Keisti datą |
Keisti aprašą |
2023 m. liepos 19 d. |
|
2023 m. rugpjūčio 8 d. |
|
2023 m. rugpjūčio 9 d. |
|
2024 m. balandžio 9 d. |
|
2024 m. balandžio 16 d. |
|
Suvestinė
Šiame straipsnyje pateikiamos rekomendacijos dėl naujos mikroarchitektūros klasės mikroarchitektūros ir su spėjamu vykdymu susijusių šalutinių kanalų spragų, kurios turi įtakos daugeliui šiuolaikinių procesorių ir operacinių sistemų. Tai apima "Intel", AMD ir ARM. Konkrečios informacijos apie šiuos mikrosulių pažeidžiamumus galima rasti šiose ADV (saugos patarimai) ir CVE (įprastos spragos ir poveikis):
-
ADV180012 | "Microsoft" rekomendacijos dėl "Speculative Store Bypass"
-
ADV180013 | "Microsoft" rekomendacijos, skirtos "Rogue" sistemos registrui skaityti
-
ADV180016 | "Microsoft" rekomendacijos dėl "Lazy FP State Restore"
-
ADV180018 | "Microsoft" rekomendacijos, kaip sumažinti L1TF variantą
-
ADV220002 | "Microsoft" rekomendacijos dėl "Intel" procesoriaus MMIO pasenusių duomenų pažeidžiamumų
Svarbu: Ši problema taip pat paveikia kitas operacines sistemas, pvz., "Android", "Chrome", "iOS" ir "macOS". Todėl patariame klientams siekti šių tiekėjų patarimų.
Išleidome kelis naujinimus, kad padėtumėte sušvelninti šiuos pažeidžiamumus. Taip pat ėmėmės veiksmų, kad apsaugotume savo debesies paslaugas. Daugiau informacijos žr. tolesniuose skyriuose.
Dar negavome jokios informacijos, nurodančios, kad šie pažeidžiamumai buvo naudojami atakoms klientams. Glaudžiai bendradarbiaujame su pramonės partneriais, įskaitant lustų gamintojus, aparatūros OĮG ir programų tiekėjus, kad apsaugotume klientus. Norint gauti visas galimas apsaugos priemones, reikalinga programinė-aparatinė įranga (mikrokodas) ir programinės įrangos naujinimai. Tai apima mikrokodą iš įrenginio OĮG ir, kai kuriais atvejais, antivirusinės programinės įrangos naujinimus.
Šiame straipsnyje aptariami šie pažeidžiamumai:
"Windows Update" taip pat pateiks "Internet Explorer" ir "Edge" mažinimų. Mes ir toliau tobulinsime šias pažeidžiamumą mažinančias priemones atsižvelgdami į šią pažeidžiamumo klasę.
Norėdami sužinoti daugiau apie šią pažeidžiamumų klasę, žr.:
Pažeidžiamumą
2019 m. gegužės 14 d. "Intel" paskelbė informaciją apie naują su spėjamu vykdymu susijusių šalutinių kanalų spragų, vadinamų mikroarchitektūros duomenų atranka, poklasį. Šie pažeidžiamumai pašalinti šiuose CVEs:
-
CVE-2019-11091 | Mikroarchitektūros duomenų atranka Nenumatoma atmintis (MDSUM)
-
CVE-2018-12126 | Mikroarchitektūros saugyklos buferio duomenų atranka (MSBDS)
-
CVE-2018-12127 | Mikroarchitektūros užpildo buferio duomenų atranka (MFBDS)
-
CVE-2018-12130 | Mikroarchitektūros apkrovos prievado duomenų atranka (MLPDS)
Svarbu: Šios problemos paveiks kitas operacines sistemas, pvz., "Android", "Chrome", "iOS" ir "MacOS". Rekomenduojame kreiptis pagalbos iš šių atitinkamų tiekėjų.
Išleidome naujinimus, kad padėtumėte sušvelninti šiuos pažeidžiamumus. Norint gauti visas galimas apsaugos priemones, reikalinga programinė-aparatinė įranga (mikrokodas) ir programinės įrangos naujinimai. Tai gali apimti mikrokodą iš įrenginio OĮG. Kai kuriais atvejais šių naujinimų diegimas turės įtakos veikimui. Taip pat veikėme siekdami apsaugoti savo debesies paslaugas. Primygtinai rekomenduojame įdiegti šiuos naujinimus.
Daugiau informacijos apie šią problemą žr. toliau pateiktu saugos patarimu ir naudokite scenarijumi pagrįstas rekomendacijas, kad nustatytumėte veiksmus, kurių reikia grėsmei sumažinti:
Pastaba: Rekomenduojame įdiegti visus naujausius naujinimus iš "Windows Update" prieš diegiant mikrokodo naujinimus.
2019 m. rugpjūčio 6 d. "Intel" išleido išsamią informaciją apie "Windows" branduolio informacijos atskleidimo pažeidžiamumą. Šis pažeidžiamumas yra "Spectre Variant 1" spėjamo vykdymo šalutinio kanalo pažeidžiamumo variantas ir buvo priskirtas CVE-2019-1125.
2019 m. liepos 9 d. išleidome "Windows" operacinės sistemos saugos naujinimus, kad padėtumėte išspręsti šią problemą. Atkreipkite dėmesį, kad iki 2019 m. rugpjūčio 6 d., antradienį, rugpjūčio 6 d., koordinuotai pramonei neatskleidėme šio poveikio mažinimo dokumentų viešai.
Klientai, kurie "Windows Update" įgalinti ir pritaikė 2019 m. liepos 9 d. išleistus saugos naujinimus, yra apsaugoti automatiškai. Nereikia papildomai konfigūruoti.
Pastaba: Šis pažeidžiamumas nereikalauja mikrokodo naujinimo iš įrenginio gamintojo (OĮG).
Norėdami gauti daugiau informacijos apie šį pažeidžiamumą ir taikomus naujinimus, žr. "Microsoft" saugos naujinimo vadovą:
2019 m. lapkričio 12 d. "Intel" paskelbė techninį patarimą dėl "Intel" operacijų sinchronizavimo plėtinių ("Intel TSX") operacijos asinchroninio nutraukimo pažeidžiamumo, kuriam priskirtas CVE-2019-11135. Išleidome naujinimus, kurie padės sumažinti šį pažeidžiamumą. Pagal numatytuosius parametrus OS apsaugos yra įgalintos "Windows" kliento OS leidimuose.
2022 m. birželio 14 d. paskelbėme ADV220002 | "Microsoft" rekomendacijos dėl "Intel" procesoriaus MMIO pasenusių duomenų pažeidžiamumų. Thes pažeidžiamumas yra priskirtas šių CVEs:
-
CVE-2022-21123 | Bendrai naudojami buferio duomenys nuskaityti (SBDR)
-
CVE-2022-21125 | Bendrai naudojamų buferio duomenų atranka (SBDS)
-
CVE-2022-21127 | Specialiojo registro buferio duomenų rinkimo naujinimas (SRBDS naujinimas)
Rekomenduojami veiksmai
Norėdami apsisaugoti nuo šių pažeidžiamumų, turite imtis šių veiksmų:
-
Taikykite visus galimus "Windows" operacinės sistemos naujinimus, įskaitant mėnesinius "Windows" saugos naujinimus.
-
Taikykite galiojantį programinės-aparatinės įrangos (mikrokodo) naujinimą, kurį teikia įrenginio gamintojas.
-
Įvertinkite riziką savo aplinkai pagal informaciją, pateiktą "Microsoft" saugos patarimų ADV180002, ADV180012, ADV190013 ir ADV220002,taip pat šiame straipsnyje pateiktą informaciją.
-
Atlikite reikiamus veiksmus naudodami patarimus ir registro rakto informaciją, pateiktą šiame straipsnyje.
Pastaba: "Surface" klientai gaus mikrokodo naujinimą per "Windows Update". Naujausių galimų "Surface" įrenginio programinės-aparatinės įrangos (mikrokodo) naujinimų sąrašą rasite KB4073065".
2022 m. liepos 12 d. paskelbėme CVE-2022-23825 | AMD CPU šakų tipų sumaišymas, kuris aprašo, kad pseudonimai šakų numatyme gali sukelti tam tikrų AMD procesorių nuspėti netinkamą šakos tipą. Ši problema gali sukelti informacijos atskleidimą.
Siekiant apsisaugoti nuo šio pažeidžiamumo, rekomenduojame įdiegti "Windows" naujinimus, išleistus 2022 m. liepos mėn. arba vėliau, tada imtis veiksmų pagal CVE-2022-23825 ir registro rakto informaciją, pateiktą šiame žinių bazė straipsnyje.
Daugiau informacijos žr. AMD-SB-1037 saugos biuletenyje.
2023 m. rugpjūčio 8 d. paskelbėme CVE-2023-20569 | AMD CPU atgalinio adreso numatymas (dar žinomas kaip "Inception"), aprašantis naują spekuliacinį šalutinių kanalų ataką, dėl kurios gali būti spekuliatyviai vykdomas užpuolikas valdomas adresas. Ši problema turi įtakos tam tikriems AMD procesoriams ir gali lemti informacijos atskleidimą.
Siekiant apsisaugoti nuo šio pažeidžiamumo, rekomenduojame įdiegti "Windows" naujinimus, kurių data yra 2023 m. rugpjūčio mėn. arba vėliau, tada imtis veiksmų, kaip reikalaujama CVE-2023-20569 ir registro rakto informacija, pateikta šiame žinių bazė straipsnyje.
Daugiau informacijos žr. AMD-SB-7005 saugos biuletenyje.
2024 m. balandžio 9 d. paskelbėme CVE-2022-0001 | "Intel Branch History" įdėjimas , kuris aprašo filialo istorijos įdėjimas (BHI), kuris yra konkrečios formos vidinio režimo BTI. Šis pažeidžiamumas atsiranda, kai pažeidėjas gali valdyti šakos retrospektyvą prieš pereidamas iš vartotojo į priežiūros režimą (arba iš VMX ne šakninio / svečio į šakninį režimą). Dėl šio manipuliavimo netiesioginis šakos numatymas gali pasirinkti konkretų netiesioginio šakos prognozės įrašą, o atskleidimo įtaisas, esantis numatytame tiksliniame objekte, bus laikinai vykdomas. Tai gali būti įmanoma, nes atitinkamoje šakų retrospektyvoje gali būti šakų, paimtų ankstesniuose saugos kontekstuose, ypač kitų prognozės režimų.
"Windows" klientų rizikos mažinimo parametrai
Saugos patarimai (ADV) ir CVEs teikia informaciją apie šių pažeidžiamumų keliamą riziką ir kaip jie padeda nustatyti numatytąją rizikos mažinimo būseną "Windows" klientų sistemoms. Toliau pateiktoje lentelėje apibendrinami CPU mikrokodo reikalavimai ir numatytoji rizikos mažinimo būsena "Windows" klientuose.
GYVENIMO APRAŠYMAS |
Reikia CPU mikrokodo / programinės-aparatinės įrangos? |
Rizikos mažinimo numatytoji būsena |
---|---|---|
CVE-2017-5753 |
Ne |
Įgalinta pagal numatytuosius parametrus (nėra parinkties išjungti) Papildomos informacijos ieškokite ADV180002 . |
CVE-2017-5715 |
Taip |
Įjungta pagal numatytuosius parametrus. AMD procesoriais pagrįstų sistemų vartotojai turėtų matyti DUK #15, o ARM procesorių vartotojai turėtų matyti DUK #20 apie ADV180002 , kad galėtų atlikti papildomus veiksmus, ir šį KB straipsnį apie taikomus registro rakto parametrus. Pastaba Pagal numatytuosius parametrus "Retpoline" įgalinamas įrenginiuose, kuriuose veikia Windows 10" 1809 arba naujesnė versija, jei įjungtas "Spectre Variant 2" (CVE-2017-5715). Norėdami gauti daugiau informacijos apie "Retpoline", vadovaukitės nurodymais, pateikiamais "Spectre" 2 variante su "Retpoline" "Windows" tinklaraščio įraše. |
CVE-2017-5754 |
Ne |
Įgalinta pagal numatytuosius parametrus Papildomos informacijos ieškokite ADV180002 . |
CVE-2018-3639 |
"Intel": taip AMD: Ne ARM: taip |
"Intel" ir AMD: išjungta pagal numatytuosius parametrus. Daugiau informacijos žr. ADV180012 ir šiame KB straipsnyje apie taikomus registro rakto parametrus. ARM: įjungta pagal numatytuosius parametrus be parinkties išjungti. |
CVE-2019-11091 |
"Intel": taip |
Įjungta pagal numatytuosius parametrus. Daugiau informacijos žr. ADV190013 ir šiame straipsnyje apie taikomus registro rakto parametrus. |
CVE-2018-12126 |
"Intel": taip |
Įjungta pagal numatytuosius parametrus. Daugiau informacijos žr. ADV190013 ir šiame straipsnyje apie taikomus registro rakto parametrus. |
CVE-2018-12127 |
"Intel": taip |
Įjungta pagal numatytuosius parametrus. Daugiau informacijos žr. ADV190013 ir šiame straipsnyje apie taikomus registro rakto parametrus. |
CVE-2018-12130 |
"Intel": taip |
Įjungta pagal numatytuosius parametrus. Daugiau informacijos žr. ADV190013 ir šiame straipsnyje apie taikomus registro rakto parametrus. |
CVE-2019-11135 |
"Intel": taip |
Įjungta pagal numatytuosius parametrus. Daugiau informacijos žr. CVE-2019-11135 ir šiame straipsnyje apie taikomus registro rakto parametrus. |
CVE-2022-21123 (MMIO ADV220002 dalis) |
"Intel": taip |
Windows 10 1809 ir naujesnės versijos: įgalinta pagal numatytuosius parametrus. Windows 10, 1607 ir ankstesnės versijos: išjungta pagal numatytuosius parametrus.Daugiau informacijos žr. CVE-2022-21123 ir šiame straipsnyje apie taikomus registro rakto parametrus. |
CVE-2022-21125 (MMIO ADV220002 dalis) |
"Intel": taip |
Windows 10 1809 ir naujesnės versijos: įgalinta pagal numatytuosius parametrus. Windows 10, 1607 ir ankstesnės versijos: išjungta pagal numatytuosius parametrus.Daugiau informacijos žr. CVE-2022-21125 . |
CVE-2022-21127 (MMIO ADV220002 dalis) |
"Intel": taip |
Windows 10 1809 ir naujesnės versijos: įgalinta pagal numatytuosius parametrus. Windows 10, 1607 ir ankstesnės versijos: išjungta pagal numatytuosius parametrus.Daugiau informacijos žr. CVE-2022-21127 . |
CVE-2022-21166 (MMIO ADV220002 dalis) |
"Intel": taip |
Windows 10 1809 ir naujesnės versijos: įgalinta pagal numatytuosius parametrus. Windows 10, 1607 ir ankstesnės versijos: išjungta pagal numatytuosius parametrus.Daugiau informacijos žr. CVE-2022-21166 . |
CVE-2022-23825 (AMD CPU šakų tipų sumaištis) |
AMD: Ne |
Daugiau informacijos žr. CVE-2022-23825 ir šiame straipsnyje apie taikomus registro rakto parametrus. |
CVE-2023-20569 (AMD CPU atgalinio adreso numatymas) |
AMD: taip |
Daugiau informacijos žr. CVE-2023-20569 ir šiame straipsnyje apie taikomus registro rakto parametrus. |
"Intel": ne |
Išjungta pagal numatytuosius parametrus. Daugiau informacijos žr. CVE-2022-0001 ir šiame straipsnyje apie taikomus registro rakto parametrus. |
Pastaba: Pagal numatytuosius parametrus išjungtų rizikos mažinimo priemonių įgalinimas gali turėti įtakos įrenginio našumui. Faktinis veikimo poveikis priklauso nuo kelių veiksnių, pvz., konkretaus įrenginio lustų rinkinio ir veikiančių darbo krūvių.
Registro parametrai
Pateikiame šią registro informaciją, kad įgalintume rizikos mažinimus, kurie nėra įjungti pagal numatytuosius parametrus, kaip aprašyta saugos patarimuose (ADV) ir CVEs. Be to, teikiame registro rakto parametrus vartotojams, kurie nori išjungti rizikos mažinimą, kai taikoma "Windows" klientams.
Svarbu: Šiame skyriuje, metode arba užduotyje yra veiksmų, kurie nurodo, kaip modifikuoti registrą. Tačiau gali kilti rimtų problemų, jei netinkamai modifikuosite registrą. Todėl įsitikinkite, kad atidžiai atliekate šiuos veiksmus. Norėdami papildomai apsaugoti, prieš modifikuodami registrą sukurkite atsarginę jo kopiją. Tada galite atkurti registrą, jei kyla problemų. Daugiau informacijos apie tai, kaip sukurti atsarginę registro kopiją ir atkurti registrą, ieškokite šiame "Microsoft" žinių bazės straipsnyje:322756 Kaip sukurti atsarginę registro kopiją ir atkurti registrą sistemoje "Windows"
Svarbu: Pagal numatytuosius parametrus "Retpoline" įgalinamas Windows 10" 1809 versijos įrenginiuose, jei įjungta "Spectre", 2 variantas (CVE-2017-5715). Įjungus "Retpoline" naujausioje Windows 10 versijoje, gali pagerėti efektyvumas įrenginiuose, kuriuose veikia "Windows 10", 1809 versija, skirta "Spectre" 2 variantui, ypač senesniems procesoriams.
Norėdami įgalinti numatytąsias priemones CVE-2017-5715 (Spectre Variant 2) ir CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai. Norėdami išjungti rizikos mažinimą CVE-2017-5715 (Spectre Variant 2) ir CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai. |
Pastaba: 3 reikšmė yra tiksli FeatureSettingsOverrideMask parametrams "enable" ir "disable". (Daugiau informacijos apie registro raktus žr. skyriuje DUK.)
Norėdami išjungti priemones, skirtas CVE-2017-5715 (Spectre Variant 2) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai. Norėdami įgalinti numatytąsias priemones CVE-2017-5715 (Spectre Variant 2) ir CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai. |
Pagal numatytuosius parametrus CVE-2017-5715 vartotojo ir branduolio apsauga išjungta AMD ir ARM CPU. Turite įgalinti rizikos mažinimą, kad gautumėte papildomą CVE-2017-5715 apsaugą. Daugiau informacijos žr. DUK #15 ADV180002 AMD procesoriams ir DUK #20 dalyje ADV180002 ARM procesoriams.
Įgalinkite vartotojo ir branduolio apsaugą AMD ir ARM procesoriuose kartu su kitomis CVE 2017-5715 apsaugos. reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai. |
Norėdami įgalinti CVE-2018-3639 ("Speculative Store Bypass") mažinimus, numatytuosius cve-2017-5715 (Spectre Variant 2) ir CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai. Pastaba: AMD procesoriai nėra pažeidžiami CVE-2017-5754 (Meltdown). Šis registro raktas naudojamas sistemose su AMD procesoriais, kad būtų įgalintas numatytasis rizikos mažinimas CVE-2017-5715 AMD procesoriuose ir rizikos mažinimas CVE-2018-3639. Norėdami išjungti CVE-2018-3639 ("Speculative Store Bypass") *ir* rizikos mažinimus, skirtus CVE-2017-5715 (Spectre Variant 2) ir CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai. |
Pagal numatytuosius parametrus VARTOTOJŲ apsauga nuo branduolio CVE-2017-5715 išjungta AMD procesoriams. Klientai turi įgalinti rizikos mažinimą, kad gautų papildomą CVE-2017-5715 apsaugą. Daugiau informacijos žr. " ADV180002" DUK #15.
Vartotojų apsaugos nuo branduolio įgalinimas AMD procesoriuose kartu su kitomis CVE 2017-5715 apsaugos ir CVE-2018-3639 ("Speculative Store Bypass") apsauga: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai. |
Norėdami įgalinti pažeidžiamumą mažinančias priemones, skirtas "Intel" operacijų sinchronizavimo plėtiniams ("Intel TSX") operacijai asinchroninio nutraukimo pažeidžiamumui (CVE-2019-11135) ir mikroarchitektūros duomenų atrankai (CVE-2019-2019-04) 11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kartu su Spectre (CVE-2017-5753 & CVE-2017-5715) ir "Meltdown" (CVE-2017-5754) variantai, įskaitant "Specul" "Store" apėjimo išjungimas (SSBD) (CVE-2018-3639), taip pat L1 terminalo triktis (L1TF) (CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646) neišjungiant "Hyper-Threading": reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Jei tai yra "Hyper-V" pagrindinis kompiuteris ir buvo pritaikyti programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualiąsias mašinas. Tai įgalina su programine-aparatine įranga susijusį rizikos mažinimą taikyti pagrindiniame kompiuteryje prieš paleidžiant VM. Todėl VM taip pat atnaujinamas, kai jie iš naujo. Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) kai Hyper-Threading išjungta: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Jei tai yra "Hyper-V" pagrindinis kompiuteris ir buvo pritaikyti programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualiąsias mašinas. Tai įgalina su programine-aparatine įranga susijusį rizikos mažinimą taikyti pagrindiniame kompiuteryje prieš paleidžiant VM. Todėl VM taip pat atnaujinamas, kai jie iš naujo. Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai. |
Norėdami įjungti RIZIKOS mažinimą CVE-2022-23825 AMD procesoriuose :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Kad būtų visiškai apsaugoti, klientams taip pat gali tekti išjungti Hyper-Threading (dar vadinamą vienalaikiu kelių gijų gija (SMT).) Instrukcijas, kaip apsaugoti "Windows" įrenginius, žr. KB4073757.
Norėdami įjungti RIZIKOS mažinimą CVE-2023-20569 AMD procesoriuose:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Norėdami įjungti rizikos mažinimą CVE-2022-0001 "Intel" procesoriuose:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Kelių rizikos mažinimo priemonių įgalinimas
Norėdami įgalinti kelis mažinimus, turite įtraukti REG_DWORD reikšmę kiekvieną rizikos mažinimą kartu.
Toliau pateikiami keli pavyzdžiai.
Operacijos asinchroninio nutraukimo pažeidžiamumo, mikroarchitektūros duomenų pavyzdžių rinkimo, "Spectre", "Meltdown", MMIO, "Speculative Store Bypass Disable" (SSBD) ir L1 terminalo gedimo (L1TF) mažinimas su išjungtu Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
PASTABA 8264 (dešimtainiu tikslumu) = 0x2048 (heksu) Norėdami įjungti BHI kartu su kitais esamais parametrais, turėsite naudoti dabartinę reikšmę OR bitais su 8 388 608 (0x800000). 0x800000 OR 0x2048(8264 dešimtainis) ir jis taps 8 396 872 (0x802048). Tas pats su FeatureSettingsOverrideMask. |
|
"Mitigation for CVE-2022-0001" "Intel" procesoriais |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Suderintas mažinimas |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Operacijos asinchroninio nutraukimo pažeidžiamumo, mikroarchitektūros duomenų pavyzdžių rinkimo, "Spectre", "Meltdown", MMIO, "Speculative Store Bypass Disable" (SSBD) ir L1 terminalo gedimo (L1TF) mažinimas su išjungtu Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
"Mitigation for CVE-2022-0001" "Intel" procesoriais |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Suderintas mažinimas |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Patikrinkite, ar įgalintos apsaugos
Siekdami patikrinti, ar įjungta apsauga, paskelbėme "PowerShell" scenarijų, kurį galite paleisti savo įrenginiuose. Įdiekite ir vykdykite scenarijų vienu iš toliau nurodytų būdų.
Įdiekite "PowerShell" modulį: PS> Install-Module SpeculationControl Paleiskite "PowerShell" modulį, kad įsitikintumėte, jog įjungta apsauga: PS> # Įrašyti dabartinę vykdymo strategiją, kad ją būtų galima nustatyti iš naujo PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Iš naujo nustatyti vykdymo strategijos pradinę būseną PS> Set-ExecutionPolicy $SaveExecutionPolicy - aprėpties dabartinisvartotojas |
Įdiekite "PowerShell" modulį iš "Technet ScriptCenter": Eiti į https://aka.ms/SpeculationControlPS Atsisiųskite SpeculationControl.zip į vietinį aplanką. Išskleiskite turinį į vietinį aplanką, pvz., C:\ADV180002 Paleiskite "PowerShell" modulį, kad įsitikintumėte, jog įjungta apsauga: Paleiskite "PowerShell", tada (naudodami ankstesnį pavyzdį) nukopijuokite ir vykdykite šias komandas: PS> # Įrašyti dabartinę vykdymo strategiją, kad ją būtų galima nustatyti iš naujo PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Iš naujo nustatyti vykdymo strategijos pradinę būseną PS> Set-ExecutionPolicy $SaveExecutionPolicy - aprėpties dabartinisvartotojas |
Išsamų "PowerShell" scenarijaus išvesties paaiškinimą žr. KB4074629.
Dažnai užduodami klausimai
Mikrokodas pristatomas naudojant programinės-aparatinės įrangos naujinimą. Turėtumėte kreiptis į savo CPU (lustų rinkinį) ir įrenginių gamintojus dėl jų konkrečiam įrenginiui taikomų programinės-aparatinės įrangos saugos naujinimų prieinamumo, įskaitant "Intels" mikrokodo redakcijos gaires.
Aparatūros pažeidžiamumo šalinimas naudojant programinės įrangos naujinimą kelia didelių problemų. Be to, senesnių operacinių sistemų mažinimui reikia išsamių architektūros pakeitimų. Dirbame su paveiktų lustų gamintojais, kad nustatytumėte geriausią rizikos mažinimo priemonių, kurios gali būti pateiktos būsimuose naujinimuose, teikimo būdą.
"Microsoft Surface" įrenginių Naujinimai bus pateiktos klientams per "Windows Update" kartu su "Windows" operacinės sistemos naujinimais. Galimų "Surface" įrenginio programinės-aparatinės įrangos (mikrokodo) naujinimų sąrašą rasite KB4073065".
Jei jūsų įrenginio gamintojas nėra „Microsoft“, taikykite įrenginio gamintojo išleistą programinę-aparatinę įrangą. Norėdami gauti daugiau informacijos, kreipkitės į OĮG įrenginio gamintoją.
2018 m. vasario ir kovo mėn. "Microsoft" išleido papildomą apsaugą kai kurioms x86 pagrindo sistemoms. Daugiau informacijos žr. KB4073757 ir "Microsoft" saugos patarimų ADV180002.
Naujinimai "HoloLens" Windows 10 "HoloLens" klientams pasiekiamos per "Windows Update".
Pritaikius 2018 m. vasario mėn. "Windows" sauga naujinimą, "HoloLens" klientai neturi imtis jokių papildomų veiksmų įrenginio programinei-aparatinei įrangai atnaujinti. Šios rizikos mažinimo priemonės taip pat bus įtrauktos į visus būsimus "holoLens" skirtus Windows 10 leidimus.
Ne. Tik saugos naujinimai nėra kaupiamieji. Atsižvelgiant į naudojamą operacinės sistemos versiją, turėsite įdiegti kiekvieną mėnesinį tik saugos naujinimą, kad apsisaugotumėte nuo šių pažeidžiamumų. Pavyzdžiui, jei naudojate "Windows 7" 32 bitų sistemoms paveiktame "Intel" CPU, turite įdiegti visus tik saugos naujinimus. Rekomenduojame įdiegti šiuos tik saugos naujinimus leidimo tvarka.
Pastaba Ankstesnėje šių DUK versijoje neteisingai nurodyta, kad vasario mėn. tik saugos naujinime buvo saugos pataisos, išleistos sausio mėn. Tiesą sakant, tai nėra.
Ne. Saugos naujinimo 4078130 buvo konkreti pataisa, skirta išvengti neprognozuojamo sistemos veikimo, efektyvumo problemų ir (arba) netikėtų paleidimų iš naujo įdiegus mikrokodą. Vasario mėn. saugos naujinimų taikymas "Windows" kliento operacinėse sistemose įgalina visus tris mažinimus.
"Intel" neseniai paskelbė, kad užbaigė savo tikrinimus ir pradėjo išleisti mikrokodą naujesnėms CPU platformoms. "Microsoft" pateikia "Intel" patvirtintus mikrokodo naujinimus apie "Spectre Variant 2" (CVE-2017-5715 "Branch Target Injection"). KB4093836 pateikiami konkretūs žinių bazės straipsniai pagal "Windows" versiją. Kiekvienoje konkrečioje KB yra galimų „Intel“ mikrokodų naujinimai pagal CPU.
Ši problema buvo išspręsta KB4093118.
AMD neseniai paskelbė, kad jie pradėjo išleisti mikrokodo naujesnių CPU platformų aplink Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Daugiau informacijos žr. AMD saugos Naujinimai ir AMD techninę dokumentaciją: Architektūros gairės dėl netiesioginio šakų valdymo. Jas galima gauti iš OĮG programinės-aparatinės įrangos kanalo.
Pateikiame prieinamus "Intel" patvirtintus mikrokodo naujinimus apie "Spectre Variant 2" (CVE-2017-5715 "Branch Target Injection"). Norėdami gauti naujausius "Intel" mikrokodo naujinimus per ""Windows Update"", klientai turi įdiegti "Intel" mikrokodą įrenginiuose, kuriuose veikia Windows 10 operacinė sistema, prieš atnaujindami versiją į Windows 10 2018 m. balandžio mėn. naujinimą (1803 versiją).
Mikrokodo naujinimas taip pat pasiekiamas tiesiogiai iš katalogo, jei jis nebuvo įdiegtas įrenginyje prieš naujinant operacinę sistemą. "Intel" mikrokodas pasiekiamas per "Windows Update", WSUS arba "Microsoft Update" katalogą. Daugiau informacijos ir atsisiuntimo instrukcijas žr. KB4100347.
Daugiau informacijos žr. šiuose ištekliuose:
Daugiau informacijos žr. ADV180012 | skiltyse "Rekomenduojami veiksmai" ir "DUK" "Microsoft" rekomendacijos dėl "Speculative Store Bypass".
Norint patikrinti SSBD būseną, buvo atnaujintas Get-SpeculationControlSettings "PowerShell" scenarijus, kad aptiktų paveiktus procesorius, SSBD operacinės sistemos naujinimų būseną ir procesoriaus mikrokodo būseną, jei taikoma. Norėdami gauti daugiau informacijos ir gauti "PowerShell" scenarijų, žr. KB4074629.
2018 m. birželio 13 d. paskelbta apie papildomą pažeidžiamumą įtraukiant šalutinių kanalų spekuliacinį vykdymą, vadinamą "Lazy FP State Restore", ir priskirtas CVE-2018-3665. "Lazy Restore FP Restore" nereikia jokių konfigūracijos (registro) parametrų.
Norėdami gauti daugiau informacijos apie šį pažeidžiamumą ir rekomenduojamus veiksmus, žr. saugos patarimą ADV180016 | "Microsoft" rekomendacijos dėl "Lazy FP State Restore".
Pastaba: "Lazy Restore FP Restore" nereikia jokių konfigūracijos (registro) parametrų.
"Bounds Check Bypass Store" (BCBS) buvo atskleista 2018 m. liepos 10 d. ir priskirta CVE-2018-3693. Mes laikome, kad BCBS priklauso tai pačiai spragų klasei kaip "Bounds Check Bypass" (1 variantas). Šiuo metu nesame susipažinę su jokiais BCBS egzemplioriais savo programinėje įrangoje, tačiau toliau tiriame šią pažeidžiamumo klasę ir dirbsime su pramonės partneriais, kad prireikus išleistume pažeidžiamumą mažinančias priemones. Mes ir toliau skatiname tyrėjus pateikti atitinkamas išvadas į "Microsoft" spekuliacinio vykdymo šalutinių kanalų dosninę programą, įskaitant bet kokius išnaudojamus BCBS egzempliorius. Programinės įrangos kūrėjai turėtų peržiūrėti kūrėjo rekomendacijas, kurios buvo atnaujintos BCBS https://aka.ms/sescdevguide.
2018 m. rugpjūčio 14 d. paskelbta apie L1 terminalo gedimą (L1TF) ir priskirti keli CVEs. Šie nauji spekuliaciniai vykdymo šalutinių kanalų pažeidžiamumai gali būti naudojami skaityti atminties turinį per patikimą ribą ir, jei naudojama, gali sukelti informacijos atskleidimą. Pažeidėjas gali sukelti pažeidžiamumą per kelis vektorius, atsižvelgiant į sukonfigūruotą aplinką. L1TF turi įtakos "Intel Core®"® procesoriams ir "Intel Xeon®"® procesoriams.
Norėdami gauti daugiau informacijos apie šį pažeidžiamumą ir išsamų peržiūrėti paveiktus scenarijus, įskaitant "Microsoft" požiūrį į L1TF, žr. šiuos išteklius:
Klientai, naudojantys 64 bitų ARM procesorius, turėtų kreiptis į įrenginio OĮG dėl programinės-aparatinės įrangos palaikymo, nes ARM64 operacinės sistemos apsaugos sumažina CVE-2017-5715 | Branch target injection (Spectre, Variant 2) require the latest firmware update from device OĮG to effect.
Norėdami gauti daugiau informacijos, žr. šiuos saugos patarimus
Norėdami gauti daugiau informacijos, žr. šiuos saugos patarimus
Daugiau patarimų galima rasti "Windows" rekomendacijose, kaip apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų
Jei reikia "Azure" patarimų, žr. šį straipsnį: Rekomendacijos, kaip sumažinti su spėjamu vykdymu susijusių šalutinių kanalų pažeidžiamumą "Azure".
Norėdami gauti daugiau informacijos apie "Retpoline" įgalinimą, žr. mūsų tinklaraščio įrašą: "Spectre" 2 varianto švelninimas naudojant "Retpoline" sistemoje "Windows".
Daugiau informacijos apie šį pažeidžiamumą žr. "Microsoft" saugos vadove: CVE-2019-1125 | "Windows" branduolio informacijos atskleidimo pažeidžiamumas.
Mes nežinome apie jokius šios informacijos atskleidimo pažeidžiamumus, kurie daro įtaką mūsų debesies tarnybų infrastruktūrai.
Kai tik sužinome apie šią problemą, mes greitai dirbome, kad išstengtume ją išspręsti ir išleistume naujinimą. Esame tvirtai įsitikinę, kad reikia glaudžiai bendradarbiauti su tyrėjais ir pramonės partneriais, kad klientai būtų saugesni, ir nepaskelbėme išsamios informacijos iki antradienį, rugpjūčio 6 d., pagal koordinuotą pažeidžiamumo atskleidimo praktiką.
Daugiau patarimų galima rasti "Windows" rekomendacijose, kaip apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų.
Daugiau patarimų galima rasti "Windows" rekomendacijose, kaip apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų.
Daugiau patarimų rasite rekomendacijoje, kaip išjungti "Intel"® operacijų sinchronizavimo plėtinių ("Intel® TSX") funkciją.
Nuorodos
Teikiame trečiųjų šalių kontaktinę informaciją, kad galėtumėte lengviau rasti techninės pagalbos. Ši kontaktinė informacija gali būti keičiama be pranešimo. Negarantuojame, kad ši trečiosios šalies kontaktinė informacija bus tiksli.