Modifica data |
Modificare la descrizione |
19 luglio 2023 |
|
8 agosto 2023 |
|
9 agosto 2023 |
|
9 aprile 2024 |
|
16 aprile 2024 |
|
Riassunto
Questo articolo fornisce indicazioni per una nuova classe di vulnerabilità di esecuzione speculativa e microarchitettura basata su silicio che interessano molti processori e sistemi operativi moderni. Sono inclusi Intel, AMD e ARM. Dettagli specifici per queste vulnerabilità basate sui processori sono disponibili nei seguenti ADV (Avvisi di sicurezza) e CVE (Vulnerabilità e esposizioni comuni):
-
ADV180002 | Linee guida per attenuare le vulnerabilità di esecuzione speculativa del canale laterale
-
ADV180012 | Linee guida Di Microsoft per Speculative Store Bypass
-
ADV180013 | Linee guida Microsoft per la lettura del registro di sistema rogue
-
ADV180016 | Linee guida Microsoft per il ripristino dello stato di Lazy FP
-
ADV180018 | Linee guida Microsoft per attenuare la variante L1TF
-
ADV220002 | Linee guida Microsoft sulle vulnerabilità dei dati obsoleti del processore Intel MMIO
Importante: Questo problema interessa anche altri sistemi operativi, ad esempio Android, Chrome, iOS e macOS. Pertanto, consigliamo ai clienti di cercare indicazioni da tali fornitori.
Sono stati rilasciati diversi aggiornamenti per ridurre queste vulnerabilità. Abbiamo anche intrapreso azioni per proteggere i nostri servizi cloud. Per altre informazioni, vedere le sezioni seguenti.
Non abbiamo ancora ricevuto alcuna informazione per indicare che queste vulnerabilità sono state utilizzate per attaccare i clienti. Stiamo lavorando a stretto contatto con partner di settore, tra cui produttori di chip, OEM hardware e fornitori di applicazioni per proteggere i clienti. Per ottenere tutte le protezioni disponibili, sono necessari aggiornamenti del firmware (microcodice) e software. Ciò include il microcodice degli OEM dei dispositivi e, in alcuni casi, gli aggiornamenti del software antivirus.
Questo articolo descrive le vulnerabilità seguenti:
Windows Update fornirà anche le misure di prevenzione di Internet Explorer ed Edge. Continueremo a migliorare queste misure di prevenzione contro questa classe di vulnerabilità.
Per altre informazioni su questa classe di vulnerabilità, vedere:
Vulnerabilità
Il 14 maggio 2019 Intel ha pubblicato informazioni su una nuova sottoclasse di vulnerabilità di esecuzione speculativa del canale laterale nota come Microarchitectural Data Sampling. Queste vulnerabilità sono trattate nei seguenti CVE:
-
CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)
-
CVE-2018-12127 | Campionamento dei dati del buffer di riempimento microarchitetturale (MFBDS)
-
CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)
Importante: Questi problemi interessano altri sistemi operativi come Android, Chrome, iOS e MacOS. È consigliabile chiedere assistenza a questi fornitori.
Sono stati rilasciati aggiornamenti per ridurre queste vulnerabilità. Per ottenere tutte le protezioni disponibili, sono necessari aggiornamenti del firmware (microcodice) e software. Può includere il microcodice degli OEM del dispositivo. In alcuni casi, l'installazione di questi aggiornamenti avrà un impatto delle prestazioni. Abbiamo anche agito per proteggere i nostri servizi cloud. È consigliabile distribuire questi aggiornamenti.
Per altre informazioni su questo problema, vedi il seguente avviso di sicurezza e usa le indicazioni basate su scenari per determinare le azioni necessarie per mitigare la minaccia:
Nota: È consigliabile installare tutti gli aggiornamenti più recenti di Windows Update prima di installare gli aggiornamenti del microcodice.
Il 6 agosto 2019 Intel ha rilasciato dettagli su una vulnerabilità di divulgazione di informazioni sul kernel di Windows. Questa vulnerabilità è una variante della vulnerabilità di esecuzione speculativa del canale laterale spectre variant 1 ed è stata assegnata CVE-2019-1125.
Il 9 luglio 2019 sono stati rilasciati aggiornamenti della sicurezza per il sistema operativo Windows per ridurre il problema. Tieni presente che abbiamo tenuto documenti pubblici su questa prevenzione fino alla divulgazione coordinata del settore di martedì 6 agosto 2019.
I clienti che hanno Windows Update abilitato e hanno applicato gli aggiornamenti della sicurezza rilasciati il 9 luglio 2019 sono protetti automaticamente. Non sono necessarie ulteriori configurazioni.
Nota: Questa vulnerabilità non richiede un aggiornamento del microcodice del produttore del dispositivo (OEM).
Per altre informazioni su questa vulnerabilità e sugli aggiornamenti applicabili, vedi la Guida sull'aggiornamento della sicurezza Microsoft:
Il 12 novembre 2019 Intel ha pubblicato un avviso tecnico sulla vulnerabilità di Interruzione asincrona delle transazioni Intel Transactional Synchronization Extensions (Intel TSX) a cui è assegnato CVE-2019-11135. Sono stati rilasciati aggiornamenti per ridurre questa vulnerabilità. Per impostazione predefinita, le protezioni del sistema operativo sono abilitate per le edizioni del sistema operativo Windows Client.
Il 14 giugno 2022 è stato pubblicato ADV220002 | Linee guida Microsoft sulle vulnerabilità dei dati del processore Intel MMIO Stale. Le vulnerabilità dis sono assegnate nei seguenti CVE:
-
CVE-2022-21123 | Lettura dei dati del buffer condiviso (SBDR)
-
CVE-2022-21166 | Registrazione dispositivo scrittura parziale (DRPW)
Azioni consigliate
È consigliabile eseguire le azioni seguenti per proteggersi da queste vulnerabilità:
-
Applica tutti gli aggiornamenti disponibili del sistema operativo Windows, inclusi gli aggiornamenti mensili della sicurezza di Windows.
-
Applica l'aggiornamento del firmware (microcodice) applicabile fornito dal produttore del dispositivo.
-
Valutare il rischio per l'ambiente in base alle informazioni fornite in Avvisi di sicurezza Microsoft ADV180002, ADV180012, ADV190013 e ADV220002,oltre alle informazioni fornite in questo articolo.
-
Intervenire in base alle esigenze usando gli avvisi e le informazioni sulla chiave del Registro di sistema forniti in questo articolo.
Nota: I clienti di Surface riceveranno un aggiornamento del microcodice tramite Windows Update. Per un elenco degli ultimi aggiornamenti del firmware del dispositivo Surface (microcodice), vedi KB4073065.
Il 12 luglio 2022 è stato pubblicato il CVE-2022-23825 | Confusione del tipo di ramo CPU AMD, che descrive che gli alias nel previsione del ramo possono causare la predizione del tipo di ramo errato da parte di alcuni processori AMD. Questo problema potrebbe comportare la divulgazione delle informazioni.
Per contribuire alla protezione da questa vulnerabilità, è consigliabile installare gli aggiornamenti di Windows con data successiva a luglio 2022 e quindi intervenire come richiesto da CVE-2022-23825 e dalle informazioni sulle chiavi del Registro di sistema fornite in questo knowledge base articolo.
Per altre informazioni, vedere il bollettino sulla sicurezza AMD-SB-1037 .
L'8 agosto 2023 è stato pubblicato il CVE-2023-20569 | AMD CPU Return Address Predictor (noto anche come Inception) che descrive un nuovo attacco di canale laterale speculativo che può causare l'esecuzione speculativa a un indirizzo controllato dall'aggressore. Questo problema interessa alcuni processori AMD e potrebbe comportare la divulgazione delle informazioni.
Per contribuire alla protezione da questa vulnerabilità, è consigliabile installare gli aggiornamenti di Windows con data successiva ad agosto 2023 e quindi intervenire come richiesto da CVE-2023-20569 e dalle informazioni sulle chiavi del Registro di sistema fornite in questo knowledge base articolo.
Per altre informazioni, vedere il bollettino sulla sicurezza AMD-SB-7005 .
Il 9 aprile 2024 è stato pubblicato CVE-2022-0001 | Intel Branch History Injection che descrive Branch History Injection (BHI), che è una forma specifica di BTI intra-mode. Questa vulnerabilità si verifica quando un utente malintenzionato può manipolare la cronologia dei rami prima della transizione dalla modalità utente a supervisore (o dalla modalità non radice/guest VMX alla modalità radice). Questa modifica potrebbe causare la selezione di una voce del preditore specifico per un ramo indiretto e l'esecuzione transitoria di un gadget di divulgazione presso la destinazione prevista. Ciò può essere possibile perché la cronologia dei rami rilevante può contenere rami acquisiti in contesti di sicurezza precedenti e, in particolare, in altre modalità di previsione.
Impostazioni di prevenzione per i client Windows
Gli avvisi di sicurezza (ADV) e i CVE forniscono informazioni sul rischio rappresentato da queste vulnerabilità e su come consentono di identificare lo stato predefinito delle misure di prevenzione per i sistemi client Windows. La tabella seguente riepiloga il requisito del microcodice della CPU e lo stato predefinito delle misure di prevenzione nei client Windows.
CVE |
È necessario un microcodice/firmware della CPU? |
Stato predefinito di attenuazione |
---|---|---|
CVE-2017-5753 |
No |
Abilitato per impostazione predefinita (nessuna opzione per disabilitare) Per ulteriori informazioni, fai riferimento a ADV180002 . |
CVE-2017-5715 |
Sì |
Abilitata per impostazione predefinita. Gli utenti di sistemi basati su processori AMD devono vedere le domande frequenti n. 15 e gli utenti di processori ARM devono vedere domande frequenti n. 20 su ADV180002 per ulteriori azioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili. Nota Per impostazione predefinita, Retpoline è abilitato per i dispositivi che eseguono Windows 10, versione 1809 o successiva se Spectre Variant 2 (CVE-2017-5715) è abilitato. Per ulteriori informazioni su Retpoline, segui le indicazioni nel post di blog Mitigating Spectre variante 2 con Retpoline su Windows . |
CVE-2017-5754 |
No |
Abilitato per impostazione predefinita Per ulteriori informazioni, fai riferimento a ADV180002 . |
CVE-2018-3639 |
Intel: Sì AMD: No ARM: Sì |
Intel e AMD: disabilitati per impostazione predefinita. Per altre informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili, vedere ADV180012 . ARM: abilitato per impostazione predefinita senza l'opzione per disabilitare. |
CVE-2019-11091 |
Intel: Sì |
Abilitata per impostazione predefinita. Vedere ADV190013 per altre informazioni e questo articolo per le impostazioni delle chiavi del Registro di sistema applicabili. |
CVE-2018-12126 |
Intel: Sì |
Abilitata per impostazione predefinita. Vedere ADV190013 per altre informazioni e questo articolo per le impostazioni delle chiavi del Registro di sistema applicabili. |
CVE-2018-12127 |
Intel: Sì |
Abilitata per impostazione predefinita. Vedere ADV190013 per altre informazioni e questo articolo per le impostazioni delle chiavi del Registro di sistema applicabili. |
CVE-2018-12130 |
Intel: Sì |
Abilitata per impostazione predefinita. Vedere ADV190013 per altre informazioni e questo articolo per le impostazioni delle chiavi del Registro di sistema applicabili. |
CVE-2019-11135 |
Intel: Sì |
Abilitata per impostazione predefinita. Per altre informazioni e per le impostazioni delle chiavi del Registro di sistema applicabili, vedere CVE-2019-11135. |
CVE-2022-21123 (parte di MMIO ADV220002) |
Intel: Sì |
Windows 10, versione 1809 e versioni successive: Abilitata per impostazione predefinita. Windows 10, versione 1607 e precedenti: disabilitata per impostazione predefinita.Per altre informazioni e per le impostazioni delle chiavi del Registro di sistema applicabili, vedere CVE-2022-21123 . |
CVE-2022-21125 (parte di MMIO ADV220002) |
Intel: Sì |
Windows 10, versione 1809 e versioni successive: Abilitata per impostazione predefinita. Windows 10, versione 1607 e precedenti: disabilitata per impostazione predefinita.Per altre informazioni, vedere CVE-2022-21125 . |
CVE-2022-21127 (parte di MMIO ADV220002) |
Intel: Sì |
Windows 10, versione 1809 e versioni successive: Abilitata per impostazione predefinita. Windows 10, versione 1607 e precedenti: disabilitata per impostazione predefinita.Per altre informazioni, vedere CVE-2022-21127 . |
CVE-2022-21166 (parte di MMIO ADV220002) |
Intel: Sì |
Windows 10, versione 1809 e versioni successive: Abilitata per impostazione predefinita. Windows 10, versione 1607 e precedenti: disabilitata per impostazione predefinita.Per altre informazioni, vedere CVE-2022-21166 . |
CVE-2022-23825 (confusione del tipo di ramo CPU AMD) |
AMD: No |
Per altre informazioni e per le impostazioni delle chiavi del Registro di sistema applicabili, vedere CVE-2022-23825. |
CVE-2023-20569 (AmD CPU Return Address Predictor) |
AMD: Sì |
Per altre informazioni e per le impostazioni delle chiavi del Registro di sistema applicabili, vedere CVE-2023-20569 . |
Intel: No |
Disabilitata per impostazione predefinita. Per altre informazioni e per le impostazioni delle chiavi del Registro di sistema applicabili, vedere CVE-2022-0001 . |
Nota: Per impostazione predefinita, l'abilitazione delle misure di prevenzione disattivate può influire sulle prestazioni del dispositivo. L'effetto sulle prestazioni effettive dipende da più fattori, ad esempio il chipset specifico nel dispositivo e i carichi di lavoro in esecuzione.
Impostazioni del Registro di sistema
Microsoft fornisce le seguenti informazioni del Registro di sistema per abilitare le misure di prevenzione non abilitate per impostazione predefinita, come documentato in ADV (Security Advisories) e CVE. Inoltre, forniamo le impostazioni della chiave del Registro di sistema per gli utenti che vogliono disabilitare le misure di prevenzione quando applicabili ai client Windows.
Importante: Questa sezione, metodo o attività contiene i passaggi che indicano come modificare il Registro di sistema. Tuttavia, se si modifica il Registro di sistema in modo non corretto, potrebbero verificarsi problemi gravi. Pertanto, assicurarsi di seguire attentamente questi passaggi. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo caso, è possibile ripristinare il Registro di sistema in caso di problemi. Per altre informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedere il seguente articolo della Microsoft Knowledge Base:322756 Come eseguire il backup e il ripristino del Registro di sistema in Windows
Importante: Per impostazione predefinita, Retpoline è abilitato nei dispositivi Windows 10, versione 1809 se Spectre, Variante 2 (CVE-2017-5715) è abilitato. L'abilitazione di Retpoline nell'ultima versione di Windows 10 può migliorare le prestazioni sui dispositivi che eseguono Windows 10, versione 1809 per Spectre, variante 2, in particolare sui processori meno recenti.
Per abilitare le misure di prevenzione predefinite per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavvia il dispositivo per rendere effettive le modifiche. Per disabilitare le misure di prevenzione per CVE-2017-5715 (variante 2 di Spectre) e CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavvia il dispositivo per rendere effettive le modifiche. |
Nota: Il valore 3 è accurato per FeatureSettingsOverrideMask sia per le impostazioni "enable" che "disable". Per ulteriori informazioni sulle chiavi del Registro di sistema, vedere la sezione "Domande frequenti".
Per disabilitare le misure di prevenzione per CVE-2017-5715 (variante 2 di Spectre):To disable mitigations for CVE-2017-5715 (Spectre Variant 2) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavvia il dispositivo per rendere effettive le modifiche. Per abilitare le misure di prevenzione predefinite per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavvia il dispositivo per rendere effettive le modifiche. |
Per impostazione predefinita, la protezione da utente a kernel per CVE-2017-5715 è disabilitata per le CPU AMD e ARM. È necessario abilitare la prevenzione per ricevere protezioni aggiuntive per CVE-2017-5715. Per ulteriori informazioni, vedi Domande frequenti n. 15 in ADV180002 per i processori AMD e Domande frequenti n. 20 in ADV180002 per i processori ARM.
Abilita la protezione da utente a kernel su processori AMD e ARM insieme ad altre protezioni per CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavvia il dispositivo per rendere effettive le modifiche. |
Per abilitare le misure di prevenzione per CVE-2018-3639 (Speculative Store Bypass), le misure di prevenzione predefinite per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavvia il dispositivo per rendere effettive le modifiche. Nota: I processori AMD non sono vulnerabili a CVE-2017-5754 (Meltdown). Questa chiave del Registro di sistema viene utilizzata nei sistemi con processori AMD per abilitare le misure di prevenzione predefinite per CVE-2017-5715 sui processori AMD e la prevenzione per CVE-2018-3639. Per disabilitare le misure di prevenzione per CVE-2018-3639 (Speculative Store Bypass) *e* le misure di prevenzione per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavvia il dispositivo per rendere effettive le modifiche. |
Per impostazione predefinita, la protezione da utente a kernel per CVE-2017-5715 è disabilitata per i processori AMD. I clienti devono abilitare la prevenzione per ricevere protezioni aggiuntive per CVE-2017-5715. Per altre informazioni, vedi domande frequenti n. 15 in ADV180002.
Abilita la protezione da utente a kernel sui processori AMD insieme ad altre protezioni per CVE 2017-5715 e le protezioni per CVE-2018-3639 (Speculative Store Bypass): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavvia il dispositivo per rendere effettive le modifiche. |
Per abilitare le misure di prevenzione per la vulnerabilità CVE-2019-11135 di Transactional Synchronization Extensions (Intel TSX) e il campionamento dei dati microarchitecturali (CVE-2019-11) 091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) insieme a Spectre (CVE-2017-5753 & CVE-2017-5715) e meltdown (CVE-2017-5754) varianti, tra cui Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) e L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646) senza disabilitare l'Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Se la funzionalità Hyper-V è installata, aggiungere l'impostazione del Registro di sistema seguente: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Se si tratta di un host Hyper-V e sono stati applicati gli aggiornamenti del firmware: Arresta completamente tutti i Macchine virtuali. In questo modo la prevenzione correlata al firmware deve essere applicata all'host prima dell'avvio delle macchine virtuali. Di conseguenza, le macchine virtuali vengono aggiornate anche al riavvio. Riavvia il dispositivo per rendere effettive le modifiche. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) con Hyper-Threading disabilitato: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Se la funzionalità Hyper-V è installata, aggiungere l'impostazione del Registro di sistema seguente: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Se si tratta di un host Hyper-V e sono stati applicati gli aggiornamenti del firmware: Arresta completamente tutti i Macchine virtuali. In questo modo la prevenzione correlata al firmware deve essere applicata all'host prima dell'avvio delle macchine virtuali. Di conseguenza, le macchine virtuali vengono aggiornate anche al riavvio. Riavvia il dispositivo per rendere effettive le modifiche. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavvia il dispositivo per rendere effettive le modifiche. |
Per abilitare la prevenzione per CVE-2022-23825 sui processori AMD :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Per essere completamente protetti, i clienti potrebbero anche dover disabilitare Hyper-Threading (noto anche come Simultaneous Multi Threading (SMT)). Vedi KB4073757per indicazioni sulla protezione dei dispositivi Windows.
Per abilitare la prevenzione per CVE-2023-20569 sui processori AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Per abilitare la prevenzione per CVE-2022-0001 sui processori Intel:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Abilitazione di più misure di prevenzione
Per abilitare più misure di prevenzione, è necessario aggiungere insieme il valore REG_DWORD di ogni prevenzione.
Ad esempio:
Prevenzione per vulnerabilità di interruzione asincrona delle transazioni, campionamento di dati microarchiteturali, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) e L1 Terminal Fault (L1TF) con Hyper-Threading disabilitato |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
NOTA 8264 (in decimale) = 0x2048 (in hex) Per abilitare BHI insieme ad altre impostazioni esistenti, è necessario usare or bit per bit del valore corrente con 8.388.608 (0x800000). 0x800000 O 0x2048(8264 in formato decimale) e diventerà 8.396.872 (0x802048). Uguale a FeatureSettingsOverrideMask. |
|
Prevenzione per CVE-2022-0001 sui processori Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Mitigazione combinata |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Prevenzione per vulnerabilità di interruzione asincrona delle transazioni, campionamento di dati microarchiteturali, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) e L1 Terminal Fault (L1TF) con Hyper-Threading disabilitato |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Prevenzione per CVE-2022-0001 sui processori Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Mitigazione combinata |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Verificare che le protezioni siano abilitate
Per verificare che le protezioni siano abilitate, abbiamo pubblicato uno script di PowerShell che è possibile eseguire nei dispositivi. Installare ed eseguire lo script usando uno dei metodi seguenti.
Installare il modulo di PowerShell: PS> Install-Module SpeculationControl Eseguire il modulo di PowerShell per verificare che le protezioni siano abilitate: PS> # Salvare il criterio di esecuzione corrente in modo che possa essere reimpostato PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reimpostare il criterio di esecuzione allo stato originale PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Installare il modulo di PowerShell da Technet ScriptCenter: Vai a https://aka.ms/SpeculationControlPS Scaricare SpeculationControl.zip in una cartella locale. Estrarre il contenuto in una cartella locale, ad esempio C:\ADV180002 Eseguire il modulo di PowerShell per verificare che le protezioni siano abilitate: Avviare PowerShell, quindi copiare ed eseguire i comandi seguenti usando l'esempio precedente: PS> # Salvare il criterio di esecuzione corrente in modo che possa essere reimpostato PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reimpostare il criterio di esecuzione allo stato originale PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Per una spiegazione dettagliata dell'output dello script di PowerShell, vedere KB4074629.
Domande frequenti
Il microcodice viene fornito tramite un aggiornamento del firmware. Contattare la CPU (chipset) e i produttori di dispositivi per verificare la disponibilità degli aggiornamenti di sicurezza del firmware applicabili per il dispositivo specifico, incluse le linee guida per le revisioni del microcodice Intels.
La risoluzione di una vulnerabilità hardware tramite un aggiornamento software presenta sfide significative. Inoltre, le misure di prevenzione per i sistemi operativi meno recenti richiedono modifiche architetturali estese. Stiamo lavorando con i produttori dei chip interessati per determinare il modo migliore per fornire le misure di prevenzione, che potrebbero essere fornite negli aggiornamenti futuri.
Aggiornamenti per i dispositivi Microsoft Surface verranno fornite ai clienti tramite Windows Update insieme agli aggiornamenti per il sistema operativo Windows. Per un elenco degli aggiornamenti del firmware del dispositivo Surface (microcodice) disponibili, vedi KB4073065.
Se il tuo non è un dispositivo Microsoft, applica il firmware del produttore del dispositivo. Per ulteriori informazioni, contatta il produttore del dispositivo OEM.
A febbraio e marzo 2018 Microsoft ha rilasciato una maggiore protezione per alcuni sistemi basati su x86. Per altre informazioni, vedi KB4073757 e l'ADV180002 dell'avviso di sicurezza Microsoft.
Aggiornamenti per Windows 10 per HoloLens sono disponibili per i clienti holoLens tramite Windows Update.
Dopo aver applicato l'aggiornamento di Sicurezza di Windows di febbraio 2018, i clienti di HoloLens non devono eseguire altre azioni per aggiornare il firmware del dispositivo. Queste misure di prevenzione saranno incluse anche in tutte le versioni future di Windows 10 per HoloLens.
No. Gli aggiornamenti solo della sicurezza non sono cumulativi. A seconda della versione del sistema operativo in esecuzione, dovrai installare ogni aggiornamento mensile solo della sicurezza per essere protetto da queste vulnerabilità. Ad esempio, se esegui Windows 7 per sistemi a 32 bit su una CPU Intel interessata, devi installare tutti gli aggiornamenti solo della sicurezza. È consigliabile installare questi aggiornamenti solo della sicurezza nell'ordine di rilascio.
Nota Una versione precedente di queste domande frequenti ha erroneamente indicato che l'aggiornamento solo della sicurezza di febbraio includeva le correzioni per la sicurezza rilasciate a gennaio. In realtà, non lo fa.
No. L'aggiornamento della sicurezza 4078130 era una correzione specifica per evitare comportamenti imprevisti del sistema, problemi di prestazioni e/o riavvii imprevisti dopo l'installazione del microcodice. L'applicazione degli aggiornamenti della sicurezza di febbraio nei sistemi operativi client Windows abilita tutte e tre le misure di prevenzione.
Intel ha recentemente annunciato di aver completato le convalide e ha iniziato a rilasciare microcodice per le piattaforme CPU più recenti. Microsoft sta rendendo disponibili gli aggiornamenti del microcodice convalidato da Intel per la variante 2 di Spectre (CVE-2017-5715 "Branch Target Injection"). KB4093836 elenca specifici articoli della Knowledge Base in base alla versione di Windows. Ogni specifico articolo KB contiene gli aggiornamenti di microcodice Intel disponibili per CPU.
Questo problema è stato risolto in KB4093118.
AMD ha recentemente annunciato di aver iniziato a rilasciare microcodice per le piattaforme CPU più recenti intorno a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Per altre informazioni, vedere il white paper su AMD Security Aggiornamenti e AMD: Linee guida sull'architettura per il controllo indirect branch. Sono disponibili dal canale del firmware OEM.
Stiamo rendendo disponibili gli aggiornamenti del microcodice convalidato da Intel per la variante 2 di Spectre (CVE-2017-5715 "Branch Target Injection "). Per ottenere gli aggiornamenti più recenti del microcodice Intel tramite Windows Update, i clienti devono aver installato il microcodice Intel nei dispositivi che eseguono un sistema operativo Windows 10 prima di eseguire l'aggiornamento Windows 10 aprile 2018 (versione 1803).
L'aggiornamento del microcodice è anche disponibile direttamente dal catalogo se non è stato installato nel dispositivo prima di aggiornare il sistema operativo. Il microcodice Intel è disponibile tramite Windows Update, WSUS o Microsoft Update Catalog. Per altre informazioni e istruzioni per il download, vedere KB4100347.
Per altre informazioni, vedere le risorse seguenti:
Per informazioni dettagliate, vedere le sezioni "Azioni consigliate" e "Domande frequenti" in ADV180012 | Linee guida Di Microsoft per Speculative Store Bypass.
Per verificare lo stato di SSBD, lo script Get-SpeculationControlSettings PowerShell è stato aggiornato per rilevare i processori interessati, lo stato degli aggiornamenti del sistema operativo SSBD e lo stato del microcodice del processore, se applicabile. Per altre informazioni e per ottenere lo script di PowerShell, vedere KB4074629.
Il 13 giugno 2018 è stata annunciata una vulnerabilità aggiuntiva che coinvolge l'esecuzione speculativa del canale laterale, nota come Lazy FP State Restore, a cui è stato assegnato CVE-2018-3665. Non sono necessarie impostazioni di configurazione (Registro di sistema) per Lazy Restore FP Restore.
Per ulteriori informazioni su questa vulnerabilità e per le azioni consigliate, consulta l'avviso di sicurezza ADV180016 | Microsoft Guidance for Lazy FP State Restore.
Nota: Non sono necessarie impostazioni di configurazione (Registro di sistema) per Lazy Restore FP Restore.
Bounds Check Bypass Store (BCBS) è stato divulgato il 10 luglio 2018 e ha assegnato CVE-2018-3693. Riteniamo che BCBS appartenga alla stessa classe di vulnerabilità di Bounds Check Bypass (variante 1). Attualmente non siamo a conoscenza di alcuna istanza di BCBS nel nostro software, ma stiamo continuando a cercare questa classe di vulnerabilità e collaboreremo con i partner del settore per rilasciare le misure di prevenzione in base alle esigenze. Continuiamo a incoraggiare i ricercatori a presentare qualsiasi risultato pertinente al programma di taglie Speculative Execution Side Channel di Microsoft, incluse eventuali istanze sfruttabili di BCBS. Gli sviluppatori di software devono esaminare le linee guida per gli sviluppatori aggiornate per BCBS in https://aka.ms/sescdevguide.
Il 14 agosto 2018, è stato annunciato l'L1 Terminal Fault (L1TF) e sono stati assegnati più CVE. Queste nuove vulnerabilità di esecuzione speculativa del canale laterale possono essere usate per leggere il contenuto della memoria attraverso un limite attendibile e, se sfruttate, possono portare alla divulgazione delle informazioni. Un utente malintenzionato potrebbe attivare le vulnerabilità attraverso più vettori, a seconda dell'ambiente configurato. L1TF influisce sui processori Intel® Core® e sui processori Intel® Xeon®.
Per ulteriori informazioni su questa vulnerabilità e una visualizzazione dettagliata degli scenari interessati, incluso l'approccio di Microsoft alla prevenzione di L1TF, vedi le risorse seguenti:
I clienti che utilizzano processori ARM a 64 bit devono rivolgersi all'OEM del dispositivo per ottenere supporto del firmware perché le protezioni del sistema operativo ARM64 che attenuano il CVE-2017-5715 | Per rendere effettiva l'iniezione di diramazione (Spectre, variante 2) è necessario l'aggiornamento del firmware più recente degli OEM del dispositivo.
Per ulteriori informazioni, fai riferimento ai seguenti avvisi di sicurezza
Per ulteriori informazioni, fai riferimento ai seguenti avvisi di sicurezza
Ulteriori indicazioni sono disponibili nelle linee guida di Windows per la protezione dalle vulnerabilità di esecuzione speculativa del canale laterale
Fai riferimento alle linee guida di Windows per la protezione dalle vulnerabilità di esecuzione speculativa del canale laterale
Per informazioni su Azure, vedere questo articolo: Linee guida per la prevenzione delle vulnerabilità di esecuzione speculativa del canale laterale in Azure.
Per altre informazioni sull'abilitazione di Retpoline, vedi il nostro post di blog: Prevenzione della variante 2 di Spectre con Retpoline in Windows.
Per informazioni dettagliate su questa vulnerabilità, vedere la Guida alla sicurezza Microsoft: CVE-2019-1125 | Vulnerabilità divulgazione di informazioni kernel di Windows.
Non siamo a conoscenza di alcuna istanza di questa vulnerabilità della divulgazione delle informazioni che interessa l'infrastruttura dei servizi cloud.
Non appena siamo a conoscenza di questo problema, abbiamo lavorato rapidamente per risolverlo e rilasciare un aggiornamento. Crediamo fortemente in strette partnership con ricercatori e partner di settore per rendere i clienti più sicuri e non abbiamo pubblicato dettagli fino a martedì 6 agosto, in linea con le procedure coordinate di divulgazione delle vulnerabilità.
Ulteriori indicazioni sono disponibili nelle linee guida di Windows per la protezione dalle vulnerabilità di esecuzione speculativa del canale laterale.
Ulteriori indicazioni sono disponibili nelle linee guida di Windows per la protezione dalle vulnerabilità di esecuzione speculativa del canale laterale.
Ulteriori indicazioni sono disponibili in Linee guida per la disabilitazione della funzionalità Intel® Transactional Synchronization Extensions (Intel® TSX).
Riferimenti
Microsoft fornisce informazioni di contatto di terze parti per aiutare l'utente a trovare supporto tecnico. Le informazioni di contatto sono soggette a modifica senza preavviso. Microsoft non garantisce l'accuratezza di queste informazioni di contatto di terze parti.