Applies ToAzure Stack HCI Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012

Data da alteração

Descrição da alteração

20 de abril de 2023

  • Adicionadas informações de registro MMIO

08 de agosto de 2023

  • Conteúdo removido sobre a CVE-2022-23816, pois o número da CVE não é usado

  • Adicionado "Confusão de Tipo de Ramificação" na seção "Vulnerabilidades"

  • Adicionadas mais informações à "CVE-2022-23825 | Seção do Registro BTC (Confusão de Tipo de Ramificação) da CPU AMD"

9 de agosto de 2023

  • Atualizada a seção de registro "CVE-2022-23825 | BTC (Confusão de Tipo de Ramificação) da CPU AMD""

  • Adicionado "CVE-2023-20569 | Previsor do Endereço de Retorno da CPU AMD" à seção "Resumo"

  • Adicionada a seção de registro "CVE-2023-20569 | Previsor de Endereço do Remetente da CPU AMD"

9 de abril de 2024

  • CVE-2022-0001 Adicionado | Injeção do Histórico de Branch da Intel

16 de abril de 2024

  • Adicionada a seção "Habilitando múltiplas mitigações"

Vulnerabilidades

Este artigo aborda as seguintes vulnerabilidades de execução especulativa:

O Windows Update tambémfornecerão o Internet Explorer e mitigações do Edge. E vamos continuar a melhorar essas mitigações contra essa classe de vulnerabilidades.

Para saber mais sobre essa classe de vulnerabilidades, consulte

Em 14 de maio de 2019, a Intel publicou informações sobre uma nova subclasse de vulnerabilidades de canal lateral de execução especulativa conhecida como Amostragem de Dados Microarquiteturais e documentada noADV190013 | Amostragem de Dados Microarquiteturais. Elas receberam as seguintes CVEs:

Importante: Esses problemas afetarão outros sistemas, como o Android, o Chrome, o iOS e o MacOS. Recomendamos que os clientes busquem a orientação desses fornecedores.

A Microsoft lançou várias atualizações para ajudar a aliviar essas vulnerabilidades. Para obter todas as proteções disponíveis, são necessárias atualizações de firmware (microcódigo) e software. Isso pode incluir o microcódigo de OEMs de dispositivos. Em alguns casos, a instalação dessas atualizações terá um impacto no desempenho. Também agimos para proteger nossos serviços de nuvem. É altamente recomendável implantar essas atualizações.

Para obter mais informações sobre esse problema, consulte o seguinte Comunicado de Segurança e use a orientação baseada em cenário para determinar as ações necessárias para mitigar a ameaça:

Observação: Recomendamos que você instale todas as atualizações mais recentes do Windows Update antes de instalar qualquer atualização de microcódigo.

Em 6 de agosto de 2019, a Intel divulgou detalhes sobre uma vulnerabilidade de divulgação de informações do kernel do Windows. Esta vulnerabilidade é uma variante da vulnerabilidade de canal paralelo de execução especulativa Spectre Variante 1 e foi atribuída à CVE-2019-1125.

Em 9 de julho de 2019, lançamos atualizações de segurança para o sistema operacional Windows para ajudar a mitigar esse problema. Observe que aguardamos para documentar essa mitigação publicamente até a revelação coordenada do setor na terça-feira, 6 de agosto de 2019.

Os clientes que têm o Windows Update habilitado e aplicaram as atualizações de segurança lançadas em 9 de julho de 2019 estão protegidos automaticamente. Nenhuma outra configuração é necessária.

Observação: Essa vulnerabilidade não requer uma atualização de microcódigo do OEM (fabricante de dispositivo).

Para obter mais informações sobre essa vulnerabilidade e as atualizações aplicáveis, consulte o Guia de Atualização de Segurança da Microsoft:

Em 12 de novembro de 2019, a Intel publicou um comunicado técnico sobre a vulnerabilidade Transaction Asynchronous Abort do Intel® Transactional Synchronization Extensions (Intel® TSX) atribuída à CVE-2019-11135. A Microsoft lançou atualizações para ajudar a atenuar essa vulnerabilidade e as proteções do sistema operacional estão habilitadas por padrão para o Windows Server 2019, mas desabilitadas por padrão para edições do sistema operacional Windows Server Windows Server 2016 e anteriores.

Em 14 de junho de 2022, publicamos a ADV220002 | Diretrizes da Microsoft sobre vulnerabilidades de dados obsoletas do MMIO do Processador Intel e atribuíram esses CVEs: 

Ações recomendadas

Você deve tomar as seguintes medidas para se proteger contra as vulnerabilidades:

  1. Aplica as atualizações disponíveis do sistema operacional Windows, incluindo as atualizações de segurança do Windows mensais.

  2. Aplica a atualização de firmware (microcódigo) aplicável fornecida pelo fabricante do dispositivo.

  3. Avalie o risco para seu ambiente com base nas informações fornecidas nos Avisos de Segurança da Microsoft: ADV180002, ADV180012, ADV190013 e ADV220002, além das informações fornecidas neste artigo base de dados de conhecimento.

  4. Tome as medidas necessárias usando os avisos e as informações da chave do Registro fornecidas neste artigo da base de conhecimento.

Observação: Os clientes do Surface receberão uma atualização do microcódigo por meio do Windows Update. Para obter uma lista das atualizações mais recentes do firmware do dispositivo Surface (microcódigo), consulte KB4073065.

Em 12 de julho de 2022, publicamos CVE-2022-23825 | Confusão de tipo de ramificação de CPU AMD que descreve que os aliases no preditor de ramificação podem fazer com que certos processadores AMD prevejam o tipo de ramificação errado. Esse problema pode potencialmente levar à divulgação de informações confidenciais.

Para ajudar a se proteger contra essa vulnerabilidade, recomendamos instalar atualizações do Windows com data igual ou posterior a julho de 2022 e, em seguida, tomar as medidas exigidas por CVE-2022-23825 e informações da chave de registro fornecidas neste artigo da base de conhecimento.

Para obter mais informações, veja o boletim de segurança AMD-SB-1037.

Em 8 de agosto de 2023, publicamos CVE-2023-20569 | Previsor de Endereço de Retorno (também conhecido como Inception) que descreve um novo ataque de canal lateral especulativo que pode resultar em execução especulativa em um endereço controlado pelo invasor. Esse problema afeta determinados processadores AMD e pode levar à divulgação de informações.

Para ajudar a proteger contra essa vulnerabilidade, recomendamos instalar as atualizações do Windows com data de agosto de 2023 ou posteriores e, em seguida, tomar providências conforme exigido pela CVE-2023-20569 e pelas informações da chave do Registro fornecidas neste artigo da base de dados de conhecimento.

Para obter mais informações, veja o boletim de segurança AMD-SB-7005.

Em 9 de abril de 2024, publicamos a CVE-2022-0001 | Injeção de Histórico de Branch Intel, que descreve a Injeção de Histórico de Branch (BHI), que é uma forma específica de BTI intramodo. Essa vulnerabilidade ocorre quando um invasor pode manipular o histórico de ramificação antes de fazer a transição do modo usuário para o modo supervisor (ou do modo VMX não-raiz/hóspede para o modo raiz). Essa manipulação pode fazer com que um preditor de ramificação indireta selecione uma entrada específica do preditor para uma ramificação indireta, e um gadget de divulgação no destino previsto será executado transitoriamente. Isso pode ser possível porque o histórico de ramificação relevante pode conter ramificações obtidas em contextos de segurança anteriores e, em particular, em outros modos de predição.

Configurações de mitigação para o Windows Server e o Azure Stack HCI

Os avisos de segurança (ADVs) e CVEs fornecem informações sobre o risco representado por essas vulnerabilidades. Eles também ajudam a identificar as vulnerabilidades e o estado padrão das mitigações para os sistemas Windows Server. A tabela abaixo resume o requisito do microcódigo da CPU e o status padrão das atenuações no Windows Server.

CVE

Requer microcódigo/firmware da CPU?

Status padrão da mitigação

CVE-2017-5753

Não

Habilitado por padrão (nenhuma opção para desabilitar)

Consulte o ADV180002 para obter informações adicionais

CVE-2017-5715

Sim

Desabilitado por padrão.

Consulte o ADV180002 para obter informações adicionais e este artigo da base de dados para conhecer as configurações da chave do Registro aplicáveis.

Observação “Retpoline” é ativado por padrão para dispositivos com Windows 10, versão 1809 e posterior se Spectre Variant 2 (CVE-2017-5715) está habilitado. Para obter mais informações sobre o “Retpoline”, consulte a postagem de blog sobre como Mitigar o Spectre Variante 2 com o Retpoline no Windows.

CVE-2017-5754

Não

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: habilitados por padrão. Windows Server 2016 e anterior: desabilitado por padrão.

Consulte o ADV180002 para obter informações adicionais.

CVE-2018-3639

Intel: Sim

AMD: Não

Desabilitado por padrão. Consulte o ADV180012 para obter mais informações e este artigo para obter as configurações de chave do Registro aplicáveis.

CVE-2018-11091

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: habilitados por padrão. Windows Server 2016 e anterior: desabilitado por padrão.

Consulte o ADV190013 para obter mais informações e este artigo para obter as configurações de chave do Registro aplicáveis.

CVE-2018-12126

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: habilitados por padrão. Windows Server 2016 e anterior: desabilitado por padrão.

Consulte o ADV190013 para obter mais informações e este artigo para obter as configurações de chave do Registro aplicáveis.

CVE-2018-12127

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: habilitados por padrão. Windows Server 2016 e anterior: desabilitado por padrão.

Consulte o ADV190013 para obter mais informações e este artigo para obter as configurações de chave do Registro aplicáveis.

CVE-2018-12130

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: habilitados por padrão. Windows Server 2016 e anterior: desabilitado por padrão.

Consulte o ADV190013 para obter mais informações e este artigo para obter as configurações de chave do Registro aplicáveis.

CVE-2019-11135

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: habilitados por padrão. Windows Server 2016 e anterior: desabilitado por padrão.

Consulte a CVE-2019-11135 para obter mais informações e este artigo para obter as configurações de chave do Registro aplicáveis.

CVE-2022-21123 (parte do MMIO ADV220002)

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: habilitados por padrão.  Windows Server 2016 e anterior: desabilitado por padrão.* 

Consulte CVE-2022-21123 para obter mais informações e este artigo para obter as configurações de chave do registro aplicáveis.

CVE-2022-21125 (parte do MMIO ADV220002)

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: habilitados por padrão.  Windows Server 2016 e anterior: desabilitado por padrão.* 

Consulte a CVE-2022-21125 para obter mais informações e este artigo para obter as configurações de chave do Registro aplicáveis.

CVE-2022-21127 (parte do MMIO ADV220002)

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: habilitados por padrão.  Windows Server 2016 e anterior: desabilitado por padrão.* 

Consulte a CVE-2022-21127 para obter mais informações e este artigo para obter as configurações de chave do Registro aplicáveis.

CVE-2022-21166 (parte do MMIO ADV220002)

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: habilitados por padrão.  Windows Server 2016 e anterior: desabilitado por padrão.* 

Consulte a CVE-2022-21166 para obter mais informações e este artigo para obter as configurações de chave do Registro aplicáveis.

CVE-2022-23825 (Confusão de tipo de ramificação de CPU AMD)

AMD: Não

Veja CVE-2022-23825 para obter mais informações e este artigo para configurações de chave de registro aplicáveis.

CVE-2023-20569 (Previsor de Endereço do Remetente da CPU AMD)

AMD: sim

Consulte CVE-2023-20569 para obter mais informações e este artigo para obter as configurações de chave de registro aplicáveis.

CVE-2022-0001

Intel: Não

Desativado por padrão

Confira CVE-2022-0001 para obter mais informações e este artigo para obter as configurações de chave do Registro aplicáveis.

* Siga as diretrizes de mitigação para o Meltdown abaixo.

Se você quiser obter todas as proteções disponíveis contra essas vulnerabilidades, deverá fazer alterações de chave do Registro para habilitar essas mitigações que estão desabilitadas por padrão.

A habilitação desses mitigações pode afetar o desempenho. A escala dos efeitos sobre o desempenho depende de vários fatores, como o chipset específico no seu host físico e as cargas de trabalho que estão sendo executadas. Recomendamos que você avalie os efeitos de desempenho para seu ambiente e faça os ajustes necessários.

Seu servidor correrá maior risco se estiver em uma das seguintes categorias:

  • Hosts Hyper-V: Requer proteção para ataques de VM para VM e de VM para host.

  • Hosts de Serviços de Área de Trabalho Remota (RDSH): Requer a proteção contra ataques de uma sessão a outra ou contra de uma sessão a hosts.

  • Para hosts físicos ou máquinas virtuais que estejam executando código não confiável, como contêineres ou extensões não confiáveis para banco de dados, conteúdo da Web não confiável ou cargas de trabalho que executam código proveniente de fontes externas. Eles exigem proteção contra ataques de processo não confiável a outro processo ou de processo não confiável ao kernel.

Use as configurações de chaves do Registro a seguir para habilitar as mitigações no servidor e reinicie o dispositivo para que as alterações entrem em vigor.

Observação: Por padrão, habilitar mitigações que estão desativadas pode afetar o desempenho. O efeito real sobre o desempenho depende de vários fatores, como o chipset específico no dispositivo e as cargas de trabalho que estão sendo executadas.

Configurações do Registro

Estamos fornecendo as seguintes informações de registro para habilitar atenuações que não são habilitadas por padrão, conforme documentado em Comunicados de segurança (ADVs) e CVEs. Além disso, fornecemos configurações de chave de registro para usuários que desejam desabilitar as mitigações quando aplicáveis a clientes Windows.

IMPORTANTE Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para obter mais proteção, faça backup do Registro antes de modificá-lo. Dessa forma, você poderá restaurar o Registro se ocorrer um problema. Para obter informações adicionais sobre como fazer backup e restaurar o Registro, consulte o seguinte artigo na Base de Dados de Conhecimento Microsoft:

KB322756 Como fazer backup e restaurar o registro no Windows

IMPORTANTE Por padrão, o Retpoline é configurado da seguinte maneira se a mitigação do Spectre Variante 2 (CVE-2017-5715) está habilitada:

- A mitigação do Retpoline está habilitada no Windows 10, versão 1809 e versões posteriores do Windows.

- A mitigação do Retpoline está desabilitada no Windows Server 2019 e em versões posteriores do Windows Server.

Para obter mais informações sobre a configuração do Retpoline, consulte Mitigar Spectre Variante 2 com o Retpoline no Windows.

  • Para permitir mitigações para CVE-2017-5715 (Variante Espectro 2), CVE-2017-5754 (Meltdown), e CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Se o recurso Hyper-V estiver instalado, adicione a seguinte configuração de registro:

    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    Se este for um host Hyper-V e as atualizações de firmware tiverem sido aplicadas: Desligue completamente todas as máquinas virtuais. Isso permite que a mitigação relacionada ao firmware seja aplicada no host antes que as VMs sejam iniciadas. Portanto, as VMs também são atualizadas ao serem reiniciadas.

    Reinicie o dispositivo para que as alterações entrem em vigor.

  • Para desabilitar mitigações para CVE-2017-5715 (Variante Espectro 2), CVE-2017-5754 (Meltdown), e CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Reinicie o dispositivo para que as alterações entrem em vigor.

Observação: Definir FeatureSettingsOverrideMask como 3 é necessário para as configurações "habilitar" e "desabilitar". (Consulte a seção "Perguntas frequentes" para obter mais detalhes sobre chaves do Registro.)

Para desabilitar a mitigação da Variante 2: (CVE-2017-5715 | Branch Target Injection):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o dispositivo para que as alterações entrem em vigor.

Para habilitar a mitigação da Variante 2: (CVE-2017-5715 | Branch Target Injection):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o dispositivo para que as alterações entrem em vigor.

Por padrão, a proteção do usuário ao kernel para o CVE-2017-5715 está desabilitada para CPUs AMD. Os clientes devem habilitar a mitigação para receber proteções adicionais para CVE-2017-5715.  Para obter mais informações, consulte o número 15 das Perguntas Frequentes em ADV180002.

Habilite a proteção do usuário ao kernel em processadores AMD juntamente com outras proteções para a CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se o recurso Hyper-V estiver instalado, adicione a seguinte configuração de registro:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se este for um host Hyper-V e as atualizações de firmware tiverem sido aplicadas: Desligue completamente todas as máquinas virtuais. Isso permite que a mitigação relacionada ao firmware seja aplicada no host antes que as VMs sejam iniciadas. Portanto, as VMs também são atualizadas ao serem reiniciadas.

Reinicie o dispositivo para que as alterações entrem em vigor.

Para habilitar mitigações para CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se o recurso Hyper-V estiver instalado, adicione a seguinte configuração de registro:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se este for um host Hyper-V e as atualizações de firmware tiverem sido aplicadas: Desligue completamente todas as máquinas virtuais. Isso permite que a mitigação relacionada ao firmware seja aplicada no host antes que as VMs sejam iniciadas. Portanto, as VMs também são atualizadas ao serem reiniciadas.

Reinicie o dispositivo para que as alterações entrem em vigor.

Para desabilitar mitigações para a CVE-2018-3639 (Speculative Store Bypass) e mitigações para a CVE-2017-5715 (Spectre Variante 2)  e a CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o dispositivo para que as alterações entrem em vigor.

Por padrão, a proteção do usuário ao kernel para o CVE-2017-5715 está desabilitada para processadores AMD. Os clientes devem habilitar a mitigação para receber proteções adicionais para CVE-2017-5715.  Para obter mais informações, consulte o número 15 das Perguntas Frequentes em ADV180002.

Habilite a proteção usuário-kernel em processadores AMD junto com outras proteções para CVE 2017-5715 e proteções para CVE-2018-3639 (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se o recurso Hyper-V estiver instalado, adicione a seguinte configuração de registro:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se este for um host Hyper-V e as atualizações de firmware tiverem sido aplicadas: Desligue completamente todas as máquinas virtuais. Isso permite que a mitigação relacionada ao firmware seja aplicada no host antes que as VMs sejam iniciadas. Portanto, as VMs também são atualizadas ao serem reiniciadas.

Reinicie o dispositivo para que as alterações entrem em vigor.

Para ativar mitigações para a vulnerabilidade de interrupção assíncrona de transação do Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) e amostragem de dados microarquiteturais (CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018- 12130 ) junto com Spectre [CVE-2017-5753 e CVE-2017-5715], variantes Meltdown [CVE-2017-5754], MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 e CVE-2022-21166) incluindo Speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ], bem como falha de terminal L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646] sem desabilitar o Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se o recurso Hyper-V estiver instalado, adicione a seguinte configuração de registro:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se este for um host Hyper-V e as atualizações de firmware tiverem sido aplicadas: Desligue completamente todas as máquinas virtuais. Isso permite que a mitigação relacionada ao firmware seja aplicada no host antes que as VMs sejam iniciadas. Portanto, as VMs também são atualizadas ao serem reiniciadas.

Reinicie o dispositivo para que as alterações entrem em vigor.

Para habilitar mitigações para a vulnerabilidade de interrupção assíncrona de transação do Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) e amostragem de dados microarquiteturais ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018- 12130) juntamente com variantes Spectre [CVE-2017-5753 e CVE-2017-5715] e Meltdown [CVE-2017-5754], incluindo Speculative Store Bypass Disable (SSBD) [CVE-2018-3639], bem como L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646] com Hyper-Threading desabilitado:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se o recurso Hyper-V estiver instalado, adicione a seguinte configuração de registro:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se este for um host Hyper-V e as atualizações de firmware tiverem sido aplicadas: Desligue completamente todas as máquinas virtuais. Isso permite que a mitigação relacionada ao firmware seja aplicada no host antes que as VMs sejam iniciadas. Portanto, as VMs também são atualizadas ao serem reiniciadas.

Reinicie o dispositivo para que as alterações entrem em vigor.

Para desabilitar mitigações para a vulnerabilidade de interrupção assíncrona de transação do Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) e amostragem de dados microarquiteturais (CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018- 12130) juntamente com variantes Spectre [CVE-2017-5753 e CVE-2017-5715] e Meltdown [CVE-2017-5754], incluindo Speculative Store Bypass Disable (SSBD) [CVE-2018-3639], bem como L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620, e CVE-2018-3646]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o dispositivo para que as alterações entrem em vigor.

Para habilitar a mitigação para CVE-2022-23825 em processadores AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Para serem totalmente protegidos, os clientes também podem precisar desabilitar o Hyper-Threading (também conhecido como SMT (Multi-Threading Simultâneo)). Consulte KB4073757 para obter orientação sobre como proteger dispositivos Windows.

Para habilitar a mitigação para CVE-2023-20569 em processadores AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Para habilitar a mitigação para CVE-2022-0001 em processadores Intel:

adicionar registro "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Habilitando múltiplas mitigações

Para habilitar várias mitigações, você deve adicionar o valor REG_DWORD de cada mitigação.

Por exemplo:

Mitigação de vulnerabilidade de interrupção assíncrona de transação, amostragem de dados microarquitetônicos, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) e L1 Terminal Fault (L1TF) com Hyper-Threading desabilitado

adicionar reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

OBSERVAÇÃO 8264 (em Decimal) = 0x2048 (em Hex)

Para habilitar o BHI junto com outras configurações existentes, você precisará usar OR bit a bit do valor atual com 8.388.608 (0x800000). 

0x800000 OR 0x2048(8264 em decimal) e se tornará 8.396.872(0x802048). O mesmo acontece com FeatureSettingsOverrideMask.

Mitigação para CVE-2022-0001 em processadores Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Mitigação combinada

adicionar reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Mitigação de vulnerabilidade de interrupção assíncrona de transação, amostragem de dados microarquitetônicos, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) e L1 Terminal Fault (L1TF) com Hyper-Threading desabilitado

adicionar reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

Mitigação para CVE-2022-0001 em processadores Intel

adicionar reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Mitigação combinada

adicionar reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Verificando se as proteções estão habilitadas

Para ajudar a verificar se as proteções estão habilitadas, publicamos um script do PowerShell que você pode executar em seus dispositivos. Instale e execute o script usando um dos métodos a seguir.

Instale o módulo PowerShell:

PS> Install-Module SpeculationControl

Execute o módulo PowerShell para verificar se as proteções estão habilitadas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Instale o módulo PowerShell do Technet ScriptCenter:

  1. Acesse https://aka.ms/SpeculationControlPS.

  2. Baixe SpeculationControl.zip em uma pasta local.

  3. Extraia o conteúdo em uma pasta local. Por exemplo: C:\ADV180002

Execute o módulo PowerShell para verificar se as proteções estão habilitadas:

Inicie o PowerShell e use o exemplo anterior para copiar e executar os seguintes comandos:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Para obter uma explicação detalhada sobre a saída do script do PowerShell, consulte KB4074629

Perguntas frequentes

Para ajudar a evitar danos aos dispositivos dos clientes, as atualizações de segurança do Windows que foram lançadas em janeiro e fevereiro de 2018 não foram oferecidas a todos os clientes. Para obter detalhes, confira KB407269 .

O microcódigo é fornecido através de uma atualização de firmware. Consulte seu OEM sobre a versão do firmware que possui a atualização apropriada para o seu computador.

Existem diversas variáveis que afetam o desempenho, desde a versão do sistema até as cargas de trabalho que estão sendo executadas. Para alguns sistemas, o efeito sobre o desempenho será insignificante. Para outros, ele será considerável.

Recomendamos que você avalie o efeito de desempenho no sistema e faça os ajustes necessários.

Além da orientação neste artigo para máquinas virtuais, você deve entrar em contato com seu provedor de serviços para certificar-se de que os hosts que estão executando suas máquinas virtuais estejam adequadamente protegidos. Para máquinas virtuais do Windows Server em execução no Azure, consulte o Guia para mitigar vulnerabilidades de canal lateral de execução especulativa no Azure . Para obter orientações sobre o uso doAzure Update Management para mitigar esse problema em VMs convidadas, consulte KB4077467.

As atualizações lançadas para imagens de contêiner do Windows Server para o Windows Server 2016 e o Windows 10, versão 1709 incluem as mitigações para este conjunto de vulnerabilidades. Não é necessária nenhuma configuração adicional.Observação Você ainda deve certificar-se de que o host no qual esses contêineres estão sendo executados esteja configurado para habilitar as mitigações apropriadas.

Não, a ordem de instalação não importa.

Sim, você deve reiniciar após a atualização do firmware (microcódigo) e depois novamente após a atualização do sistema.

Este são os detalhes para as chaves do Registro:

FeatureSettingsOverride representa um bitmap que substitui a configuração padrão e controla quais mitigações serão desabilitadas. O Bit 0 controla a mitigação correspondente à CVE-2017-5715. O bit 1 controla a mitigação que corresponde a CVE-2017-5754. Os bits são definidos como 0 para habilitar a mitigação e como 1 para desabilitar a mitigação.

FeatureSettingsOverrideMask representa uma máscara de bitmap usada em conjunto com FeatureSettingsOverride.  Nessa situação, usamos o valor 3 (representado como 11 no sistema de numerais binários ou de numerais de base 2) para indicar os dois primeiros bits que correspondem às mitigações disponíveis. Essa chave do registro é definida como 3 para habilitar ou desabilitar as atenuações.

MinVmVersionForCpuBasedMitigations é para hosts Hyper-V. Essa chave de registro define a versão mínima da VM necessária para você usar os recursos de firmware atualizados (CVE-2017-5715). Defina-a como 1.0 para abranger todas as versões de VMs. Observe que esse valor do Registro será ignorado (benigno) em hosts não Hyper-V. Para obter mais detalhes, consulte Protegendo máquinas virtuais convidadas contra a CVE-2017-5715 (Branch Target Injection).

Sim, não haverá efeitos colaterais se essas configurações do Registro forem aplicadas antes da instalação das correções relacionadas de janeiro de 2018.

Veja uma descrição detalhada da saída do script em KB4074629: Compreendendo a saída do script PowerShell Get-SpeculationControlSettings .

Sim, para hosts Windows 2016 Hyper-V Server que ainda não têm a atualização de firmware disponível, publicamos uma orientação alternativa que pode ajudar a atenuar ataques de VM para VM ou de VM para host. Consulte Proteções alternativas para Hosts Hyper-V do Windows Server 2016 contra as vulnerabilidades de canal paralelo de execução especulativa .

As atualizações Apenas segurança não são cumulativas. Dependendo da versão do sistema operacional que você está usando e do processador no computador, pode ser necessário instalar várias atualizações de segurança para proteção total. Em geral, os clientes precisarão instalar as atualizações de janeiro, fevereiro, março e abril de 2018 . Os sistemas baseados nos processadores AMD precisam de uma atualização adicional, conforme mostrado na tabela a seguir:

Versão do sistema operacional

Atualização de segurança

Windows 8.1. Windows Server 2012 R2

KB4338815 – Pacote cumulativo mensal

KB4338824- Somente segurança

Windows 7 SP1, Windows Server 2008 R2 SP1 ou Windows Server 2008 R2 SP1 (instalação Server Core)

KB4284826 – Pacote cumulativo mensal

KB4284867 – Somente Segurança

Windows Server 2008 SP2

KB4340583 – Atualização de Segurança

Recomendamos a instalação dessas atualizações Apenas segurança na ordem de lançamento.

Observação: Uma versão anterior desta pergunta frequente afirmou incorretamente que a atualização apenas segurança de fevereiro incluía apenas as correções de segurança lançadas em janeiro. Na verdade, isso não ocorre.

Não. A atualização de segurança KB4078130 foi uma correção específica para evitar comportamentos imprevisíveis do sistema, problemas de desempenho e reinicializações inesperadas após a instalação do microcódigo. A aplicação das atualizações de segurança nos sistemas operacionais Windows Client habilita todas as três mitigações. Em sistemas de operacionais Windows Server, você ainda deve habilitar as mitigações após a realização dos testes adequados. Para obter mais informações, consulte KB4072698.

Esse problema foi resolvido no KB4093118.

Em fevereiro de 2018, a Intel anunciou   que concluiu as validações e começou a lançar o microcódigo para plataformas de CPU mais recentes. A Microsoft está disponibilizando atualizações de microcódigo validadas pela Intel relacionadas ao Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 lista artigos específicos da base de dados de conhecimento por versão do Windows. Cada artigo da base de dados específico contém as atualizações de microcódigo da Intel disponíveis por CPU.

Em 11 de janeiro de 2018, Intelrelatou problemas no microcódigo lançado recentemente que deveria abordar a variante 2 do Spectre (CVE-2017-5715 | Branch Target Injection). Especificamente, a Intel observou que esse microcódigo pode causar “reinicializações mais altas que o esperado e outros comportamentos imprevisíveis do sistema” e cenários como esse podem resultar em “perda ou corrupção de dados.” Nossa experiência é que a instabilidade do sistema pode causar perda de dados ou corrupção em algumas circunstâncias. Em 22 de Janeiro, a Intel recomendou que os clientes parassem de implantar a versão de microcódigo atual nos processadores afetados enquanto a empresa realizava testes adicionais na solução atualizada. Estamos cientes de que a Intel continua a investigar o impacto potencial da versão atual do microcódigo. Incentivamos os clientes a rever suas orientações continuamente para informar suas decisões.

Enquanto a Intel testa, atualiza e implanta um novo microcódigo, estamos disponibilizando hoje uma atualização indireta (OOB), KB 4078130, que desabilita especificamente apenas a mitigação contra a CVE-2017-5715. Em nossos testes, constatou-se que essa atualização evita o comportamento descrito. Para acessar a lista completa de dispositivos, consulte a orientação de revisão do microcódigo da Intel. Esta atualização abrange o Windows 7 Service Pack 1 (SP1), o Windows 8.1 e todas as versões do Windows 10, para cliente e servidor. Se você estiver executando um dispositivo afetado, essa atualização poderá ser aplicada via download no site do Catálogo do Microsoft Update. A aplicação desta carga desabilita especificamente apenas a mitigação contra a CVE-2017-5715.

Até o momento, não há relatórios conhecidos que indiquem que esta Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection) tenha sido usada para atacar clientes. Recomendamos que, quando apropriado, os usuários do Windows reabilitem a mitigação contra a CVE-2017-5715 quando a Intel informar que esse comportamento imprevisível do sistema foi resolvido para seu dispositivo.

Em fevereiro de 2018, a Intel anunciou que concluiu as validações e começou a lançar o microcódigo para plataformas de CPU mais recentes. A Microsoft está disponibilizando atualizações de microcódigo validadas pela Intel relacionadas ao Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 lista artigos específicos da base de dados de conhecimento por versão do Windows. Os KBs listam atualizações de microcódigo da Intel disponíveis por CPU.

Para obter mais informações, consulte Atualizações de Segurança da AMD e Diretrizes de Arquitetura da AMD para Controle de Ramificação Indireto . Elas estão disponíveis no canal de firmware do OEM.

Estamos disponibilizando atualizações de microcódigo validadas pela Intel relacionadas ao Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). Para obterem as últimas atualizações de microcódigo da Intel por meio do Windows Update, os clientes devem ter instalado o microcódigo da Intel em dispositivos com um sistema operacional Windows 10 anterior à Atualização do Windows 10 de abril de 2018 (versão 1803).

A atualização do microcódigo também está disponível diretamente no Catálogo do Microsoft Update, caso não tenha sido instalada no dispositivo antes da atualização do sistema. O microcódigo da Intel está disponível no Windows Update, no Windows Server Update Services (WSUS) ou no Catálogo do Microsoft Update. Para obter mais informações e para baixar instruções, consulte KB4100347.

Consulte as seções “Ações recomendadas” e as “Perguntas frequentes” em  ADV180012 | Orientação da Microsoft para a Speculative Store Bypass.

Para verificar o status do SSBD, o script PowerShell Get-SpeculationControlSettings foi atualizado para detectar processadores afetados, status das atualizações do sistema operacional SSBD e estado do microcódigo do processador, se aplicável. Para obter mais informações e obter o script do PowerShell, consulte KB4074629.

Em 13 de junho de 2018, uma vulnerabilidade adicional que envolve a execução especulativa de canal lateral, conhecida como Lazy FP State Restore, foi anunciada e atribuída como CVE-2018-3665 . Para obter informações sobre essa vulnerabilidade e ações recomendadas, consulte o Comunicado de Segurança ADV180016 | Orientação da Microsoft para a Lazy FP State Restore .

Observação Não há definições de configuração (Registro) necessárias para a Lazy Restore FP Restore.

A "Bounds Check Bypass Store" (BCBS) foi divulgada em 10 de julho de 2018 e designada como CVE-2018-3693. Consideramos que a BCBS pertence à mesma classe de vulnerabilidades que a "Bounds Check Bypass" (Variante 1). No momento, não estamos cientes de nenhuma instância da BCBS em nosso software. Porém, continuamos a pesquisar essa classe de vulnerabilidade e trabalharemos com parceiros do setor para liberar as mitigações conforme necessário. Incentivamos os pesquisadores a enviarem quaisquer conclusões relevantes ao Speculative Execution Side Channel bounty program da Microsoft, incluindo quaisquer instâncias exploráveis da BCBS. Os desenvolvedores de software devem rever a orientação para desenvolvedores que foi atualizada para o BCBS em Orientação para desenvolvedores C++ para canais laterais de execução especulativa 

Em 14 de agosto de 2018, a L1 Terminal Fault (L1TF) foi anunciada e atribuída a várias CVEs. Essas novas vulnerabilidades de canal paralelo de execução especulativa podem ser usadas para ler o conteúdo da memória em um limite confiável e, se exploradas, poderão resultar na divulgação não autorizada de informações. Existem vários vetores pelos quais um invasor pode desencadear as vulnerabilidades, dependendo do ambiente configurado. A L1TF afeta processadores Intel® Core® e Intel® Xeon®.

Para obter mais informações sobre essa vulnerabilidade e uma visão detalhada dos cenários afetados, incluindo a abordagem da Microsoft para atenuar a L1TF, consulte os seguintes recursos:

As etapas para desabilitar o Hyper-Threading diferem de OEM para OEM, mas geralmente fazem parte das ferramentas de configuração e da configuração do BIOS ou firmware.

Os clientes que usam processadores ARM de 64 bits devem consultar o OEM do dispositivo para obter suporte de firmware, pois as proteções de sistema operacional do ARM64 que mitigam a CVE-2017-5715 | Branch target injection (Spectre, Variante 2) exigem a atualização mais recente do firmware dos OEMs dos dispositivos para terem efeito.

Para obter mais informações sobre a ativação do Retpoline, consulte nossa postagem de blog: Mitigar a Spectre Variante 2 com o Retpoline no Windows .

Para obter detalhes sobre essa vulnerabilidade, consulte o Guia de Segurança da Microsoft: CVE-2019-1125 | Vulnerabilidade de Divulgação de Informações do Kernel do Windows.

Não estamos cientes de nenhuma instância dessa vulnerabilidade de divulgação de informações que afete nossa infraestrutura de serviços em nuvem.

Assim que tomamos conhecimento desse problema, trabalhamos rapidamente para solucioná-lo e lançar uma atualização. Acreditamos firmemente em parcerias estreitas com pesquisadores e parceiros do setor para tornar os clientes mais seguros, e não publicamos detalhes até terça-feira, 6 de agosto, de forma consistente com práticas coordenadas de divulgação de vulnerabilidades.

Referências

Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. Não oferecemos nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.

Fornecemos informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. Não garantimos a precisão dessas informações para contato com outras empresas.

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.