KB4072698: シリコンベースのマイクロアーキテクチャと投機的なサイド チャネル攻撃の実行によるセキュリティの脆弱性から保護するための Windows Server および Azure Stack HCI ガイダンス

この資料は次の投機的実行の脆弱性を解決します。

• CVE-2017-5715 | ブランチ ターゲット インジェクション

• CVE-2017-5753 | 境界チェックのバイパス

• CVE-2017-5754 | 不正なデータ キャッシュの読み込み

• CVE-2018-3639 | 投機的ストア バイパス

Windows Update では、Internet Explorer と Edge の緩和策も提供される予定です。 このクラスの脆弱性に対してこれらの緩和策を今後も改善を続ける予定です。

このクラスの脆弱性に関する詳細については、以下を参照してください。

• ADV180002 | 投機的実行のサイドチャネルの脆弱性を軽減するガイダンス

• ADV180012 | 投機的ストア バイパスに関するマイクロソフト ガイダンス

2019 年 5 月 14 日、Intel はマイクロアーキテクチャ データ サンプリンと呼ばれる投機的実行サイド チャネルの脆弱性の新しいサブクラスに関する情報を公開しました。これらの脆弱性は、ADV190013 | マイクロアーキテクチャ データ サンプリングに記載されていました。 これらの脆弱性には、次の CVE が割り当てられています。

• CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

• CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)

• CVE-2018-12127 | Microarchitectural Fill Buffer Data Sampling (MFBDS)

• CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)

マイクロソフトは、これらの脆弱性を緩和するために役立つ更新プログラムをリリースしました。 利用できるすべての保護を受けるには、ファームウェア (マイクロコード) とソフトウェアの更新プログラムが必要です。 これには、デバイス OEM のマイクロコードが含まれる場合があります。 場合によっては、これらの更新プログラムをインストールするとパフォーマンスが低下します。 また、マイクロソフトのクラウド サービスをセキュリティで保護する措置も講じました。 これらの更新プログラムを展開することを強くお勧めします。

この問題の詳細については、次のセキュリティ アドバイザリや使用シナリオベースのガイダンスを参照して、脅威を緩和するために必要な操作を判断してください。

• ADV190013 | マイクロアーキテクチャ データ サンプリングの脆弱性を軽減するためのマイクロソフト ガイダンス

• Windows を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス

2019 年 8 月 7 日、Intel は Windows カーネルの情報漏えいの脆弱性について詳細情報をリリースしました。 この脆弱性は、スペクター バリアント 1 投機的実行サイド チャネルの脆弱性のバリアント (亜種) であり、CVE-2019-1125 が割り当てられました。

2019 年 7 月 10 日、この問題を緩和するために Windows オペレーティング システムのセキュリティ更新プログラムをリリースしました。 業界で調整された開示日である 2019 年 8 月 7 日水曜日まで、この緩和策に関する文書の公開は保留されていたことにご留意ください。

Windows Update を有効にし、2019 年 7 月 10 日にリリースされたセキュリティ更新プログラムを適用したお客様は自動的に保護されています。 さらに必要な構成はありません。

この脆弱性と適用可能な更新プログラムの詳細については、マイクロソフト セキュリティ更新プログラム ガイドを参照してください。

• CVE-2019-1125 | Windows カーネルの情報漏えいの脆弱性

2019 年 11 月 13 日、Intel は、CVE-2019-11135 が割り当てられた Intel® Transactional Synchronization Extensions (Intel TSX) のトランザクションの非同期中止の脆弱性に関するテクニカル アドバイザリを公開しました。 Microsoft は、この脆弱性を軽減するための更新プログラムをリリースしました。また、Windows Server 2019 では OS 保護が既定で有効になっていますが、Windows Server 2016 以前の Windows Server OS エディションでは既定で無効になっています。

2022 年 6 月 14 日、ADV220002 | Intel Processor MMIO の古くなったデータの脆弱性に関するマイクロソフト ガイダンスを公開し、次の CVE を割り当てました。 

• CVE-2022-21123 | 共有バッファー データ読み取り (SBDR)

• CVE-2022-21125 | 共有バッファー データ サンプリング (SBDS)

• CVE-2022-21127 | 特別なレジスタ バッファー データ サンプリング更新 (SRBDS 更新)

• CVE-2022-21166 | デバイス レジスタの部分書き込み (DRPW)

推奨される操作

脆弱性から保護するために、次の操作を実行することをおすすめします。

1. マンスリー Windows セキュリティ更新プログラムなど、利用できるすべての Windows オペレーティング システムの更新プログラムを適用します。

2. デバイスの製造元からリリースされている適用可能なファームウェア (マイクロコード) の更新プログラムを適用します。

3. マイクロソフト セキュリティ アドバイザリ ADV180002、ADV180012、ADV190013、ADV220002 と、このサポート技術情報に記載されている情報に基づいて、お客様の環境に対するリスクを評価してください。

4. このサポート技術情報に記載されているアドバイザリとレジストリ キーの情報を参照し、必要に応じて対処してください。

2022 年 7 月 12 日に、CVE-2022-23825 | AMD CPU Branch Type Confusion を公開しました。分岐予測子のエイリアスにより、特定の AMD プロセッサが間違った分岐の種類を予測する可能性があることが説明されています。 この問題は、情報漏えいにつながる可能性があります。

この脆弱性から保護するには、2022 年 7 月以降の Windows 更新プログラムをインストールし、CVE-2022-23825 と、このナレッジ ベースの記事で提供されているレジストリ キー情報に応じて措置を講じることをお勧めします。

詳細については、「AMD-SB-1037 セキュリティ情報」 を参照してください。

2023 年 8 月 8 日に、CVE-2023-20569 | Return Address Predictor (インセプションとも呼ばれます) を公開しました。攻撃者が制御するアドレスで投機的実行を引き起こす可能性のある新しい投機的サイド チャネル攻撃について説明しています。 この問題は特定の AMD プロセッサに影響し、情報漏えいにつながる可能性があります。

この脆弱性から保護するには、2023 年 8 月以降の Windows 更新プログラムをインストールし、CVE-2023-20569 と、このナレッジ ベースの記事で提供されているレジストリ キー情報に応じて措置を講じることをお勧めします。

詳細については、「AMD-SB-7005 セキュリティ情報」 を参照してください。

2024 年 4 月 9 日に CVE-2022-0001 | Intel Branch History Injection を発行しました。これは、モード内 BTI の特定の形式であるブランチ履歴インジェクション (BHI) を記述します。 この脆弱性は、攻撃者がユーザー モードから保護モード (または VMX 非ルート/ゲスト モードからルート モード) に移行する前にブランチ履歴を操作する可能性がある場合に発生します。 この操作により、間接分岐予測子が間接分岐の特定の予測子エントリを選択する可能性があり、予測されたターゲットの開示ガジェットが一時的に実行されます。 これは、関連する分岐履歴に、以前のセキュリティ コンテキスト、特に他のプレディクター モードで行われた分岐が含まれている可能性があるため、可能である場合があります。

AMD CPU では、既定で CVE-2017-5715 のユーザーとカーネル間の保護機能は無効です。 CVE-2017-5715 に対する追加の保護機能を利用するには、この緩和策を有効にする必要があります。  詳細については、ADV180002 の FAQ #15 を参照してください。

AMD プロセッサでは、既定で CVE-2017-5715 のユーザーとカーネル間の保護機能は無効です。 CVE-2017-5715 に対する追加の保護機能を利用するには、この緩和策を有効にする必要があります。  詳細については、ADV180002 の FAQ #15 を参照してください。

AMD プロセッサで CVE-2022-23825 の軽減策を有効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

完全に保護するには、ハイパースレッディング (同時マルチスレッド (SMT) とも呼ばれます) を無効にする必要がある場合もあります。 Windows デバイスの保護に関するガイダンスについては、KB4073757 を参照してください。

AMD プロセッサで CVE-2023-20569 の軽減策を有効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Intel プロセッサで CVE-2022-0001 の軽減策を有効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

PowerShell スクリプトの出力の詳細な説明についてはKB4074629 を参照してください。 

お客様のデバイスに悪影響が及ぶことを防ぐために、すべてのお客様には 2018 年 1 月および 2 月にリリースされた Windows セキュリティ更新プログラムが提供されていません。 詳細については、 KB407269 を参照してください。

マイクロコードはファームウェアの更新プログラムを介して配布されます。 お使いのコンピューターに適した更新プログラムが含まれるファームウェアのバージョンについては、お使いの OEM にお問い合わせください。

システムのバージョンから実行中のワークロードまで、パフォーマンスに影響を与える複数の変数があります。 一部のシステムでは、パフォーマンスの影響は小さくなります。 その他のシステムでは、パフォーマンスの影響は大きくなります。

お使いのシステムに対するパフォーマンスの影響を評価し、必要に応じて調整することをお勧めします。

仮想マシンを実行しているホストが適切に保護されていることを確認するには、この資料の仮想マシンに関するガイダンスに加え、サービス プロバイダーに問い合わせる必要があります。

Azure で実行されている Windows Server の仮想マシンについては、Azure の投機的実行サイドチャネルの脆弱性を軽減するためのガイダンスを参照してください。 Azure Update Management を使用してゲスト VM でこの問題を軽減する方法については、KB4077467 を参照してください。

Windows Server 2016 および Windows Server 10 Version 1709 用 Windows Server コンテナー イメージ用にリリースされた更新プログラムには、これらの脆弱性の緩和策が含まれています。 この他に必要な構成はありません。

注 ただし、適切な軽減策を有効にするようにこれらのコンテナーが実行されているホストを構成する必要があります。

いいえ。任意の順序でインストールできます。

はい。ファームウェア (マイクロコード) の更新後と、さらにシステムの更新後に再起動する必要があります。

レジストリ キーの詳細は次のとおりです。

FeatureSettingsOverride は、既定の設定を上書きし、無効にする緩和策を制御するビットマップを表します。 ビット 0 は、CVE-2017-5715 に対応する緩和策を制御します。 ビット 1 は、CVE-2017-5754 に対応する軽減策を制御します。 緩和策を有効にする場合、これらのビットは 0 に設定され、緩和策を無効にする場合、1 に設定されます。

FeatureSettingsOverrideMask は、FeatureSettingsOverride と併用されるビットマップ マスクを表します。  この場合、使用できる軽減策に対応する最初の 2 ビットを示す値 3 (2 進法または 2 を底とする記数法では 11 と表されます) を使用します。 緩和策を有効にする場合と無効にする場合のどちらでも、このレジストリ キーは 3 に設定します。

MinVmVersionForCpuBasedMitigations は Hyper-V ホスト用です。 このレジストリ キーには、更新されたファームウェア機能 (CVE-2017-5715) を使用することが必要な最小限の VM バージョンが定義されています。 すべての VM バージョンを対象にするために 1.0 に設定します。 Hyper-V ホスト以外では、このレジストリ値は無視されます (無害です)。 詳細については、「CVE-2017-5715 (分岐先インジェクション) からのゲスト仮想マシンの保護」を参照してください。

はい。レジストリ設定を適用してから、2018 年 1 月の関連する修正プログラムをインストールしても、悪影響はありません。

詳細についてはスクリプトの出力の詳細については、「KB4074629: SpeculationControl PowerShell スクリプトの出力について」を参照してください。

はい。ファームウェアの更新プログラムがまだリリースされていない Windows Server 2016 Hyper-V ホスト向けに、VM 間または VM からホストへの攻撃を緩和できる代替のガイダンスを公開しています。 詳細については、「投機的実行のサイドチャネルの脆弱性から Windows Server 2016 Hyper-V ホストを保護するための代替手段」を参照してください。

セキュリティのみの更新プログラムは累積的ではありません。 オペレーティング システムのバージョンによっては、完全な保護のために複数のセキュリティ更新プログラムをインストールする必要があります。 通常、2018 年 1 月、2 月、3 月、および 4 月の更新プログラムをインストールする必要があります。 AMD プロセッサが搭載されているシステムの場合、次の表に示す追加の更新プログラムが必要です。

これらのセキュリティのみの更新プログラムは、リリース順にインストールすることをお勧めします。

いいえ。 セキュリティ更新プログラム KB 4078130 は、マイクロコードのインストール後に発生する予期しないシステムの動作、パフォーマンスの問題、予期しない再起動を防ぐことを目的とした修正プログラムでした。 Windows クライアント オペレーティング システムにセキュリティ更新プログラムを適用すると、3 つの軽減策がすべて有効になります。 Windows Server オペレーティング システムでは、適切なテストの実行後に緩和策を有効にする必要があります。 詳細については、KB4072698 を参照してください。

この問題は KB4093118 で解決されています。

2018 年 2 月、Intel は検証を完了し、新しい CPU プラットフォーム用のマイクロコードのリリースを開始したことを発表しました。 Microsoft では、スペクター バリアント 2 (CVE-2017-5715 | ブランチ ターゲット インジェクション) に対して、Intel が検証済みのマイクロコードの更新プログラムを提供しています。 KB4093836 には、Windows バージョン別のサポート技術情報一覧が記載されています。 また、各サポート技術情報には、リリースされている Intel 製マイクロコードの更新プログラムが CPU 別に記載されています。

2018 年 1 月 11 日、Intelは、スペクター バリアント 2 (CVE-2017-5715 | ブランチ ターゲット インジェクションhttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5715) に対応することを意図していた、最近リリースされたマイクロコードの問題について報告 しました。 具体的には、このマイクロコードにより、“想定よりも再起動回数が多くなり、他の予期しないシステム動作” が発生し、その結果として “データの損失や破損" が発生する可能性があることが Intel から報告されました。これまでの経験では、システムが不安定になると、状況によってデータの損失や破損が発生する可能性があります。 1 月 22 日、Intel はお客様に対して、影響を受けるプロセッサに現行のマイクロコード バージョンを展開しないことを勧めました。一方、Intel は更新された解決策の追加テストを実行しています。 マイクロソフトでは、Intel が現行のマイクロコード バージョンの影響を引き続き調査していることを把握しています。 決定事項を知らせるガイダンスを常に確認することをお客様にお勧めします。

Intel は新しいマイクロコードをテスト、更新、展開していますが、本日、マイクロソフトは定例外 (OOB) の更新プログラム KB 4078130 をリリースします。この更新プログラムで、特に CVE-2017-5715 に対する軽減策のみを無効にすることができます。 マイクロソフトのテストでは、この更新プログラムによって、説明されている動作が回避されることがわかっています。 デバイスの詳細な一覧については、Intel のマイクロコード リビジョン ガイダンス (英語情報) を参照してください。 この更新プログラムは、 Windows 7 Service Pack 1 (SP1)、Windows 8.1、および Windows 10 のすべてのバージョンのクライアントとサーバーに対応しています。 影響を受けるデバイスを実行している場合は、Microsoft Update カタログ Web サイトからダウンロードして、この更新プログラムを適用できます。 このペイロードを適用すると、CVE-2017-5715 の脆弱性 に対する緩和策のみが無効になります。

今回、このスペクター バリアント 2 (CVE-2017-5715 | ブランチ ターゲットのインジェクション) がユーザーに対する攻撃に使用されたという既知の報告はありません。 お使いのデバイスについてこの予期しないシステム動作が解決したと Intel から報告された場合は、必要に応じて CVE-2017-5715 に対する緩和策を再び有効にすることを Windows をお使いのお客様にお勧めします。

Intel は検証を完了し、新しい CPU プラットフォーム用のマイクロコードのリリースを開始したことを 2018 年 2 月に発表しました。 Microsoft は、スペクター バリアント 2 (CVE-2017-5715 | ブランチ ターゲット インジェクション) に対して Intel による検証済みのマイクロコードの更新プログラムをリリースしています。 KB4093836 には、Windows バージョン別のサポート技術情報一覧が記載されています。 また、サポート技術情報一覧には、リリースされている Intel 製マイクロコードの更新プログラムが CPU 別に記載されています。

詳細については、「AMD Security Updates」(英語情報) と「AMD Architecture Guidelines around Indirect Branch Control」(英語情報) を参照してください。 これらは OEM ファームウェア チャネルから入手できます。

スペクター バリアント 2 (CVE -2017-5715 | ブランチ ターゲット インジェクション) に対して、Intel が検証済みのマイクロコードの更新プログラムを提供しています。 Windows Update から最新の Intel 製マイクロコードの更新プログラムを入手するには、Windows 10 2018 年 4 月更新プログラム (バージョン 1803) にアップグレードする前に、Windows 10 オペレーティング システムを実行しているデバイスに Intel 製マイクロコードをインストールしておく必要があります。

システムのアップグレード前にデバイスにインストールされていなかった場合は、マイクロコードの更新プログラムを Microsoft Update カタログから直接入手することもできます。 Intel 製マイクロコードは、Windows Update、Windows Server Update Services (WSUS)、または Microsoft Update カタログを介して入手できます。 詳しい情報とダウンロードの手順については、KB4100347 をご覧ください。

詳細については、以下の資料を参照してください。

• ADV180012 | Microsoft Guidance for Speculative Store Bypass for CVE-2018-3639

• ADV180013 | Microsoft Guidance for Rogue System Register Read for CVE-2018-3640 (英語情報)、KB 4073065 | ユーザー向けガイダンス

• Microsoft Security Research and Defense のブログ

• Developer Guidance for Speculative Store Bypass (英語情報)

「ADV180012 | 投機的ストア バイパスに関するマイクロソフト ガイダンス」の “推奨される操作” と “FAQ” を参照してください。

SSBD の状態を確認するために、影響を受けるプロセッサ、SSBD のオペレーティング システムの更新プログラムの状態、プロセッサ マイクロコードの状態 (該当する場合) を検出できるように Get-SpeculationControlSettings PowerShell スクリプトが更新されています。 PowerShell スクリプトの詳細と入手については、KB4074629 を参照してください。

2018 年 6 月 13 日、Lazy FP State Restore として知られる、サイド チャネル投機的実行に関係する新たな脆弱性が発表され、CVE-2018-3665 が割り当てられました。 この脆弱性と推奨される操作の詳細については、セキュリティ アドバイザリ「ADV180016 | Lazy FP State Restore に関するマイクロソフト ガイダンス」を参照してください。

注 Lazy Restore FP Restore に必要な構成 (レジストリ) 設定はありません。

Bounds Check Bypass Store (BCBS) は 2018 年 7 月 10 日に公開され、CVE-2018-3693 が割り当てられました。 マイクロソフトでは、BCBS は Bounds Check Bypass (バリアント 1) と同じ脆弱性クラスに属すると考えています。 マイクロソフトのソフトウェアにおける BCBS インスタンスは現在認識されていません。 しかし、マイクロソフトはこの脆弱性クラスを引き続き調査しており、必要に応じて業界のパートナーと協力して緩和策をリリースします。 研究者の皆様には、利用可能な BCBS インスタンスを含む、関連する調査結果をマイクロソフトの投機的実行のサイドチャネルに関する報奨金プログラムに提出いただけますよう引き続きよろしくお願いいたします。 ソフトウェア開発者の皆様は、投機的実行サイド チャネルの 「C++ 開発者ガイダンスで BCBS 用に更新された開発者ガイダンス」を参照することをおすすめします。 

2018 年 8 月 14 日、L1 Terminal Fault (L1TF) が発表され、複数の CVE が割り当てられました。 これらの投機的実行のサイドチャネルの脆弱性が悪用されると、信頼される境界全体のメモリの内容を読み取られる可能性があり、悪用された場合、情報漏えいにつながる可能性があります。 構成されている環境によっては、攻撃者がこれらの脆弱性をトリガーすることができるベクトルが複数存在します。 L1TF は Intel® Core® プロセッサと Intel® Xeon® プロセッサに影響を及ぼします。

この脆弱性の緩和に対するマイクロソフトのアプローチを含む、L1TF と影響を受けるシナリオの詳細ビューに関する詳細については、次のリソースを参照してください。

• ADV180018 | L1TF バリアントのリスクを軽減するためのマイクロソフト ガイダンス

• セキュリティ アドバイザリのセキュリティ調査ブログ

• L1 Terminal Fault に関するサーバー ガイダンス

ハイパースレッディングを無効にする手順は OEM ごとに異なりますが、通常は BIOS またはファームウェアのセットアップ ツールと構成ツールの一部です。

64 ビット ARM プロセッサをご利用の場合は、変更を有効にするために、CVE-2017-5715 | ブランチ ターゲット インジェクション (スペクター バリアント 2) を軽減する ARM64 オペレーティング システムの保護機能はデバイス OEM の最新のファームウェア更新プログラムを必要とするため、ファームウェアのサポートについてデバイス OEM に確認する必要があります。

詳細については、次のセキュリティ アドバイザリを参照してください。

• Intel のセキュリティ アドバイザリ

• ADV190013 | マイクロアーキテクチャ データ サンプリングの脆弱性を軽減するためのマイクロソフト ガイダンス

詳細なガイダンスについては、「Windows を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス」を参照してください

「Windows を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス」を参照してください

Azure ガイダンスについては、この記事「Azure での投機的実行のサイド チャネルの脆弱性を軽減するためのガイダンス」を参照してください。

Retpoline の有効化の詳細については、マイクロソフトのブログ記事「Mitigating Spectre variant 2 with Retpoline on Windows (英語情報)」を参照してください。

この脆弱性の詳細については、Microsoft セキュリティ ガイド「CVE-2019-1125 | Windows カーネル情報漏えいの脆弱性」を参照してください。

この情報漏えいの脆弱性が Microsoft のクラウド サービス インフラストラクチャに影響を与えている事例は把握していません。

マイクロソフトではこの問題を認識してすぐに、問題を迅速に解決して更新プログラムをリリースすることに取り組みました。 マイクロソフトは、お客様をより確実に保護するために、調査会社と業界パートナー双方との密接なパートナーシップを固く信頼しており、脆弱性の開示方法の取り決めに従って 8 月 7 日水曜日まで詳細を公表していませんでした。

詳細なガイダンスについては、「Windows を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス」を参照してください。

詳細なガイダンスについては、「Windows を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス」を参照してください。

その他のガイダンスについては、「Guidance for disabling Intel Transactional Synchronization Extensions (Intel TSX) capability」(英語情報) を参照してください。

この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。

Microsoft は、ユーザーがテクニカル サポートを見つけるため、サード パーティの連絡先を提供しています。 将来予告なしに変更されることがあります。 Microsoft は、サード パーティの連絡先情報の正確性を保証していません。