Applies ToAzure Stack HCI Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012

날짜 변경

변경 설명

2023년 4월 20일

  • MMIO 레지스트리 정보가 추가되었습니다.

2023년 8월 8일

  • CVE 번호가 사용되지 않으면 CVE-2022-23816에 대한 콘텐츠가 제거됨

  • "취약성" 섹션 아래에 "분기 유형 혼동" 추가

  • "CVE-2022-23825 | AMD CPU BTC(Branch Type Confusion)" 레지스트리 섹션에 정보 추가

2023년 8월 9일

  • "CVE-2022-23825 | AMD CPU BTC(Branch Type Confusion)" 레지스트리 섹션 업데이트

  • "요약" 섹션에 "CVE-2023-20569 | AMD CPU 반환 주소 예측기" 추가

  • "CVE-2023-20569 | AMD CPU 반환 주소 예측기" 레지스트리 섹션 추가

2024년 4월 9일

  • CVE-2022-0001 | Intel 분기 기록 삽입 추가됨

2024년 4월 16일

  • "여러 완화 사용" 섹션이 추가되었습니다.

취약성

이 문서에서는 다음과 같은 예측 실행 취약성을 해결합니다.

Windows 업데이트에서도 Internet Explorer 및 Edge 관련 완화 기능을 제공합니다. Microsoft는 해당 취약성 클래스를 방지할 수 있도록 이러한 완화 기능을 지속적으로 개선할 예정입니다.

이 취약성 종류에 대해 자세히 알아보려면 다음을 참조하세요.

Intel은 2019년 5월 14일에 마이크로아키텍처 데이터 샘플링(Microarchitectural Data Sampling)이라는 새로운 종류의 예측 실행 부채널 취약성에 대한 정보를 발표했으며 ADV190013 | 마이크로아키텍처 데이터 샘플링이라는 문서를 작성하였습니다. 다음 CVE가 할당되었습니다.

중요: 이러한 문제는 Android, Chrome, iOS, MacOS 같은 다른 시스템에 영향을 미칩니다. 해당하는 공급업체로부터 지침을 받는 것이 좋습니다.

Microsoft는 이러한 취약성을 완화하기 위해 업데이트를 발표했으며, 가능한 많은 보호를 받으려면 펌웨어(마이크로코드) 및 소프트웨어 업데이트를 해야 합니다. 여기에는 장치 OEM의 마이크로코드가 포함될 수도 있습니다. 경우에 따라 이러한 업데이트를 설치하면 성능에 영향이 발생하기도 합니다. 클라우드 서비스를 보호하는 조치도 취했습니다. 이 업데이트를 배포할 것을 강력히 권장합니다.

이 문제에 대한 자세한 내용은 다음 보안 공지를 참고하고, 시나리오 기반의 지침을 참고하여 위협을 완화하는 데 필요한 조치를 결정합니다.

참고: 마이크로코드 업데이트를 설치하기 전에 Windows 업데이트에서 최신 업데이트를 모두 설치하는 것이 좋습니다.

2019년 8월 6일 Intel에서 Windows 커널 정보 유출 취약성에 대한 자세한 내용을 공개했습니다. 이 취약성은 스펙터, 변종 1 예측 실행 부채널 취약성의 변종이며 CVE-2019-1125로 지정되었습니다.

2019년 7월 9일 Microsoft는 이 문제를 완화할 수 있도록 이 Windows 운영 체제에 대한 보안 업데이트를 공개했습니다. Microsoft는 2019년 8월 6일 화요일에 업계와 함께 공개할 때까지 이 완화 대책을 공개하는 것을 연기했습니다.

Windows 업데이트를 사용하도록 설정했고 2019년 9월 9일 보안 업데이트를 적용한 고객은 자동으로 보호됩니다. 더 이상 구성할 것이 없습니다.

참고: 이 취약성은 장치 제조업체(OEM)에서 마이크로코드를 업데이트할 필요는 없습니다.

이 취약성 및 해당 업데이트에 대한 자세한 내용은 Microsoft 보안 업데이트 가이드를 참조하세요.

2019년 11월 12일 Intel에서 CVE-2019-11135를 할당하는 Intel TSX(Intel® Transactional Synchronization Extensions) Transaction Asynchronous Abort 취약성에 관한 기술 권고를 개시했습니다. Microsoft는 이 취약성을 완화하기 위해 업데이트를 발표했으며, 운영 체제 보호는 Windows Server 2019 버전에서는 기본적으로 사용하도록 설정되며 Windows Server 2016 버전과 이전의 Windows Server OS 버전에서는 기본으로 사용하지 않도록 설정됩니다.

2022년 6월 14일에 Microsoft에서는 ADV220002 | Intel Processor MMIO 부실 데이터 샘플링 취약성에 관한 Microsoft 지침을 게시하는 한 편, 다음 CVE를 할당했습니다. 

권장 조치

취약성 발생을 방지할 수 있도록 다음 조치를 취해야 합니다.

  1. 월별 Windows 보안 업데이트를 비롯하여 제공되는 모든 Windows 운영 체제 업데이트를 적용합니다.

  2. 장치 제조업체에서 제공하는 해당 펌웨어(마이크로코드) 업데이트를 적용합니다.

  3. 이 기술 자료 문서에 수록된 정보 외에 Microsoft 보안 공지 ADV180002, ADV180012, ADV190013, ADV220002에 제공된 정보를 기반으로 환경에 대한 위협을 평가합니다.

  4. 이 기술 자료 문서에 제공된 레지스트리 키 정보 및 공지 내용을 활용하여 필요한 조치를 취합니다.

참고: Surface 고객의 경우 Windows 업데이트를 통해 마이크로코드 업데이트를 받을 수 있습니다. 최신 Surface 장치 펌웨어(마이크로코드) 업데이트 목록은 KB4073065를 참조하세요.

2022년 7월 12일에 분기 예측기의 별칭으로 인해 특정 AMD 프로세서가 잘못된 분기 유형을 예측할 수 있음을 설명하는 CVE-2022-23825 | AMD CPU 분기 유형 혼동을 게시했습니다. 이 문제는 잠재적으로 정보 공개로 이어질 수 있습니다.

이 취약성과 관련된 보호를 받으려면 2022년 7월 이후의 Windows 업데이트를 설치한 다음 기술 자료 문서에서 제공하는 CVE-2022-23825레지스트리 키 정보에서 요구하는 조치를 취하는 것이 좋습니다.

AMD-SB-1037 보안 게시판에서 자세한 내용을 참조하세요.

2023년 8월 8일에 공격자가 제어하는 주소에서 예측 실행을 초래할 수 있는 새로운 예측 사이드 채널 공격을 설명하는 CVE-2023-20569 | 반환 주소 예측기(Inception이라고도 함)를 게시했습니다. 이 문제는 특정 AMD 프로세서에 영향을 미치며 잠재적으로 정보 공개로 이어질 수 있습니다.

이 취약성으로부터 보호하려면 2023년 8월 이후의 Windows 업데이트를 설치한 다음 CVE-2023-20569 및 이 기술 자료 문서에서 제공하는 레지스트리 키 정보에서 요구하는 조치를 취하는 것이 좋습니다.

자세한 내용은 AMD-SB-7005 보안 게시판을 참조하세요.

2024년 4월 9일에 CVE-2022-0001 | Intel 분기 기록 삽입을 게시했습니다. 이는 모드 내 BTI의 특정 형식인 BHI(분기 기록 삽입)를 설명합니다. 이 취약성은 공격자가 사용자에서 감독자 모드(또는 VMX 비 루트/게스트에서 루트 모드로)로 전환하기 전에 분기 기록을 조작할 수 있는 경우에 발생합니다. 이 조작으로 인해 간접 분기 예측자가 간접 분기에 대한 특정 예측기 항목을 선택할 수 있으며 예측 대상의 공개 가젯이 일시적으로 실행됩니다. 관련 분기 기록에 이전 보안 컨텍스트, 특히 다른 예측기 모드에서 가져온 분기가 포함될 수 있기 때문일 수 있습니다.

Windows Server 및 Azure Stack HCI 완화 설정

보안 공지(ADV) 및 CVE는 이러한 취약성으로 인해 발생하는 위험에 대한 정보를 제공합니다. 또한, 취약성을 식별하고 Windows Server 시스템의 기본적인 완화 기능 상태를 확인하는 것도 도와줍니다. 아래 표에는 CPU 마이크로코드의 요구 사항과 Windows Server의 기본 완화 기능 상태가 요약되어 있습니다.

CVE

CPU 마이크로코드/펌웨어의 필요 여부

완화 기능 기본 상태

CVE-2017-5753

아니요

기본적으로 사용(사용하지 않도록 설정하는 옵션 없음)

자세한 내용은 ADV180002를 참조하세요.

CVE-2017-5715

기본적으로 사용 안 함.

자세한 내용은 ADV180002를, 관련 레지스트리 키 설정은 이 KB 문서를 참조하세요.

참고 2번째 변종 스펙터(CVE-2017-5715)가 사용된 경우 “Retpoline”은 Windows 10 버전 1809 이상이 탑재된 장치에서 기본적으로 사용됩니다. “Retpoline”에 대한 자세한 내용은 Windows의 Retpoline을 통해 두 번째 변종 스펙터 완화 블로그 게시물을 참조하세요.

CVE-2017-5754

아니요

Windows Server 2019, Windows Server 2022, Azure Stack HCI에서는 기본적으로 사용하도록 설정됩니다. Windows Server 2016 이전 버전에서는 기본으로 사용하지 않도록 설정됩니다.

자세한 내용은 ADV180002를 참조하세요.

CVE-2018-3639

Intel: 예

AMD: 아니요

기본적으로 사용 안 함. ADV180012에서 자세한 내용을 확인하고 이 문서에서 관련 레지스트리 키 설정을 참조하세요.

CVE-2018-11091

Intel: 예

Windows Server 2019, Windows Server 2022, Azure Stack HCI에서는 기본적으로 사용하도록 설정됩니다. Windows Server 2016 이전 버전에서는 기본으로 사용하지 않도록 설정됩니다.

ADV190013에서 자세한 내용을 확인하고 이 문서에서 관련 레지스트리 키 설정을 참조하세요.

CVE-2018-12126

Intel: 예

Windows Server 2019, Windows Server 2022, Azure Stack HCI에서는 기본적으로 사용하도록 설정됩니다. Windows Server 2016 이전 버전에서는 기본으로 사용하지 않도록 설정됩니다.

ADV190013에서 자세한 내용을 확인하고 이 문서에서 관련 레지스트리 키 설정을 참조하세요.

CVE-2018-12127

Intel: 예

Windows Server 2019, Windows Server 2022, Azure Stack HCI에서는 기본적으로 사용하도록 설정됩니다. Windows Server 2016 이전 버전에서는 기본으로 사용하지 않도록 설정됩니다.

ADV190013에서 자세한 내용을 확인하고 이 문서에서 관련 레지스트리 키 설정을 참조하세요.

CVE-2018-12130

Intel: 예

Windows Server 2019, Windows Server 2022, Azure Stack HCI에서는 기본적으로 사용하도록 설정됩니다. Windows Server 2016 이전 버전에서는 기본으로 사용하지 않도록 설정됩니다.

ADV190013에서 자세한 내용을 확인하고 이 문서에서 관련 레지스트리 키 설정을 참조하세요.

CVE-2019-11135

Intel: 예

Windows Server 2019, Windows Server 2022, Azure Stack HCI에서는 기본적으로 사용하도록 설정됩니다. Windows Server 2016 이전 버전에서는 기본으로 사용하지 않도록 설정됩니다.

CVE-2019-11135에서 자세한 내용을 확인하고 이 문서에서 관련 레지스트리 키 설정을 참조하세요.

CVE-2022-21123(MMIO 일부ADV220002)

Intel: 예

Windows Server 2019, Windows Server 2022, Azure Stack HCI에서는 기본적으로 사용하도록 설정됩니다.  Windows Server 2016 이전 버전에서는 기본으로 사용하지 않도록 설정됩니다.* 

CVE-2022-21123에서 자세한 내용을 확인하고 이 문서에서 관련 레지스트리 키 설정을 참조하세요.

CVE-2022-21125(MMIO 일부ADV220002)

Intel: 예

Windows Server 2019, Windows Server 2022, Azure Stack HCI에서는 기본적으로 사용하도록 설정됩니다.  Windows Server 2016 이전 버전에서는 기본으로 사용하지 않도록 설정됩니다.* 

CVE-2022-21125에서 자세한 내용을 확인하고 이 문서에서 관련 레지스트리 키 설정을 참조하세요.

CVE-2022-21127(MMIO 일부ADV220002)

Intel: 예

Windows Server 2019, Windows Server 2022, Azure Stack HCI에서는 기본적으로 사용하도록 설정됩니다.  Windows Server 2016 이전 버전에서는 기본으로 사용하지 않도록 설정됩니다.* 

CVE-2022-21127에서 자세한 내용을 확인하고 이 문서에서 관련 레지스트리 키 설정을 참조하세요.

CVE-2022-21166(MMIO 일부ADV220002)

Intel: 예

Windows Server 2019, Windows Server 2022, Azure Stack HCI에서는 기본적으로 사용하도록 설정됩니다.  Windows Server 2016 이전 버전에서는 기본으로 사용하지 않도록 설정됩니다.* 

CVE-2022-21166에서 자세한 내용을 확인하고 이 문서에서 관련 레지스트리 키 설정을 참조하세요.

CVE-2022-23825(AMD CPU 분기 유형 혼동)

AMD: 아니요

CVE-2022-23825에서 자세한 내용을 확인하고 이 문서에서 관련 레지스트리 키 설정을 참조하세요.

CVE-2023-20569 (AMD CPU 반환 주소 예측기)

AMD: 예

CVE-2023-20569에서 자세한 내용을 확인하고 이 문서에서 관련 레지스트리 키 설정을 참고하세요.

CVE-2022-0001

Intel: 아니요

기본적으로 사용 안 함.

자세한 내용은 CVE-2022-0001을 참조하고 해당 레지스트리 키 설정은 이 문서를 참조하세요.

* 아래의 멜트다운에 대한 완화 지침을 따르세요.

이러한 취약성에 대해 사용 가능한 보호 기능을 모두 사용하려면 레지스트리 키를 변경하여 이러한 완화 기능을 사용하도록 설정해야 합니다. 이러한 완화 기능은 기본적으로 사용하지 않도록 설정됩니다.

이러한 완화 기능은 사용하도록 설정하는 경우 성능에 영향을 줄 수 있습니다. 성능에 미치는 영향은 물리적 호스트의 특정 칩셋 및 실행 중인 작업 같은 여러 요인에 따라 달라집니다. 작업 중인 환경의 성능에 대한 영향을 평가하여 필요한 조정을 수행하는 것이 좋습니다.

다음 범주 중 하나에 속하는 서버의 경우 취약성이 발생할 위험성이 더 높습니다.

  • Hyper-V 호스트: VM 간 공격 및 VM과 호스트 간 공격으로부터 보호해야 합니다.

  • RDSH(원격 데스크톱 서비스 호스트): 세션 간 공격 또는 세션과 호스트 간 공격으로부터 보호해야 합니다.

  • 데이터베이스용 컨테이너/신뢰할 수 없는 확장, 신뢰할 수 없는 웹 콘텐츠, 외부 원본에서 제공되는 코드를 실행하는 작업 등 신뢰할 수 없는 코드를 실행 중인 물리적 호스트나 가상 머신. 여기에는 신뢰할 수 없는 프로세스와 다른 프로세스 간 또는 신뢰할 수 없는 프로세스와 커널 공격 간 보호 기능이 필요합니다.

다음 레지스트리 키 설정을 사용하여 서버에서 완화 기능을 사용하도록 설정하고 변경 내용이 적용되도록 장치를 다시 시작합니다.

참고: 기본적으로 설정이 해제된 완화 기능을 사용하도록 설정하면 성능에 영향이 발생할 수 있습니다. 실제 성능에 미치는 영향은 장치의 특정 칩셋 및 실행 중인 작업 같은 여러 요인에 따라 달라집니다.

레지스트리 설정

ADV(보안 권고) 및 CVE에 설명된 대로 기본적으로 활성화되지 않은 완화를 활성화하기 위해 다음 레지스트리 정보를 제공하고 있습니다. 또한 Windows 클라이언트에 적용 가능한 경우 완화를 비활성화하려는 사용자를 위해 레지스트리 키 설정을 제공합니다.

중요 이 섹션, 방법 또는 작업에는 레지스트리 변경 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가 보호 조치로 레지스트리를 수정하기 전에 해당 레지스트리를 백업하는 것이 좋습니다. 이렇게 하면 문제가 발생하더라도 레지스트리를 복원할 수 있습니다. 레지스트리 백업 및 복원 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하세요.

KB322756 Windows에서 레지스트리를 백업 및 복원하는 방법

중요 기본적으로 Retpoline은 Spectre, 변종 2 완화(CVE-2017-5715)가 활성화된 경우 다음과 같이 구성됩니다.

- Retpoline 완화는 Windows 10, 버전 1809 이상 Windows 버전에서 활성화됩니다.

- Retpoline 완화는 Windows Server 2019 이상 Windows Server 버전에서 비활성화됩니다.

Retpoline 구성에 대한 자세한 내용은 Windows에서 Retpoline을 사용하여 스펙터 변종 2 완화를 참조하세요.

  • CVE-2017-5715(스펙터 변형 2), CVE-2017-5754(멜트다운), CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166(MMIO)에 대한 완화를 활성화하려는 경우

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Hyper-V 기능이 설치된 경우 다음 레지스트리 설정을 추가합니다.

    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    Hyper-V 호스트이고 펌웨어 업데이트가 적용된 경우 모든 VM을 완전히 종료합니다. 이렇게 하면 VM을 시작하기 전에 펌웨어 관련 완화 기능을 호스트에 적용할 수 있습니다. 그에 따라 VM도 다시 시작할 때 업데이트됩니다.

    변경 내용을 적용하려면 장치를 다시 시작하세요.

  • CVE-2017-5715(스펙터 변형 2), CVE-2017-5754(멜트다운), CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166(MMIO)에 대한 완화를 비활성화하려는 경우

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    변경 내용을 적용하려면 장치를 다시 시작하세요.

참고: “사용” 및 “사용 안 함” 설정 모두에 대해 FeatureSettingsOverrideMask를 3으로 설정하는 것이 정확합니다. 레지스트리 키에 대한 자세한 내용은 "FAQ" 절을 참조하세요.

변형 2를 사용하지 않도록 설정하려면: (CVE-2017-5715 | 분기 대상 삽입) 완화:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

변경 내용을 적용하려면 장치를 다시 시작하세요.

변형 2를 활성화하려면: (CVE-2017-5715 | 분기 대상 삽입) 완화:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

변경 내용을 적용하려면 장치를 다시 시작하세요.

기본적으로, CVE-2017-5715에 대한 사용자-커널 보호 기능은 AMD CPU에 대해 사용하지 않도록 설정됩니다. CVE-2017-5715에 대한 추가 보호 기능을 수신하려는 고객은 완화 기능을 사용하도록 설정해야 합니다.  자세한 내용은 ADV180002의 FAQ #15를 참조하세요.

AMD 프로세서에 대한 사용자-커널 보호 기능과 CVE 2017-5715에 대한 기타 보호 기능 활성화:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V 기능이 설치된 경우 다음 레지스트리 설정을 추가합니다.

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hyper-V 호스트이고 펌웨어 업데이트를 적용한 경우: 모든 가상 머신을 완전히 종료합니다. 이렇게 하면 VM을 시작하기 전에 펌웨어 관련 완화 기능을 호스트에 적용할 수 있습니다. 그에 따라 VM도 다시 시작할 때 업데이트됩니다.

변경 내용을 적용하려면 장치를 다시 시작하세요.

CVE-2018-3639(예측 저장 우회), CVE-2017-5715(스펙터 변형 2), CVE-2017-5754(멜트다운)에 대한 완화 기능을 활성화하려는 경우:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V 기능이 설치된 경우 다음 레지스트리 설정을 추가합니다.

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hyper-V 호스트이고 펌웨어 업데이트를 적용한 경우: 모든 가상 머신을 완전히 종료합니다. 이렇게 하면 VM을 시작하기 전에 펌웨어 관련 완화 기능을 호스트에 적용할 수 있습니다. 그에 따라 VM도 다시 시작할 때 업데이트됩니다.

변경 내용을 적용하려면 장치를 다시 시작하세요.

CVE-2018-3639(예측 저장 우회)에 대한 완화 기능과 CVE-2017-5715(스펙터 변종 2) 및 CVE-2017-5754(멜트다운)에 대한 완화 기능을 비활성화하려는 경우

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

변경 내용을 적용하려면 장치를 다시 시작하세요.

기본적으로, CVE-2017-5715에 대한 사용자-커널 보호 기능은 AMD 프로세서에 대해 사용하지 않도록 설정됩니다. CVE-2017-5715에 대한 추가 보호 기능을 수신하려는 고객은 완화 기능을 사용하도록 설정해야 합니다.  자세한 내용은 ADV180002의 FAQ #15를 참조하세요.

AMD 프로세서에 대한 사용자-커널 보호 기능과 CVE 2017-5715에 대한 기타 보호 기능 및 CVE 2018-3639(예측 저장 우회)에 대한 보호 기능 활성화:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V 기능이 설치된 경우 다음 레지스트리 설정을 추가합니다.

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hyper-V 호스트이고 펌웨어 업데이트를 적용한 경우: 모든 가상 머신을 완전히 종료합니다. 이렇게 하면 VM을 시작하기 전에 펌웨어 관련 완화 기능을 호스트에 적용할 수 있습니다. 그에 따라 VM도 다시 시작할 때 업데이트됩니다.

변경 내용을 적용하려면 장치를 다시 시작하세요.

하이퍼 스레딩을 비활성화하지 않은 상태에서 예측 저장 우회 사용 안 함(SSBD)[CVE-2018-3639] 및 L1 터미널 결함(L1TF)[CVE-2018-3615, CVE-2018-3620CVE-2018-3646] 등 스펙터[CVE-2017-5753 및 CVE-2017-5715] 및 멜트다운[CVE-2017-5754] 변형, MMIO(CVE-2022-21123, CVE-2022-21125, CVE-2022-21127CVE-2022-21166)과 함께 Intel TSX(Intel Transactional Synchronization Extensions) 트랜잭션 비동기 중단 취약성(CVE-2019-11135) 및 마이크로아키텍처 데이터 샘플링(CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130)에 완화 기능을 활성화하려는 경우:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V 기능이 설치된 경우 다음 레지스트리 설정을 추가합니다.

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hyper-V 호스트이고 펌웨어 업데이트가 적용된 경우 모든 VM을 완전히 종료합니다. 이렇게 하면 VM을 시작하기 전에 펌웨어 관련 완화 기능을 호스트에 적용할 수 있습니다. 그에 따라 VM도 다시 시작할 때 업데이트됩니다.

변경 내용을 적용하려면 장치를 다시 시작하세요.

하이퍼 스레딩을 비활성화한 상태에서 예측 저장 우회 사용 안 함(SSBD)[CVE-2018-3639] 및 L1 터미널 결함(L1TF)[CVE-2018-3615, CVE-2018-3620CVE-2018-3646] 등 스펙터[CVE-2017-5753CVE-2017-5715] 및 멜트다운[CVE-2017-5754] 변형과 함께 Intel TSX(Intel Transactional Synchronization Extensions) 트랜잭션 비동기 중단 취약성(CVE-2019-11135) 및 마이크로아키텍처 데이터 샘플링(CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130)에 완화 기능을 활성화하려는 경우:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V 기능이 설치된 경우 다음 레지스트리 설정을 추가합니다.

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hyper-V 호스트이고 펌웨어 업데이트를 적용한 경우: 모든 가상 머신을 완전히 종료합니다. 이렇게 하면 VM을 시작하기 전에 펌웨어 관련 완화 기능을 호스트에 적용할 수 있습니다. 그에 따라 VM도 다시 시작할 때 업데이트됩니다.

변경 내용을 적용하려면 장치를 다시 시작하세요.

예측 저장 우회 사용 안 함(SSBD)[CVE-2018-3639] 및 L1 터미널 결함(L1TF)[CVE-2018-3615, CVE-2018-3620CVE-2018-3646] 등 스펙터[CVE-2017-5753CVE-2017-5715] 및 멜트다운[CVE-2017-5754] 변형과 함께 Intel TSX(Intel Transactional Synchronization Extensions) 트랜잭션 비동기 중단 취약성(CVE-2019-11135) 및 마이크로아키텍처 데이터 샘플링(CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130)에 완화 기능을 비활성화하려는 경우:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

변경 내용을 적용하려면 장치를 다시 시작하세요.

AMD 프로세서에서 CVE-2022-23825에 대한 완화를 활성화하려면:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

완전한 보호를 위해 고객이 하이퍼 스레딩(SMT(동시 다중 스레딩))을 사용하지 않도록 설정해야 할 수도 있습니다. Windows 장치 보호에 대한 지침은 KB4073757에서 참조하세요.

AMD 프로세서에서 CVE-2023-20569에 대한 완화를 활성화하려면:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Intel 프로세서에서 CVE-2022-0001에 대한 완화를 활성화하려면:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

여러 완화 사용

여러 완화를 활성화하려면 각 완화의 REG_DWORD 값을 함께 추가해야 합니다.

예시:

트랜잭션 비동기 중단 취약성, 마이크로아키텍처 데이터 샘플링, 스펙터, 멜트다운, MMIO, SSBD(예측 저장 우회 사용 안 함) 및 하이퍼 스레딩이 비활성화된 L1TF(L1 터미널 결함) 완화

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

참고 8264(10진수) = 0x2048(16진수)

다른 기존 설정과 함께 BHI를 사용하도록 설정하려면 현재 값이 8,388,608(0x800000)인 비트 OR을 사용해야 합니다. 

0x800000 OR 0x2048(10진수 8264)이며 8,396,872(0x802048)가 됩니다. FeatureSettingsOverrideMask와 동일합니다.

Intel 프로세서에서 CVE-2022-0001에 대한 완화

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

결합된 완화

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

트랜잭션 비동기 중단 취약성, 마이크로아키텍처 데이터 샘플링, 스펙터, 멜트다운, MMIO, SSBD(예측 저장 우회 사용 안 함) 및 하이퍼 스레딩이 비활성화된 L1TF(L1 터미널 결함) 완화

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

Intel 프로세서에서 CVE-2022-0001에 대한 완화

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

결합된 완화

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

보호 기능이 사용하도록 설정되었는지 확인

보호 기능을 사용하도록 설정되어 있는지 확인하기 위해 장치에서 실행할 수 있는 PowerShell 스크립트를 게시했습니다. 다음 방법 중 하나를 사용하여 스크립트를 설치한 다음 실행합니다.

PowerShell 모듈 설치:

PS> Install-Module SpeculationControl

PowerShell 모듈을 실행하여 보호 기능이 사용하도록 설정되었는지 확인:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Technet ScriptCenter에서 PowerShell 모듈 설치:

  1. https://aka.ms/SpeculationControlPS로 이동합니다.

  2. 로컬 폴더로 SpeculationControl.zip 다운로드

  3. 로컬 폴더에 내용의 압축을 풉니다. 예: C:\ADV180002

PowerShell 모듈을 실행하여 보호 기능이 사용하도록 설정되었는지 확인:

PowerShell을 시작한 후 이전 예제를 활용하여 다음 명령 복사 및 실행:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell 스크립트 출력에 대한 자세한 설명은 KB4074629를 참조하세요. 

질문과 대답

고객 장치의 성능 저하를 방지하기 위해 일부 고객에게는 2018년 1월 및 2월에 출시된 Windows 보안 업데이트가 제공되지 않았습니다. 자세한 내용은 KB407269를 참조하세요.

마이크로코드는 펌웨어 업데이트를 통해 제공됩니다. 사용 중인 컴퓨터에 적합한 업데이트가 포함되어 있는 펌웨어 버전은 OEM에 문의하세요.

시스템 버전, 실행 중인 작업 등 여러 가지 변수가 성능에 영향을 줍니다. 성능상의 영향이 거의 없는 시스템도 있는 반면 성능에 매우 큰 영향을 주는 시스템도 있습니다.

시스템에 대한 성능상의 영향을 평가하고 필요에 따라 조정을 수행하는 것이 좋습니다.

이러한 경우에는 가상 머신과 관련된 이 문서의 지침을 따르는 것 외에도, 서비스 공급자에게 문의하여 가상 머신을 실행 중인 호스트가 적절하게 보호되는지를 확인해야 합니다. Azure에서 실행되는 Windows Server 가상 머신의 경우 Azure에서 예측 실행 부채널 취약성을 완화하기 위한 지침을 참조하세요. Azure 업데이트 관리 사용하여 게스트 VM에서 이 문제를 완화하는 방법에 대한 지침은 KB4077467을 참조하세요.

Windows Server 2016 및 Windows 10, 버전 1709의 Windows Server 컨테이너 이미지용으로 출시된 업데이트에는 이 취약성 집합용 완화 기능이 포함되어 있으며, 추가 구성은 필요하지 않습니다.참고이러한 컨테이너를 실행 중인 호스트가 적절한 완화 기능을 사용하도록 구성되었는지는 여전히 확인해야 합니다.

아니요. 업데이트는 원하는 순서로 설치하면 됩니다.

예. 펌웨어(마이크로코드) 업데이트 후 다시 시작한 다음 시스템 업데이트 후 또다시 시작해야 합니다.

레지스트리 키의 세부 정보는 다음과 같습니다.

FeatureSettingsOverride는 기본 설정을 재정의하고 사용하지 않도록 설정할 완화 기능을 제어하는 비트맵을 나타냅니다. 비트 0은 CVE-2017-5715에 해당하는 완화 기능을 제어합니다. 비트 1은 CVE-2017-5754에 해당하는 완화 기능을 제어합니다. 완화 기능을 사용하려면 비트를 0으로 설정하고 사용하지 않으려면 1로 설정합니다.

FeatureSettingsOverrideMaskFeatureSettingsOverride와 함께 사용되는 비트맵 마스크를 나타냅니다.  여기서는 사용 가능한 완화 기능에 해당하는 처음 두 비트를 나타내는 값 3(이진법에서는 11을 나타냄)을 사용합니다. 이 레지스트리 키는 완화 기능을 사용하려는 경우와 사용하지 않으려는 경우 모두 3으로 설정합니다.

MinVmVersionForCpuBasedMitigations는 Hyper-V 호스트를 위한 것입니다. 이 레지스트리 키는 업데이트된 펌웨어 기능(CVE-2017-5715)을 사용해야 하는 최소 VM 버전을 정의합니다. 여기서는 모든 VM 버전을 지원하도록 1.0으로 설정합니다. Hyper-V가 아닌 호스트에서는 이 레지스트리 값이 무시됩니다. 자세한 내용은 CVE-2017-5715(분기 대상 삽입)로부터 게스트 가상 머신 보호를 참조하세요.

예. 이러한 레지스트리 설정은 2018년 1월 관련 픽스를 설치하기 전에 적용해도 아무런 부작용이 없습니다.

스크립트 출력에 대한 자세한 설명은 KB4074629: SpeculationControl PowerShell 스크립트 출력 이해에서 확인할 수 있습니다.

예. Microsoft는 펌웨어 업데이트를 아직 사용할 수 없는 Windows Server 2016 Hyper-V 호스트를 위해 VM 간 공격 또는  VM과 호스트 간 공격을 완화하는 데 도움이 되는 대체 지침을 게시했습니다. 자세한 내용은 예측 실행 부채널 취약성에 대비한 Windows Server 2016 Hyper-V 호스트용 대체 보호 방법을 참조하세요.

보안 전용 업데이트는 누적 업데이트가 아닙니다. 사용 중인 운영 체제 버전에 따라 다르지만 완전히 보호받으려면 여러 보안 업데이트를 설치해야 할 수 있습니다. 일반적으로 고객은 2018년 1월, 2월, 3월 및 4월 업데이트를 설치해야 합니다. AMD 프로세서가 탑재된 시스템은 다음 표에 나와 있는 대로 추가 업데이트를 설치해야 합니다.

운영 체제 버전

보안 업데이트

Windows 8.1, Windows Server 2012 R2

KB4338815 - 월간 롤업

KB4338824- Security-only

Windows 7 SP1, Windows Server 2008 R2 SP1 또는 Windows Server 2008 R2 SP1(Server Core 설치)

KB4284826 - 월간 롤업

KB4284867 - 보안 전용

Windows Server 2008 SP2

KB4340583 - 보안 업데이트

이러한 보안 전용 업데이트는 발표 순서대로 설치하는 것이 좋습니다.

참고: 이 FAQ의 이전 버전에는 1월에 발표된 보안 픽스가 2월 보안 전용 업데이트에 포함되어 있다고 잘못 설명되어 있습니다. 실제로는 포함되어 있지 않습니다.

아니요. 아니요. 보안 업데이트 KB4078130은 예측할 수 없는 시스템 동작, 성능 문제 및 마이크로코드 설치 후 발생하는 예기치 않은 다시 시작 동작을 방지하기 위한 구체적인 픽스입니다. Windows 클라이언트 운영 체제에 보안 업데이트를 적용하면 세 개의 완화 기능이 모두 사용하도록 설정됩니다. Windows 서버 운영 체제의 경우에는 적절한 테스트를 수행한 후에 완화 기능을 직접 사용하도록 설정해야 합니다. 자세한 내용은 KB4072698을 참조하세요.

이 문제는 KB4093118에서 해결되었습니다.

2018년 2월 Intel은 최신 CPU 플랫폼의 유효성 검사를 완료했으며 해당 플랫폼용 마이크로코드 출시를 시작했음을 최근 발표했습니다. Microsoft는 스펙터 변형 2 스펙터 변형 2(Spectre)(CVE-2017-5715 | 분기 대상 삽입)와 관련하여 Intel에서 유효성을 검사한 마이크로코드 업데이트를 제공하고 있습니다.  Windows 버전별 구체적인 기술 자료 문서는 KB4093836에 나와 있습니다. 각 KB 문서에는 CPU별로 제공되는 Intel 마이크로코드 업데이트가 포함되어 있습니다.

2018년 1월 11일  Intel은 스펙터 변형 2(CVE-2017-5715 – 분기 대상 삽입)를 해결하도록 최근 출시한 마이크로코드에 문제가 있다고 발표했습니다. 특히, Intel은 이 마이크로코드로 인해 “예상보다 높은 재부팅 횟수와 그 밖의 예측할 수 없는 시스템 동작”이 발생할 수 있다고 언급한 다음 이러한 상황이 발생할 경우  ”데이터가 손실되거나 손상될 수 있다”고 덧붙였습니다.” Microsoft에서 경험한 바에 따르면 특정 상황에서 시스템 불안정성으로 인해 데이터가 손실되거나 손상될 수 있는 것으로 확인되었습니다. Intel은 1월 22일에 업데이트된 솔루션에 대한 추가 테스트를 수행하는 동안, 영향을 받는 프로세서에서 현재 마이크로코드 버전의 배포를 중지할 것을 권장했습니다. Microsoft는 현재 마이크로코드 버전의 잠재적인 영향을 계속해서 조사하는 Intel의 입장을 이해하며, 고객들이 Intel의 지침을 지속적으로 검토하여 충분한 정보를 바탕으로 결정을 내리도록 권장하고 있습니다.

Intel이 새 마이크로코드를 테스트 및 업데이트하고 배포하는 동안, Microsoft는 오늘 OOB(대역 외) 업데이트인 KB4078130을 발표했습니다. 이 업데이트는 CVE-2017-5715에 대한 완화 기능만 사용하지 않도록 설정합니다. 내부 테스트 결과, 이 업데이트는 위에 설명된 동작을 차단하는 것으로 확인되었습니다. 전체 장치 목록을 확인하려면 Intel의 마이크로코드 수정 지침을 참조하세요. 이 업데이트는 클라이언트 및 서버에 사용되는 Windows 7 서비스 팩 1(SP1), Windows 8.1 그리고 모든 버전의 Windows 10을 대상으로 합니다. 영향을 받는 장치를 실행 중인 경우 Microsoft 업데이트 카탈로그 웹 사이트에서 이 업데이트를 다운로드하여 적용할 수 있습니다. 이 페이로드를 적용하면 CVE-2017-5715에 대한 완화 기능만 사용하지 않도록 설정됩니다.

현재 이 스펙터 변형 2(CVE-2017-5715 | 분기 대상 삽입)가 고객을 공격하는 데 사용되었습니다. 해당하는 Windows 사용자는 Intel이 이러한 예측할 수 없는 시스템 동작이 장치에서 해결되었다고 보고하면 CVE-2017-5715에 대한 완화 기능을 다시 사용하도록 설정하는 것이 좋습니다.

2018년 2월 Intel announced은 최신 CPU 플랫폼의 유효성 검사를 완료했으며 해당 플랫폼용 마이크로코드 출시를 시작했음을 최근 발표했습니다. Microsoft는 스펙터 변형 2 스펙터 변형 2(CVE-2017-5715 | 분기 대상 삽입)와 관련하여 Intel에서 유효성을 검사한 마이크로코드 업데이트를 제공하고 있습니다. Windows 버전별 구체적인 기술 자료 문서는 KB4093836에 나와 있습니다. KB에는 CPU별로 제공되는 Intel 마이크로코드 업데이트가 나열되어 있습니다.

자세한 내용은 AMD 보안 업데이트, AMD 백서: 간접 분기 제어 관련 아키텍처 지침을 참조하세요. 이러한 항목은 OEM 펌웨어 채널을 통해 얻을 수 있습니다.

당사는 스펙터 변형 2(CVE-2017-5715 | 분기 대상 삽입)와 관련된 Intel 검증 마이크로코드 업데이트를 제공하고 있습니다. Windows 업데이트를 통해 최신 Intel 마이크로코드 업데이트를 받으려는 고객은 Windows 10 2018년 4월 업데이트(버전 1803)로 업그레이드하기 전에 Windows 10 운영 체제를 실행하는 장치에 Intel 마이크로코드가 설치되어 있어야 합니다.

운영 체제를 업그레이드하기 전에 장치에 마이크로코드가 설치되어 있지 않은 경우에는 Microsoft 업데이트 카탈로그를 통해 바로 마이크로코드 업데이트를 받을 수도 있습니다. Intel 마이크로코드는 Windows 업데이트, WSUS(Windows 서버 업데이트 서비스) 또는 Microsoft 업데이트 Catalog를 통해 사용할 수 있습니다. 자세한 내용 및 다운로드 지침은 KB4100347을 참조하세요.

자세한 내용은  ADV180012 | 예측 저장 우회 관련 Microsoft 지침의 “권장 조치” 및 “FAQ” 섹션을 참조하세요.

SSBD의 상태를 확인하기 위해 영향을 받는 프로세서, SSBD 운영 체제 업데이트의 상태, 프로세서 마이크로코드의 상태(해당하는 경우)를 감지하도록 Get-SpeculationControlSettings PowerShell 스크립트가 업데이트되었습니다. PowerShell 스크립트에 대해 자세히 알아보고 스크립트를 얻으려면 KB4074629를 참조하세요.

2018년 6월 13일에는 지연 FP 상태 복원이라고 하는 부채널 예측 실행과 관련된 취약성이 추가로 발표되었으며 취약성 번호 CVE-2018-3665가 할당되었습니다. 이 취약성 및 권장 조치에 대한 자세한 내용은 보안 공지 ADV180016 | 지연 FP 상태 복원 관련 Microsoft 지침을 참조하세요.

참고 지연 FP 상태 복원에 필요한 구성(레지스트리) 설정은 없습니다.

BCBS(범위 확인 저장 우회)는 2018년 7월 10일에 발표되었으며 취약성 번호 CVE-2018-3693이 할당되었습니다. BCBS는 첫 번째 변종인 범위 확인 우회와 동일한 취약성 종류에 속하는 것으로 판단됩니다. 현재 자사의 소프트웨어에서 BCBS가 발생한 경우는 접수되지 않고 있지만 이 취약성 종류를 계속 조사하고 있으며 필요에 따라 업계 파트너와 협력하여 완화 기능을 제공할 예정입니다. Microsoft는 연구원들이 BCBS의 악용 가능한 사례를 포함하여 이 취약성과 관련된 사항을 발견할 경우 Microsoft의 예측 실행 부채널 바운티 프로그램에 제출하도록 독려하고 있습니다. 소프트웨어 개발자는 예측 실행 부채널에 대한 C++ 개발자 지침에서 BCBS에 대해 업데이트된 개발자 지침을 검토해야 합니다. 

2018년 8월 14일에 L1TF(L1 터미널 결함)가 발표되어 여러 CVE가 할당되었습니다. 이러한 새로운 예측 실행 부채널 취약성은 신뢰 영역에서 메모리 콘텐츠를 읽는 데 사용할 수 있으며, 악용될 경우 정보가 유출될 수 있습니다. 구성 환경에 따라 공격자가 취약성을 촉발할 수 있는 여러 벡터가 있습니다. L1TF는 Intel® Core® 프로세서 및 Intel® Xeon® 프로세서에 영향을 미칩니다.

L1TF를 완화하기 위한 Microsoft의 접근 방식을 포함하여 이 취약성 및 영향을 받는 시나리오에 대한 자세한 내용은 다음 리소스를 참조하세요.

하이퍼스레딩을 사용하지 않도록 설정하는 단계는 OEM마다 다르지만 일반적으로 BIOS 또는 펌웨어 설정 및 구성 도구를 통해 수행합니다.

64비트 ARM 프로세서를 사용하는 고객은 장치 OEM에 펌웨어 지원을 문의해야 합니다. CVE-2017-5715 | 분기 대상 삽입(두 번째 변종 스펙터)을 완화하는 ARM64 운영 체제 보호 기능을 적용하려면 장치 OEM에서 제공한 최신 펌웨어 업데이트가 필요하기 때문입니다.

Retpoline 사용에 대한 자세한 내용은 블로그 게시물인 Windows의 Retpoline을 통해 두 번째 변종 스펙터 완화를 참조하세요.

이 취약성에 대한 자세한 내용은 Microsoft 보안 가이드인 CVE-2019-1125 | Windows 커널 정보 유출 취약성을 참조하세요.

이 정보 유출 취약성이 클라우드 서비스 인프라에 영향을 준 사례는 아직 보고되지 않았습니다.

Microsoft는 이 문제를 인지한 순간 이를 해결하는 업데이트를 공개하기 위해 신속하게 대처했습니다. Microsoft는 연구기관 및 업계 파트너와 긴밀히 협력하여 고객을 더욱 안전하게 보호하기 위해 노력하고 있으며, 취약성 공개 관행에 따라 8월 6일 화요일까지 세부 정보를 공개하지 않았습니다.

참조 문서

이 문서에 나와 있는 다른 공급업체 제품은 Microsoft와 무관한 회사에서 제조한 것입니다. Microsoft는 이 제품의 성능이나 신뢰성에 대해 묵시적 또는 명시적으로 어떠한 보증도 하지 않습니다.

Microsoft는 타사 연락처 정보를 제공하여 기술 지원을 받도록 도와줍니다. 이 연락처 정보는 공지 없이 변경될 수 있습니다. Microsoft는 이 타사 정보의 정확성을 보장하지 않습니다.

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

커뮤니티를 통해 질문하고 답변하고, 피드백을 제공하고, 풍부한 지식을 갖춘 전문가의 의견을 들을 수 있습니다.