KB4073119: patarimai IT specialistams, kaip "Windows" klientams apsisaugoti nuo mikroarchitektūros ir su spėjamu vykdymu susijusių šalutinių kanalų spragų

2019 m. gegužės 14 d. "Intel" paskelbė informaciją apie naują su spėjamu vykdymu susijusių šalutinių kanalų spragų, vadinamų mikroarchitektūros duomenų atranka, poklasį. Šie pažeidžiamumai pašalinti šiuose CVEs:

• CVE-2019-11091 | Mikroarchitektūros duomenų atranka Nenumatoma atmintis (MDSUM)

• CVE-2018-12126 | Mikroarchitektūros saugyklos buferio duomenų atranka (MSBDS)

• CVE-2018-12127 | Mikroarchitektūros užpildo buferio duomenų atranka (MFBDS)

• CVE-2018-12130 | Mikroarchitektūros apkrovos prievado duomenų atranka (MLPDS)

Išleidome naujinimus, kad padėtumėte sušvelninti šiuos pažeidžiamumus. Norint gauti visas galimas apsaugos priemones, reikalinga programinė-aparatinė įranga (mikrokodas) ir programinės įrangos naujinimai. Tai gali apimti mikrokodą iš įrenginio OĮG. Kai kuriais atvejais šių naujinimų diegimas turės įtakos veikimui. Taip pat veikėme siekdami apsaugoti savo debesies paslaugas. Primygtinai rekomenduojame įdiegti šiuos naujinimus.

Daugiau informacijos apie šią problemą žr. toliau pateiktu saugos patarimu ir naudokite scenarijumi pagrįstas rekomendacijas, kad nustatytumėte veiksmus, kurių reikia grėsmei sumažinti:

• ADV190013 | "Microsoft" rekomendacijos, kaip sumažinti mikroarchitektūros duomenų pavyzdžių rinkimo pažeidžiamumus

• "Windows" rekomendacijos, kaip apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų

2019 m. rugpjūčio 6 d. "Intel" išleido išsamią informaciją apie "Windows" branduolio informacijos atskleidimo pažeidžiamumą. Šis pažeidžiamumas yra "Spectre Variant 1" spėjamo vykdymo šalutinio kanalo pažeidžiamumo variantas ir buvo priskirtas CVE-2019-1125.

2019 m. liepos 9 d. išleidome "Windows" operacinės sistemos saugos naujinimus, kad padėtumėte išspręsti šią problemą. Atkreipkite dėmesį, kad iki 2019 m. rugpjūčio 6 d., antradienį, rugpjūčio 6 d., koordinuotai pramonei neatskleidėme šio poveikio mažinimo dokumentų viešai.

Klientai, kurie "Windows Update" įgalinti ir pritaikė 2019 m. liepos 9 d. išleistus saugos naujinimus, yra apsaugoti automatiškai. Nereikia papildomai konfigūruoti.

Norėdami gauti daugiau informacijos apie šį pažeidžiamumą ir taikomus naujinimus, žr. "Microsoft" saugos naujinimo vadovą:

• CVE-2019-1125 | "Windows" branduolio informacijos atskleidimo pažeidžiamumas

2019 m. lapkričio 12 d. "Intel" paskelbė techninį patarimą dėl "Intel" operacijų sinchronizavimo plėtinių ("Intel TSX") operacijos asinchroninio nutraukimo pažeidžiamumo, kuriam priskirtas CVE-2019-11135. Išleidome naujinimus, kurie padės sumažinti šį pažeidžiamumą. Pagal numatytuosius parametrus OS apsaugos yra įgalintos "Windows" kliento OS leidimuose.

2022 m. birželio 14 d. paskelbėme ADV220002 | "Microsoft" rekomendacijos dėl "Intel" procesoriaus MMIO pasenusių duomenų pažeidžiamumų. Thes pažeidžiamumas yra priskirtas šių CVEs:

• CVE-2022-21123 | Bendrai naudojami buferio duomenys nuskaityti (SBDR)

• CVE-2022-21125 | Bendrai naudojamų buferio duomenų atranka (SBDS)

• CVE-2022-21127 | Specialiojo registro buferio duomenų rinkimo naujinimas (SRBDS naujinimas)

• CVE-2022-21166 | Įrenginio registruoti dalinį rašymą (DRPW)

Rekomenduojami veiksmai

Norėdami apsisaugoti nuo šių pažeidžiamumų, turite imtis šių veiksmų:

1. Taikykite visus galimus "Windows" operacinės sistemos naujinimus, įskaitant mėnesinius "Windows" saugos naujinimus.

2. Taikykite galiojantį programinės-aparatinės įrangos (mikrokodo) naujinimą, kurį teikia įrenginio gamintojas.

3. Įvertinkite riziką savo aplinkai pagal informaciją, pateiktą "Microsoft" saugos patarimų ADV180002, ADV180012, ADV190013 ir ADV220002,taip pat šiame straipsnyje pateiktą informaciją.

4. Atlikite reikiamus veiksmus naudodami patarimus ir registro rakto informaciją, pateiktą šiame straipsnyje.

2022 m. liepos 12 d. paskelbėme CVE-2022-23825 | AMD CPU šakų tipų sumaišymas, kuris aprašo, kad pseudonimai šakų numatyme gali sukelti tam tikrų AMD procesorių nuspėti netinkamą šakos tipą. Ši problema gali sukelti informacijos atskleidimą.

Siekiant apsisaugoti nuo šio pažeidžiamumo, rekomenduojame įdiegti "Windows" naujinimus, išleistus 2022 m. liepos mėn. arba vėliau, tada imtis veiksmų pagal CVE-2022-23825 ir registro rakto informaciją, pateiktą šiame žinių bazė straipsnyje.

Daugiau informacijos žr. AMD-SB-1037 saugos biuletenyje.

2023 m. rugpjūčio 8 d. paskelbėme CVE-2023-20569 | AMD CPU atgalinio adreso numatymas (dar žinomas kaip "Inception"), aprašantis naują spekuliacinį šalutinių kanalų ataką, dėl kurios gali būti spekuliatyviai vykdomas užpuolikas valdomas adresas. Ši problema turi įtakos tam tikriems AMD procesoriams ir gali lemti informacijos atskleidimą.

Siekiant apsisaugoti nuo šio pažeidžiamumo, rekomenduojame įdiegti "Windows" naujinimus, kurių data yra 2023 m. rugpjūčio mėn. arba vėliau, tada imtis veiksmų, kaip reikalaujama CVE-2023-20569 ir registro rakto informacija, pateikta šiame žinių bazė straipsnyje.

Daugiau informacijos žr. AMD-SB-7005 saugos biuletenyje.

2024 m. balandžio 9 d. paskelbėme CVE-2022-0001 | "Intel Branch History" įdėjimas , kuris aprašo filialo istorijos įdėjimas (BHI), kuris yra konkrečios formos vidinio režimo BTI. Šis pažeidžiamumas atsiranda, kai pažeidėjas gali valdyti šakos retrospektyvą prieš pereidamas iš vartotojo į priežiūros režimą (arba iš VMX ne šakninio / svečio į šakninį režimą). Dėl šio manipuliavimo netiesioginis šakos numatymas gali pasirinkti konkretų netiesioginio šakos prognozės įrašą, o atskleidimo įtaisas, esantis numatytame tiksliniame objekte, bus laikinai vykdomas. Tai gali būti įmanoma, nes atitinkamoje šakų retrospektyvoje gali būti šakų, paimtų ankstesniuose saugos kontekstuose, ypač kitų prognozės režimų.

Pagal numatytuosius parametrus CVE-2017-5715 vartotojo ir branduolio apsauga išjungta AMD ir ARM CPU. Turite įgalinti rizikos mažinimą, kad gautumėte papildomą CVE-2017-5715 apsaugą. Daugiau informacijos žr. DUK #15 ADV180002 AMD procesoriams ir DUK #20 dalyje ADV180002 ARM procesoriams.

Pagal numatytuosius parametrus VARTOTOJŲ apsauga nuo branduolio CVE-2017-5715 išjungta AMD procesoriams. Klientai turi įgalinti rizikos mažinimą, kad gautų papildomą CVE-2017-5715 apsaugą.  Daugiau informacijos žr. " ADV180002" DUK #15.

Norėdami įjungti RIZIKOS mažinimą CVE-2022-23825 AMD procesoriuose :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Kad būtų visiškai apsaugoti, klientams taip pat gali tekti išjungti Hyper-Threading (dar vadinamą vienalaikiu kelių gijų gija (SMT).) Instrukcijas, kaip apsaugoti "Windows" įrenginius, žr. KB4073757. 

Norėdami įjungti RIZIKOS mažinimą CVE-2023-20569 AMD procesoriuose:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Norėdami įjungti rizikos mažinimą CVE-2022-0001 "Intel" procesoriuose:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Išsamų "PowerShell" scenarijaus išvesties paaiškinimą žr. KB4074629.

Mikrokodas pristatomas naudojant programinės-aparatinės įrangos naujinimą. Turėtumėte kreiptis į savo CPU (lustų rinkinį) ir įrenginių gamintojus dėl jų konkrečiam įrenginiui taikomų programinės-aparatinės įrangos saugos naujinimų prieinamumo, įskaitant "Intels" mikrokodo redakcijos gaires.

Aparatūros pažeidžiamumo šalinimas naudojant programinės įrangos naujinimą kelia didelių problemų. Be to, senesnių operacinių sistemų mažinimui reikia išsamių architektūros pakeitimų. Dirbame su paveiktų lustų gamintojais, kad nustatytumėte geriausią rizikos mažinimo priemonių, kurios gali būti pateiktos būsimuose naujinimuose, teikimo būdą.

"Microsoft Surface" įrenginių Naujinimai bus pateiktos klientams per "Windows Update" kartu su "Windows" operacinės sistemos naujinimais. Galimų "Surface" įrenginio programinės-aparatinės įrangos (mikrokodo) naujinimų sąrašą rasite KB4073065".

Jei jūsų įrenginio gamintojas nėra „Microsoft“, taikykite įrenginio gamintojo išleistą programinę-aparatinę įrangą. Norėdami gauti daugiau informacijos, kreipkitės į OĮG įrenginio gamintoją.

2018 m. vasario ir kovo mėn. "Microsoft" išleido papildomą apsaugą kai kurioms x86 pagrindo sistemoms. Daugiau informacijos žr. KB4073757 ir "Microsoft" saugos patarimų ADV180002.

Naujinimai "HoloLens" Windows 10 "HoloLens" klientams pasiekiamos per "Windows Update".

Pritaikius 2018 m. vasario mėn. "Windows" sauga naujinimą, "HoloLens" klientai neturi imtis jokių papildomų veiksmų įrenginio programinei-aparatinei įrangai atnaujinti. Šios rizikos mažinimo priemonės taip pat bus įtrauktos į visus būsimus "holoLens" skirtus Windows 10 leidimus.

Ne. Tik saugos naujinimai nėra kaupiamieji. Atsižvelgiant į naudojamą operacinės sistemos versiją, turėsite įdiegti kiekvieną mėnesinį tik saugos naujinimą, kad apsisaugotumėte nuo šių pažeidžiamumų. Pavyzdžiui, jei naudojate "Windows 7" 32 bitų sistemoms paveiktame "Intel" CPU, turite įdiegti visus tik saugos naujinimus. Rekomenduojame įdiegti šiuos tik saugos naujinimus leidimo tvarka.

Pastaba Ankstesnėje šių DUK versijoje neteisingai nurodyta, kad vasario mėn. tik saugos naujinime buvo saugos pataisos, išleistos sausio mėn. Tiesą sakant, tai nėra.

Ne. Saugos naujinimo 4078130 buvo konkreti pataisa, skirta išvengti neprognozuojamo sistemos veikimo, efektyvumo problemų ir (arba) netikėtų paleidimų iš naujo įdiegus mikrokodą. Vasario mėn. saugos naujinimų taikymas "Windows" kliento operacinėse sistemose įgalina visus tris mažinimus.

"Intel" neseniai paskelbė, kad užbaigė savo tikrinimus ir pradėjo išleisti mikrokodą naujesnėms CPU platformoms. "Microsoft" pateikia "Intel" patvirtintus mikrokodo naujinimus apie "Spectre Variant 2" (CVE-2017-5715 "Branch Target Injection"). KB4093836 pateikiami konkretūs žinių bazės straipsniai pagal "Windows" versiją. Kiekvienoje konkrečioje KB yra galimų „Intel“ mikrokodų naujinimai pagal CPU.

Ši problema buvo išspręsta KB4093118.

AMD neseniai paskelbė, kad jie pradėjo išleisti mikrokodo naujesnių CPU platformų aplink Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Daugiau informacijos žr. AMD saugos Naujinimai ir AMD techninę dokumentaciją: Architektūros gairės dėl netiesioginio šakų valdymo. Jas galima gauti iš OĮG programinės-aparatinės įrangos kanalo.

Pateikiame prieinamus "Intel" patvirtintus mikrokodo naujinimus apie "Spectre Variant 2" (CVE-2017-5715 "Branch Target Injection"). Norėdami gauti naujausius "Intel" mikrokodo naujinimus per ""Windows Update"", klientai turi įdiegti "Intel" mikrokodą įrenginiuose, kuriuose veikia Windows 10 operacinė sistema, prieš atnaujindami versiją į Windows 10 2018 m. balandžio mėn. naujinimą (1803 versiją).

Mikrokodo naujinimas taip pat pasiekiamas tiesiogiai iš katalogo, jei jis nebuvo įdiegtas įrenginyje prieš naujinant operacinę sistemą. "Intel" mikrokodas pasiekiamas per "Windows Update", WSUS arba "Microsoft Update" katalogą. Daugiau informacijos ir atsisiuntimo instrukcijas žr. KB4100347.

Daugiau informacijos žr. šiuose ištekliuose:

• ADV180012 | "Microsoft" rekomendacijos dėl "Speculative Store Bypass for CVE-2018-3639"

• ADV180013 | "Microsoft" rekomendacijos dėl "Rogue System Register ", skirtos CVE-2018-3640 ir KB4073065

• "Microsoft" saugos tyrimų ir gynybos tinklaraštis

• Kūrėjo rekomendacijos dėl "Speculative Store Bypass"

Daugiau informacijos žr. ADV180012 | skiltyse "Rekomenduojami veiksmai" ir "DUK" "Microsoft" rekomendacijos dėl "Speculative Store Bypass".

Norint patikrinti SSBD būseną, buvo atnaujintas Get-SpeculationControlSettings "PowerShell" scenarijus, kad aptiktų paveiktus procesorius, SSBD operacinės sistemos naujinimų būseną ir procesoriaus mikrokodo būseną, jei taikoma. Norėdami gauti daugiau informacijos ir gauti "PowerShell" scenarijų, žr. KB4074629.

2018 m. birželio 13 d. paskelbta apie papildomą pažeidžiamumą įtraukiant šalutinių kanalų spekuliacinį vykdymą, vadinamą "Lazy FP State Restore", ir priskirtas CVE-2018-3665. "Lazy Restore FP Restore" nereikia jokių konfigūracijos (registro) parametrų.

Norėdami gauti daugiau informacijos apie šį pažeidžiamumą ir rekomenduojamus veiksmus, žr. saugos patarimą ADV180016 | "Microsoft" rekomendacijos dėl "Lazy FP State Restore".

"Bounds Check Bypass Store" (BCBS) buvo atskleista 2018 m. liepos 10 d. ir priskirta CVE-2018-3693. Mes laikome, kad BCBS priklauso tai pačiai spragų klasei kaip "Bounds Check Bypass" (1 variantas). Šiuo metu nesame susipažinę su jokiais BCBS egzemplioriais savo programinėje įrangoje, tačiau toliau tiriame šią pažeidžiamumo klasę ir dirbsime su pramonės partneriais, kad prireikus išleistume pažeidžiamumą mažinančias priemones. Mes ir toliau skatiname tyrėjus pateikti atitinkamas išvadas į "Microsoft" spekuliacinio vykdymo šalutinių kanalų dosninę programą, įskaitant bet kokius išnaudojamus BCBS egzempliorius. Programinės įrangos kūrėjai turėtų peržiūrėti kūrėjo rekomendacijas, kurios buvo atnaujintos BCBS https://aka.ms/sescdevguide.

2018 m. rugpjūčio 14 d. paskelbta apie L1 terminalo gedimą (L1TF) ir priskirti keli CVEs. Šie nauji spekuliaciniai vykdymo šalutinių kanalų pažeidžiamumai gali būti naudojami skaityti atminties turinį per patikimą ribą ir, jei naudojama, gali sukelti informacijos atskleidimą. Pažeidėjas gali sukelti pažeidžiamumą per kelis vektorius, atsižvelgiant į sukonfigūruotą aplinką. L1TF turi įtakos "Intel Core®"® procesoriams ir "Intel Xeon®"® procesoriams.

Norėdami gauti daugiau informacijos apie šį pažeidžiamumą ir išsamų peržiūrėti paveiktus scenarijus, įskaitant "Microsoft" požiūrį į L1TF, žr. šiuos išteklius:

• ADV180018 | "Microsoft" rekomendacijos, kaip sumažinti L1TF variantą

• Saugos patarimo saugos tyrimų tinklaraštis

• Patarimai dėl serverio L1 terminalo klaidos

Klientai, naudojantys 64 bitų ARM procesorius, turėtų kreiptis į įrenginio OĮG dėl programinės-aparatinės įrangos palaikymo, nes ARM64 operacinės sistemos apsaugos sumažina CVE-2017-5715 | Branch target injection (Spectre, Variant 2) require the latest firmware update from device OĮG to effect.

Norėdami gauti daugiau informacijos, žr. šiuos saugos patarimus 

• "Intel" saugos patarimas

• ADV190013 | "Microsoft" rekomendacijos, kaip sumažinti mikroarchitektūros duomenų pavyzdžių rinkimo pažeidžiamumus

Norėdami gauti daugiau informacijos, žr. šiuos saugos patarimus

• "Intel" saugos patarimas

• ADV190013 | "Microsoft" rekomendacijos, kaip sumažinti mikroarchitektūros duomenų pavyzdžių rinkimo pažeidžiamumus

Daugiau patarimų galima rasti "Windows" rekomendacijose, kaip apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų

Norėdami apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų, žr. "Windows" rekomendacijas

Jei reikia "Azure" patarimų, žr. šį straipsnį: Rekomendacijos, kaip sumažinti su spėjamu vykdymu susijusių šalutinių kanalų pažeidžiamumą "Azure".  

Norėdami gauti daugiau informacijos apie "Retpoline" įgalinimą, žr. mūsų tinklaraščio įrašą: "Spectre" 2 varianto švelninimas naudojant "Retpoline" sistemoje "Windows". 

Daugiau informacijos apie šį pažeidžiamumą žr. "Microsoft" saugos vadove: CVE-2019-1125 | "Windows" branduolio informacijos atskleidimo pažeidžiamumas.

Mes nežinome apie jokius šios informacijos atskleidimo pažeidžiamumus, kurie daro įtaką mūsų debesies tarnybų infrastruktūrai.

Kai tik sužinome apie šią problemą, mes greitai dirbome, kad išstengtume ją išspręsti ir išleistume naujinimą. Esame tvirtai įsitikinę, kad reikia glaudžiai bendradarbiauti su tyrėjais ir pramonės partneriais, kad klientai būtų saugesni, ir nepaskelbėme išsamios informacijos iki antradienį, rugpjūčio 6 d., pagal koordinuotą pažeidžiamumo atskleidimo praktiką.

Daugiau patarimų galima rasti "Windows" rekomendacijose, kaip apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų.

Daugiau patarimų galima rasti "Windows" rekomendacijose, kaip apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų.

Daugiau patarimų rasite rekomendacijoje, kaip išjungti "Intel"® operacijų sinchronizavimo plėtinių ("Intel® TSX") funkciją.

Teikiame trečiųjų šalių kontaktinę informaciją, kad galėtumėte lengviau rasti techninės pagalbos. Ši kontaktinė informacija gali būti keičiama be pranešimo. Negarantuojame, kad ši trečiosios šalies kontaktinė informacija bus tiksli.