 |
|
9 Agustus 2023 |
|
9 April 2024 |
|
16 April 2024 |
|
Rangkuman
Artikel ini menyediakan panduan untuk kelas baru silikon berbasis mikroarsitektural dan spekulatif eksekusi sisi-saluran kerentanan yang mempengaruhi banyak prosesor modern dan sistem operasi. Ini termasuk Intel, AMD, dan ARM. Detail spesifik untuk kerentanan berbasis silikon ini dapat ditemukan dalam ADVs (Security Advisories) dan CVEs berikut (Kerentanan Umum dan Eksposur):
-
ADV180002 | Panduan untuk mengurangi kerentanan saluran sisi eksekusi spekulatif
-
ADV180013 | Panduan Microsoft untuk Pendaftaran Sistem Nakal Dibaca
-
ADV180016 | Panduan Microsoft untuk Pemulihan Status FP Malas
-
ADV190013 | Panduan Microsoft untuk mengurangi kerentanan Pengambilan Sampel Data Microarchitectural
-
ADV220002 | Panduan Microsoft tentang Kerentanan Data Prosesor Intel MMIO Basi
Penting: Masalah ini juga memengaruhi sistem operasi lainnya, seperti Android, Chrome, iOS, dan macOS. Oleh karena itu, kami menyarankan pelanggan untuk mencari panduan dari vendor tersebut.
Kami telah merilis beberapa pembaruan untuk membantu mengurangi kerentanan ini. Kami juga telah mengambil tindakan untuk mengamankan layanan cloud kami. Lihat bagian berikut ini untuk detail selengkapnya.
Kami belum menerima informasi apa pun untuk menunjukkan bahwa kerentanan ini digunakan untuk menyerang pelanggan. Kami bekerja sama dengan mitra industri termasuk pembuat chip, OEM perangkat keras, dan vendor aplikasi untuk melindungi pelanggan. Untuk mendapatkan semua perlindungan yang tersedia, pembaruan firmware (mikrokode) dan perangkat lunak diperlukan. Ini termasuk kode mikro dari OEM perangkat dan, dalam beberapa kasus, pembaruan untuk perangkat lunak antivirus.
Artikel ini membahas kerentanan berikut ini:
Windows Update juga akan menyediakan mitigasi Internet Explorer dan Edge. Kami akan terus meningkatkan mitigasi ini terhadap kelas kerentanan ini.
Untuk mempelajari selengkapnya tentang kelas kerentanan ini, lihat yang berikut ini:
Kerentanan
Pada 14 Mei 2019, Intel menerbitkan informasi tentang subkelas baru kerentanan saluran sisi eksekusi spekulatif yang dikenal sebagai Microarchitectural Data Sampling. Kerentanan ini ditangani dalam CVEs berikut:
-
CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)
-
CVE-2018-12127 | Microarchitectural Fill Buffer Data Sampling (MFBDS)
-
CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)
Penting: Masalah ini akan memengaruhi sistem operasi lain seperti Android, Chrome, iOS, dan MacOS. Kami menyarankan Anda untuk mencari bimbingan dari masing-masing vendor ini.
Kami telah merilis pembaruan untuk membantu mengurangi kerentanan ini. Untuk mendapatkan semua perlindungan yang tersedia, pembaruan firmware (mikrokode) dan perangkat lunak diperlukan. Ini mungkin termasuk kode mikro dari OEM perangkat. Dalam beberapa kasus, menginstal pembaruan ini akan berdampak pada kinerja. Kami juga telah bertindak untuk mengamankan layanan cloud kami. Kami sangat menyarankan untuk menyebarkan pembaruan ini.
Untuk informasi selengkapnya tentang masalah ini, lihat Panduan berbasis Skenario dan Konsultan Keamanan berikut ini untuk menentukan tindakan yang diperlukan untuk mengurangi ancaman:
-
ADV190013 | Panduan Microsoft untuk mengurangi kerentanan Pengambilan Sampel Data Microarchitectural
-
Panduan Windows untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif
Catatan: Kami menyarankan agar Anda menginstal semua pembaruan terkini dari Windows Update sebelum menginstal pembaruan kode mikro apa pun.
Pada 6 Agustus 2019 Intel merilis detail tentang kerentanan pengungkapan informasi kernel Windows. Kerentanan ini merupakan varian dari spektre Varian 1 spekulatif eksekusi sisi-saluran kerentanan dan telah ditetapkan CVE-2019-1125.
Pada 9 Juli 2019, kami merilis pembaruan keamanan untuk sistem operasi Windows untuk membantu mengurangi masalah ini. Harap diperhatikan bahwa kami menahan pendokumentasian mitigasi ini secara publik hingga pengungkapan industri terkoordinasi pada selasa, 6 Agustus 2019.
Pelanggan yang telah Windows Update diaktifkan dan telah menerapkan pembaruan keamanan yang dirilis pada 9 Juli 2019 dilindungi secara otomatis. Tidak ada konfigurasi lebih lanjut yang diperlukan.
Catatan: Kerentanan ini tidak memerlukan pembaruan kode mikro dari produsen perangkat Anda (OEM).
Untuk informasi selengkapnya tentang kerentanan ini dan pembaruan yang berlaku, lihat Panduan Pembaruan Keamanan Microsoft:
Pada 12 November 2019, Intel menerbitkan konsultasi teknis tentang Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability that is assigned CVE-2019-11135. Kami telah merilis pembaruan untuk membantu mengurangi kerentanan ini. Secara default, proteksi OS diaktifkan untuk edisi OS Klien Windows.
Pada tanggal 14 Juni 2022, kami menerbitkan ADV220002 | Panduan Microsoft tentang Kerentanan Data Prosesor Intel MMIO Basi. Kerentanan thes ditetapkan dalam CVEs berikut:
-
CVE-2022-21125 | Pengambilan sampel data penyangga bersama (SBDS)
-
CVE-2022-21127 | Special Register Buffer Data Sampling Update (Pembaruan SRBDS)
Tindakan yang disarankan
Anda harus melakukan tindakan berikut untuk membantu melindungi dari kerentanan ini:
-
Terapkan semua pembaruan sistem operasi Windows yang tersedia, termasuk pembaruan keamanan Windows bulanan.
-
Terapkan pembaruan firmware (microcode) yang berlaku yang disediakan oleh produsen perangkat.
-
Evaluasi risiko terhadap lingkungan Anda berdasarkan informasi yang disediakan dalam Microsoft Security Advisories ADV180002, ADV180012, ADV190013, dan ADV220002,selain informasi yang disediakan dalam artikel ini.
-
Lakukan tindakan sesuai keperluan menggunakan informasi kunci registri dan konsultan yang disediakan dalam artikel ini.
Catatan: Pelanggan Surface akan menerima pembaruan kode mikro melalui pembaruan Windows. Untuk daftar pembaruan firmware perangkat Surface (microcode) terbaru yang tersedia, lihat KB4073065.
Pada 12 Juli 2022, kami menerbitkan CVE-2022-23825 | AMD CPU Branch Type Confusion yang menjelaskan bahwa alias di branch predictor dapat menyebabkan prosesor AMD tertentu untuk memprediksi jenis cabang yang salah. Masalah ini mungkin berpotensi menyebabkan pengungkapan informasi.
Untuk membantu melindungi dari kerentanan ini, sebaiknya instal pembaruan Windows yang tertanggal pada atau setelah Juli 2022 lalu lakukan tindakan sesuai keharusan CVE-2022-23825 dan informasi kunci registri yang disediakan dalam artikel Pangkalan Pengetahuan ini.
Untuk informasi selengkapnya, lihat buletin keamanan AMD-SB-1037 .
Pada 8 Agustus 2023, kami menerbitkan CVE-2023-20569 | AMD CPU Return Address Predictor (juga dikenal sebagai Inception) yang menjelaskan serangan saluran sisi spekulatif baru yang dapat mengakibatkan eksekusi spekulatif pada alamat yang dikontrol penyerang. Masalah ini memengaruhi prosesor AMD tertentu dan mungkin berpotensi menyebabkan pengungkapan informasi.
Untuk membantu melindungi dari kerentanan ini, sebaiknya instal pembaruan Windows yang tertanggal pada atau setelah Agustus 2023 lalu lakukan tindakan sesuai keharusan CVE-2023-20569 dan informasi kunci registri yang disediakan dalam artikel Pangkalan Pengetahuan ini.
Untuk informasi selengkapnya, lihat buletin keamanan AMD-SB-7005 .
Pada 9 April 2024, kami menerbitkan CVE-2022-0001 | Injeksi Riwayat Cabang Intel yang menjelaskan Injeksi Riwayat Cabang (BHI) yang merupakan bentuk tertentu dari intra-mode BTI. Kerentanan ini terjadi ketika penyerang dapat memanipulasi riwayat cabang sebelum beralih dari pengguna ke mode supervisor (atau dari VMX non-akar/tamu ke mode akar). Manipulasi ini dapat menyebabkan prediktor cabang tidak langsung memilih entri prediktor tertentu untuk cabang tidak langsung, dan gadget pengungkapan pada target yang diprediksi akan dijalankan secara sementara. Ini mungkin dimungkinkan karena riwayat cabang yang relevan mungkin berisi cabang yang diambil dalam konteks keamanan sebelumnya, dan khususnya, mode prediktor lainnya.
Pengaturan mitigasi untuk klien Windows
Penasihat keamanan (ADV) dan CV Menyediakan informasi tentang risiko yang ditimbulkan oleh kerentanan ini, dan bagaimana mereka membantu Anda mengidentifikasi keadaan default mitigasi untuk sistem klien Windows. Tabel berikut ini merangkum persyaratan kode mikro CPU dan status default mitigasi pada klien Windows.
CVE |
Memerlukan kode mikro/firmware CPU? |
Status Default Mitigasi |
---|---|---|
CVE-2017-5753 |
Tidak |
Diaktifkan secara default (tidak ada opsi untuk menonaktifkan) Silakan lihat ADV180002 untuk informasi tambahan. |
CVE-2017-5715 |
Ya |
Diaktifkan secara default. Pengguna sistem berdasarkan prosesor AMD akan melihat FAQ #15 dan pengguna prosesor ARM akan melihat FAQ #20 di ADV180002 untuk tindakan tambahan dan artikel KB ini untuk pengaturan kunci registri yang berlaku. Catatan Secara default, Retpoline diaktifkan untuk perangkat yang menjalankan Windows 10, versi 1809, atau yang lebih baru jika Spectre Varian 2 (CVE-2017-5715) diaktifkan. Untuk informasi selengkapnya, di sekitar Retpoline, ikuti panduan dalam varian Mitigasi Spectre 2 dengan Retpoline di posting blog Windows. |
CVE-2017-5754 |
Tidak |
Diaktifkan secara default Silakan lihat ADV180002 untuk informasi tambahan. |
CVE-2018-3639 |
Intel: Ya AMD: Tidak ARM: Ya |
Intel dan AMD: Dinonaktifkan secara default. Lihat ADV180012 untuk informasi selengkapnya dan artikel KB ini untuk pengaturan kunci registri yang berlaku. ARM: Diaktifkan secara default tanpa opsi untuk menonaktifkan. |
CVE-2019-11091 |
Intel: Ya |
Diaktifkan secara default. Lihat ADV190013 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
CVE-2018-12126 |
Intel: Ya |
Diaktifkan secara default. Lihat ADV190013 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
CVE-2018-12127 |
Intel: Ya |
Diaktifkan secara default. Lihat ADV190013 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
CVE-2018-12130 |
Intel: Ya |
Diaktifkan secara default. Lihat ADV190013 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
CVE-2019-11135 |
Intel: Ya |
Diaktifkan secara default. Lihat CVE-2019-11135 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
CVE-2022-21123 (bagian dari mmio ADV220002) |
Intel: Ya |
Windows 10, versi 1809, dan yang lebih baru: Diaktifkan secara default. Windows 10, versi 1607 dan yang lebih lama: Dinonaktifkan secara default.Lihat CVE-2022-21123 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
CVE-2022-21125 (bagian dari mmio ADV220002) |
Intel: Ya |
Windows 10, versi 1809, dan yang lebih baru: Diaktifkan secara default. Windows 10, versi 1607 dan yang lebih lama: Dinonaktifkan secara default.Lihat CVE-2022-21125 untuk informasi selengkapnya. |
CVE-2022-21127 (bagian dari mmio ADV220002) |
Intel: Ya |
Windows 10, versi 1809, dan yang lebih baru: Diaktifkan secara default. Windows 10, versi 1607 dan yang lebih lama: Dinonaktifkan secara default.Lihat CVE-2022-21127 untuk informasi selengkapnya. |
CVE-2022-21166 (bagian dari mmio ADV220002) |
Intel: Ya |
Windows 10, versi 1809, dan yang lebih baru: Diaktifkan secara default. Windows 10, versi 1607 dan yang lebih lama: Dinonaktifkan secara default.Lihat CVE-2022-21166 untuk informasi selengkapnya. |
CVE-2022-23825 (Amd CPU Branch Type Confusion) |
AMD: Tidak |
Lihat CVE-2022-23825 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
CVE-2023-20569 (Prediktor Alamat Pengirim CPU AMD) |
AmD: Ya |
Lihat CVE-2023-20569 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
Intel: Tidak |
Dinonaktifkan secara default. Lihat CVE-2022-0001 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
Catatan: Secara default, mengaktifkan mitigasi yang nonaktif dapat memengaruhi kinerja perangkat. Efek kinerja aktual bergantung pada beberapa faktor, seperti chipset tertentu dalam perangkat dan beban kerja yang berjalan.
Pengaturan registri
Kami menyediakan informasi registri berikut untuk mengaktifkan mitigasi yang tidak diaktifkan secara default, seperti yang didokumentasikan dalam Konsultan Keamanan (ADV) dan CVEs. Selain itu, kami menyediakan pengaturan kunci registri untuk pengguna yang ingin menonaktifkan mitigasi jika berlaku untuk klien Windows.
Penting: Bagian, metode, atau tugas ini berisi langkah-langkah yang memberi tahu Anda cara mengubah registri. Namun, masalah serius mungkin terjadi jika Anda salah mengubah registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan hati-hati. Untuk perlindungan tambahan, cadangkan registri sebelum Anda mengubahnya. Lalu, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi selengkapnya tentang cara mencadangkan dan memulihkan registri, lihat artikel berikut ini di Pangkalan Pengetahuan Microsoft:322756 Cara mencadangkan dan memulihkan registri di Windows
Penting: Secara default, Retpoline diaktifkan di Windows 10, perangkat versi 1809 jika Spectre, Varian 2 (CVE-2017-5715) diaktifkan. Mengaktifkan Retpoline pada versi terbaru Windows 10 dapat meningkatkan kinerja pada perangkat yang menjalankan Windows 10, versi 1809 untuk Spectre varian 2, khususnya pada prosesor lama.
Untuk mengaktifkan mitigasi default untuk CVE-2017-5715 (Spectre Varian 2) dan CVE-2017-5754 (Meltdown) reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. Untuk menonaktifkan mitigasi untuk CVE-2017-5715 (Spectre Varian 2) dan CVE-2017-5754 (Meltdown) reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. |
Catatan: Nilai 3 akurat untuk FeatureSettingsOverrideMask untuk pengaturan "aktifkan" dan "nonaktifkan". (Lihat bagian "FAQ" untuk detail selengkapnya tentang kunci registri.)
Untuk menonaktifkan mitigasi CVE-2017-5715 (Spectre Varian 2) : reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. Untuk mengaktifkan mitigasi default untuk CVE-2017-5715 (Spectre Varian 2) dan CVE-2017-5754 (Meltdown): reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. |
Secara default, perlindungan user-to-kernel untuk CVE-2017-5715 dinonaktifkan untuk CPU AMD dan ARM. Anda harus mengaktifkan mitigasi untuk menerima perlindungan tambahan untuk CVE-2017-5715. Untuk informasi selengkapnya, lihat FAQ #15 dalam ADV180002 untuk prosesor AMD dan FAQ #20 dalam ADV180002 untuk prosesor ARM.
Aktifkan perlindungan user-to-kernel pada prosesor AMD dan ARM bersama-sama dengan perlindungan lain untuk CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. |
Untuk mengaktifkan mitigasi untuk CVE-2018-3639 (Speculative Store Bypass), mitigasi default untuk CVE-2017-5715 (Spectre Varian 2) dan CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. Catatan: Prosesor AMD tidak rentan terhadap CVE-2017-5754 (Meltdown). Kunci registri ini digunakan dalam sistem dengan prosesor AMD untuk mengaktifkan mitigasi default untuk CVE-2017-5715 pada prosesor AMD dan mitigasi untuk CVE-2018-3639. Untuk menonaktifkan mitigasi untuk CVE-2018-3639 (Bypass Bursa Spekulatif) *dan* mitigasi untuk CVE-2017-5715 (Varian Spectre 2) dan CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. |
Secara default, perlindungan user-to-kernel untuk CVE-2017-5715 dinonaktifkan untuk prosesor AMD. Pelanggan harus mengaktifkan mitigasi untuk menerima perlindungan tambahan untuk CVE-2017-5715. Untuk informasi selengkapnya, lihat FAQ #15 di ADV180002.
Memungkinkan perlindungan user-to-kernel pada prosesor AMD bersama dengan perlindungan lain untuk CVE 2017-5715 dan perlindungan untuk CVE-2018-3639 (Bypass Store Spekulatif): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. |
Untuk mengaktifkan mitigasi untuk Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) dan Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) bersama dengan Spectre (CVE-2017-5753 & CVE-2017-5715) dan varian Meltdown (CVE-2017-5754) termasuk Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) serta L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, dan CVE-2018-3646) tanpa menonaktifkan Hyper-Threading: reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Jika fitur Hyper-V diinstal, tambahkan pengaturan registri berikut: reg tambahkan "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Jika ini adalah host Hyper-V dan pembaruan firmware telah diterapkan: Matikan semua Virtual Machines. Hal ini memungkinkan mitigasi terkait firmware diterapkan pada host sebelum VM dimulai. Oleh karena itu, VM juga diperbarui saat VM dimulai ulang. Mulai ulang perangkat agar perubahan dapat diterapkan. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) dengan Hyper-Threading dinonaktifkan: reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Jika fitur Hyper-V diinstal, tambahkan pengaturan registri berikut: reg tambahkan "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Jika ini adalah host Hyper-V dan pembaruan firmware telah diterapkan: Matikan semua Virtual Machines. Hal ini memungkinkan mitigasi terkait firmware diterapkan pada host sebelum VM dimulai. Oleh karena itu, VM juga diperbarui saat VM dimulai ulang. Mulai ulang perangkat agar perubahan dapat diterapkan. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646): reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. |
Untuk mengaktifkan mitigasi untuk CVE-2022-23825 pada prosesor AMD :
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Agar sepenuhnya terlindungi, pelanggan mungkin juga perlu menonaktifkan Hyper-Threading (juga dikenal sebagai Simultaneous Multi Threading (SMT)). Silakan lihat KB4073757untuk panduan tentang melindungi perangkat Windows.
Untuk mengaktifkan mitigasi untuk CVE-2023-20569 pada prosesor AMD:
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Untuk mengaktifkan mitigasi untuk CVE-2022-0001 pada prosesor Intel:
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Mengaktifkan beberapa mitigasi
Untuk mengaktifkan beberapa mitigasi, Anda harus menambahkan nilai REG_DWORD setiap mitigasi bersama-sama.
Contohnya:
Mitigation for Transaction Asynchronous Abort vulnerability, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD), dan L1 Terminal Fault (L1TF) dengan Hyper-Threading dinonaktifkan |
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
CATATAN 8264 (dalam Desimal) = 0x2048 (dalam Hex) Untuk mengaktifkan BHI bersama dengan pengaturan lain yang sudah ada, Anda perlu menggunakan bitwise OR dari nilai saat ini dengan 8.388.608 (0x800000). 0x800000 OR 0x2048(8264 dalam desimal) dan akan menjadi 8.396.872 (0x802048). Sama dengan FeatureSettingsOverrideMask. |
|
Mitigasi untuk CVE-2022-0001 pada prosesor Intel |
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Mitigasi gabungan |
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Mitigation for Transaction Asynchronous Abort vulnerability, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD), dan L1 Terminal Fault (L1TF) dengan Hyper-Threading dinonaktifkan |
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Mitigasi untuk CVE-2022-0001 pada prosesor Intel |
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Mitigasi gabungan |
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Memverifikasi proteksi diaktifkan
Untuk membantu memverifikasi bahwa proteksi diaktifkan, kami telah menerbitkan skrip PowerShell yang dapat Anda jalankan di perangkat Anda. Instal dan jalankan skrip dengan menggunakan salah satu metode berikut.
Instal Modul PowerShell: PS> Install-Module SpeculationControl Jalankan modul PowerShell untuk memverifikasi bahwa proteksi diaktifkan: PS> # Simpan kebijakan eksekusi saat ini agar dapat diatur ulang PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset kebijakan eksekusi ke status asli PS> Set-ExecutionPolicy $SaveExecutionPolicy -Lingkup Currentuser |
Instal Modul PowerShell dari Technet ScriptCenter: Buka https://aka.ms/SpeculationControlPS Unduh SpeculationControl.zip ke folder lokal. Ekstrak konten ke folder lokal, misalnya C:\ADV180002 Jalankan modul PowerShell untuk memverifikasi bahwa proteksi diaktifkan: Mulai PowerShell, lalu (dengan menggunakan contoh sebelumnya) salin dan jalankan perintah berikut: PS> # Simpan kebijakan eksekusi saat ini agar dapat diatur ulang PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset kebijakan eksekusi ke status asli PS> Set-ExecutionPolicy $SaveExecutionPolicy -Lingkup Currentuser |
Untuk penjelasan mendetail tentang output skrip PowerShell, silakan lihat KB4074629.
Pertanyaan umum
Kode mikro dikirimkan melalui pembaruan firmware. Anda harus memeriksa dengan CPU (chipset) dan produsen perangkat Anda tentang ketersediaan pembaruan keamanan firmware yang berlaku untuk perangkat tertentu mereka, termasuk Panduan Revisi Kode Mikro Intel.
Mengatasi kerentanan perangkat keras melalui pembaruan perangkat lunak memberikan tantangan yang signifikan. Selain itu, mitigasi untuk sistem operasi yang lebih lama memerlukan perubahan arsitektur yang ekstensif. Kami bekerja dengan produsen chip yang terpengaruh untuk menentukan cara terbaik untuk menyediakan mitigasi, yang mungkin akan dikirimkan dalam pembaruan mendatang.
Updates untuk perangkat Microsoft Surface akan dikirimkan kepada pelanggan melalui Windows Update bersama dengan pembaruan untuk sistem operasi Windows. Untuk daftar pembaruan firmware perangkat Surface (microcode) yang tersedia, lihat KB4073065.
Jika perangkat Anda bukan berasal dari Microsoft, terapkan firmware dari produsen perangkat. Untuk informasi selengkapnya, hubungi produsen perangkat OEM.
Pada bulan Februari dan Maret 2018, Microsoft merilis perlindungan tambahan untuk beberapa sistem berbasis x86. Untuk informasi selengkapnya, lihat KB4073757 dan ADV180002 Penasihat Keamanan Microsoft.
Updates ke Windows 10 untuk HoloLens tersedia untuk pelanggan HoloLens melalui Windows Update.
Setelah menerapkan Pembaruan Keamanan Windows Februari 2018, pelanggan HoloLens tidak perlu melakukan tindakan tambahan apa pun untuk memperbarui firmware perangkat mereka. Mitigasi ini juga akan disertakan dalam semua rilis Windows 10 untuk HoloLens di masa mendatang.
Tidak. Pembaruan Keamanan Saja tidak kumulatif. Tergantung pada versi sistem operasi yang Anda jalankan, Anda harus menginstal setiap pembaruan Keamanan Hanya bulanan untuk dilindungi terhadap kerentanan ini. Misalnya, jika Anda menjalankan Windows 7 untuk Sistem 32-bit pada CPU Intel yang terpengaruh, Anda harus menginstal semua pembaruan Keamanan Saja. Sebaiknya instal pembaruan Keamanan Saja dalam urutan rilis.
Catatan Versi yang lebih lama dari FAQ ini secara tidak benar menyatakan bahwa pembaruan Keamanan Hanya Bulan Februari menyertakan perbaikan keamanan yang dirilis pada bulan Januari. Bahkan, tidak.
Tidak. Pembaruan keamanan 4078130 adalah perbaikan khusus untuk mencegah perilaku sistem yang tidak terduga, masalah kinerja, dan/atau boot ulang yang tidak diharapkan setelah penginstalan kode mikro. Menerapkan pembaruan keamanan bulan Februari pada sistem operasi klien Windows memungkinkan ketiga mitigasi.
Intel baru-baru ini mengumumkan bahwa mereka telah menyelesaikan validasi mereka dan mulai merilis kode mikro untuk platform CPU yang lebih baru. Microsoft menyediakan pembaruan kode mikro tervalidasi Intel di sekitar Spectre Varian 2 (CVE-2017-5715 "Injeksi Target Cabang"). KB4093836 mencantumkan artikel Basis Pengetahuan tertentu menurut versi Windows. Setiap KB tertentu berisi pembaruan kode mikro Intel yang tersedia oleh CPU.
Masalah ini telah diatasi dalam KB4093118.
AMD baru-baru ini mengumumkan bahwa mereka telah mulai merilis kode mikro untuk platform CPU yang lebih baru di sekitar Spectre Varian 2 (CVE-2017-5715 "Branch Target Injection"). Untuk informasi selengkapnya, lihat Updates Keamanan AMD dan AMD Whitepaper: Panduan Arsitektur di sekitar Kontrol Cabang Tidak Langsung. Ini tersedia dari saluran firmware OEM.
Kami menyediakan pembaruan kode mikro tervalidasi Intel di sekitar Spectre Varian 2 (CVE-2017-5715 "Branch Target Injection "). Untuk mendapatkan pembaruan kode mikro Intel terbaru melalui Windows Update, pelanggan harus telah menginstal kode mikro Intel pada perangkat yang menjalankan sistem operasi Windows 10 sebelum memutakhirkan ke pembaruan Windows 10 April 2018 (versi 1803).
Pembaruan kode mikro juga tersedia secara langsung dari Katalog jika tidak diinstal di perangkat sebelum memutakhirkan OS. Kode mikro Intel tersedia melalui Windows Update, WSUS, atau Katalog Pembaruan Microsoft. Untuk informasi selengkapnya dan instruksi pengunduhan, lihat KB4100347.
Untuk informasi selengkapnya, lihat sumber daya berikut ini:
Untuk detailnya, lihat bagian "Tindakan yang Direkomendasikan" dan "FAQ" di ADV180012 | Panduan Microsoft untuk Bypass Bursa Spekulatif.
Untuk memverifikasi status SSBD, skrip Get-SpeculationControlSettings PowerShell diperbarui untuk mendeteksi prosesor yang terpengaruh, status pembaruan sistem operasi SSBD, dan status kode mikro prosesor jika berlaku. Untuk informasi selengkapnya dan untuk mendapatkan skrip PowerShell, lihat KB4074629.
Pada 13 Juni 2018, kerentanan tambahan yang melibatkan eksekusi spekulatif saluran sisi, yang dikenal sebagai Pemulihan Negara FP Malas, diumumkan dan ditetapkan CVE-2018-3665. Tidak diperlukan pengaturan konfigurasi (registri) untuk Pemulihan Malas FP Pulihkan.
Untuk informasi selengkapnya tentang kerentanan ini dan untuk tindakan yang direkomendasikan, lihat ADV180016 konsultan keamanan | Panduan Microsoft untuk Pemulihan Status FP Malas.
Catatan: Tidak diperlukan pengaturan konfigurasi (registri) untuk Pemulihan Malas FP Pulihkan.
Bounds Check Bypass Store (BCBS) diungkapkan pada 10 Juli 2018 dan ditetapkan CVE-2018-3693. Kami menganggap BCBS termasuk dalam kelas kerentanan yang sama dengan Bypass Pemeriksaan Batas (Varian 1). Kami saat ini tidak menyadari adanya BCBS dalam perangkat lunak kami, tetapi kami terus melakukan riset untuk kelas kerentanan ini dan akan bekerja dengan mitra industri untuk merilis mitigasi sesuai kebutuhan. Kami terus mendorong peneliti untuk mengirimkan temuan yang relevan ke program karunia Saluran Sisi Eksekusi Spekulatif Microsoft, termasuk setiap contoh BCBS yang dapat dieksploitasi. Pengembang perangkat lunak harus meninjau panduan pengembang yang diperbarui untuk BCBS di https://aka.ms/sescdevguide.
Pada 14 Agustus 2018, L1 Terminal Fault (L1TF) diumumkan dan ditetapkan beberapa CVEs. Kerentanan saluran sisi spekulatif baru ini dapat digunakan untuk membaca konten memori di seluruh batas tepercaya dan, jika dieksploitasi, dapat mengarah pada pengungkapan informasi. Penyerang dapat memicu kerentanan melalui beberapa vektor, tergantung pada lingkungan yang dikonfigurasi. L1TF memengaruhi prosesor Intel® Core® dan prosesor Intel® Xeon®.
Untuk informasi selengkapnya tentang kerentanan ini dan tampilan mendetail skenario yang terpengaruh, termasuk pendekatan Microsoft untuk memitigasi L1TF, lihat sumber daya berikut ini:
Pelanggan yang menggunakan prosesor ARM 64-bit harus memeriksa dengan OEM perangkat untuk dukungan firmware karena perlindungan sistem operasi ARM64 yang mengurangi CVE-2017-5715 | Injeksi target cabang (Spectre, Varian 2) memerlukan pembaruan firmware terbaru dari OEM perangkat agar dapat diterapkan.
Untuk informasi selengkapnya, lihat saran keamanan berikut
Untuk informasi selengkapnya, lihat saran keamanan berikut
Panduan lebih lanjut dapat ditemukan dalam panduan Windows untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif
Silakan lihat panduan dalam panduan Windows untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif
Untuk panduan Azure, silakan lihat artikel ini: Panduan untuk memitigasi kerentanan saluran sisi eksekusi spekulatif di Azure.
Untuk informasi selengkapnya tentang pemberdayaan Retpoline, lihat postingan blog kami: Mitigasi Spectre varian 2 dengan Retpoline di Windows.
Untuk detail tentang kerentanan ini, lihat Panduan Keamanan Microsoft: CVE-2019-1125 | Kerentanan Pengungkapan Informasi Kernel Windows.
Kami tidak menyadari adanya kerentanan pengungkapan informasi ini yang memengaruhi infrastruktur layanan cloud kami.
Segera setelah kami menyadari masalah ini, kami bekerja cepat untuk mengatasinya dan merilis pembaruan. Kami sangat percaya pada kemitraan yang erat dengan peneliti dan mitra industri untuk membuat pelanggan lebih aman, dan tidak menerbitkan detail hingga Selasa, 6 Agustus, konsisten dengan praktik pengungkapan kerentanan terkoordinasi.
Panduan lebih lanjut dapat ditemukan dalam panduan Windows untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif.
Panduan lebih lanjut dapat ditemukan dalam panduan Windows untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif.
Panduan lebih lanjut dapat ditemukan dalam Panduan untuk menonaktifkan kemampuan Intel® Transactional Synchronization Extensions (Intel® TSX).
Referensi
Kami menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak ini mungkin berubah tanpa pemberitahuan. Kami tidak menjamin keakuratan informasi kontak pihak ketiga ini.