Дата изменения |
Описание изменений |
19 июля 2023 г. |
|
8 августа 2023 г. |
|
9 августа 2023 г. |
|
9 апреля 2024 г. |
|
16 апреля 2024 г. |
|
Сводка
В этой статье приведены рекомендации по новому классу микроархитектурных микроархитектурных и спекулятивных уязвимостей на основе кремниевого выполнения, которые влияют на многие современные процессоры и операционные системы. Сюда входят Intel, AMD и ARM. Конкретные сведения об этих уязвимостях на основе кремния можно найти в следующих adv (рекомендации по безопасности) и CVEs (распространенные уязвимости и экспозиции):
-
ADV180002 | Руководство по устранению уязвимостей спекулятивного выполнения в боковом канале
-
ADV180012 | Руководство Майкрософт по обходу спекулятивного хранилища
-
ADV180013 | Руководство Майкрософт по чтению мошеннических системных регистров
-
ADV180016 | Руководство Майкрософт по восстановлению состояния ленивого FP
-
ADV180018 | Руководство Майкрософт по устранению проблемы с вариантом L1TF
-
ADV190013 | Руководство Майкрософт по устранению уязвимостей выборки микроархитектурных данных
-
ADV220002 | Руководство Майкрософт по уязвимостям устаревших данных для процессора Intel MMIO
Важно: Эта проблема также затрагивает другие операционные системы, такие как Android, Chrome, iOS и macOS. Поэтому мы советуем клиентам обращаться за рекомендациями к этим поставщикам.
Мы выпустили несколько обновлений для устранения этих уязвимостей. Мы также приняли меры по защите наших облачных служб. Дополнительные сведения см. в следующих разделах.
Мы еще не получили никакой информации о том, что эти уязвимости использовались для атак на клиентов. Мы тесно сотрудничаем с отраслевыми партнерами, включая производителей микросхем, изготовителей оборудования и поставщиков приложений для защиты клиентов. Чтобы получить все доступные средства защиты, требуются обновления встроенного ПО (микрокода) и программного обеспечения. Сюда входят микрокоды от изготовителей оборудования устройств и, в некоторых случаях, обновления антивирусного программного обеспечения.
В этой статье рассматриваются следующие уязвимости:
клиентский компонент Центра обновления Windows также предоставят средства защиты от Обозреватель в Интернете и Edge. Мы будем продолжать совершенствовать эти способы устранения уязвимостей этого класса.
Дополнительные сведения об этом классе уязвимостей см. в следующих статьях:
Уязвимости
14 мая 2019 г. корпорация Intel опубликовала информацию о новом подклассе уязвимостей спекулятивного выполнения на стороне канала, известном как выборка данных микроархитектуры. Эти уязвимости устраняются в следующих cvEs:
-
CVE-2019-11091 | Микроархитектурные данные выборки неподключаемой памяти (MDSUM)
-
CVE-2018-12126 | Выборка данных буфера микроархитектурного хранилища (MSBDS)
-
CVE-2018-12127 | Выборка данных буфера микроархитектурной заполнения (MFBDS)
-
CVE-2018-12130 | Выборка данных порта микроархитектурной загрузки (MLPDS)
Важно: Эти проблемы повлияют на другие операционные системы, такие как Android, Chrome, iOS и MacOS. Мы рекомендуем вам обратиться за рекомендациями к соответствующим поставщикам.
Мы выпустили обновления, которые помогут устранить эти уязвимости. Чтобы получить все доступные средства защиты, требуются обновления встроенного ПО (микрокода) и программного обеспечения. Это может быть микрокод от изготовителей оборудования устройств. В некоторых случаях установка этих обновлений влияет на производительность. Мы также приняли меры для защиты наших облачных служб. Настоятельно рекомендуется развернуть эти обновления.
Дополнительные сведения об этой проблеме см. в следующих рекомендациях по безопасности и в руководстве по использованию сценариев для определения действий, необходимых для устранения угрозы:
-
ADV190013 | Руководство Майкрософт по устранению уязвимостей выборки микроархитектурных данных
-
Руководство Windows по защите от уязвимостей спекулятивного выполнения по боковому каналу
Примечание: Мы рекомендуем установить все последние обновления с клиентский компонент Центра обновления Windows перед установкой обновлений микрокодов.
6 августа 2019 г. корпорация Intel опубликовала сведения об уязвимости раскрытия информации в ядре Windows. Эта уязвимость является вариантом уязвимости spectre Variant 1 спекулятивного выполнения по боковому каналу и назначена CVE-2019-1125.
9 июля 2019 г. мы выпустили обновления для системы безопасности для операционной системы Windows, которые помогут устранить эту проблему. Обратите внимание, что мы сдержим публичное документирование этой меры до скоординированного раскрытия информации о отрасли во вторник, 6 августа 2019 года.
Клиенты, которые клиентский компонент Центра обновления Windows включили и применили обновления для системы безопасности, выпущенные 9 июля 2019 г., защищаются автоматически. Дальнейшая настройка не требуется.
Примечание: Для этой уязвимости не требуется обновление микрокода от производителя устройства (OEM).
Дополнительные сведения об этой уязвимости и применимых обновлениях см. в руководстве по обновлению системы безопасности Майкрософт:
12 ноября 2019 г. корпорация Intel опубликовала технические рекомендации по уязвимости асинхронного прерывания транзакций Intel Transactional Synchronization Extensions (Intel TSX), которой назначена cve-2019-11135. Мы выпустили обновления, которые помогут устранить эту уязвимость. По умолчанию защита ОС включена для клиентских выпусков ОС Windows.
14 июня 2022 г. мы опубликовали ADV220002 | Руководство Майкрософт по уязвимостям устаревших данных процессоров Intel MMIO. Уязвимости thes назначаются в следующих CVEs:
-
CVE-2022-21127 | Специальное обновление выборки данных буфера регистра (обновление SRBDS)
-
CVE-2022-21166 | Частичная запись регистра устройства (DRPW)
Рекомендуемые действия
Чтобы защититься от этих уязвимостей, необходимо выполнить следующие действия:
-
Примените все доступные обновления операционной системы Windows, включая ежемесячные обновления системы безопасности Windows.
-
Примените применимое обновление встроенного ПО (микрокода), предоставленное производителем устройства.
-
Оцените риск для вашей среды на основе информации, предоставленной в microsoft Security Advisories ADV180002, ADV180012, ADV190013 и ADV220002,в дополнение к сведениям, приведенным в этой статье.
-
Выполните необходимые действия, используя рекомендации и сведения о разделе реестра, приведенные в этой статье.
Примечание: Клиенты Surface получат обновление микрокода через обновление Windows. Список последних доступных обновлений встроенного ПО устройства Surface (микрокода) см. в разделе KB4073065.
12 июля 2022 г. мы опубликовали CVE-2022-23825 | Ошибка типа ветви ЦП AMD, которая описывает, что псевдонимы в предикторе ветви могут привести к тому, что некоторые процессоры AMD прогнозируют неправильный тип ветви. Эта проблема может привести к раскрытию информации.
Чтобы защититься от этой уязвимости, рекомендуется установить обновления Windows, датированные июлем 2022 г. или позже, а затем принять меры в соответствии с требованиями CVE-2022-23825 и сведениями раздела реестра, приведенными в этой база знаний статье.
Дополнительные сведения см. в бюллетене по безопасности AMD-SB-1037 .
8 августа 2023 г. мы опубликовали CVE-2023-20569 | Предиктор возвращаемого адреса ЦП AMD (также известный как Начало), который описывает новую спекулятивную атаку на стороне канала, которая может привести к спекулятивному выполнению по адресу, контролируемому злоумышленником. Эта проблема затрагивает некоторые процессоры AMD и может привести к раскрытию информации.
Чтобы защититься от этой уязвимости, рекомендуется установить обновления Windows, датируемые августом 2023 г. или позже, а затем принять меры в соответствии с требованиями CVE-2023-20569 и разделов реестра, приведенными в этой база знаний статье.
Дополнительные сведения см. в бюллетене по безопасности AMD-SB-7005 .
9 апреля 2024 г. мы опубликовали CVE-2022-0001 | Внедрение журнала ветвей Intel , описывающее внедрение журнала ветвей (BHI), которое является определенной формой внутрисемейной BTI. Эта уязвимость возникает, когда злоумышленник может управлять журналом ветви перед переходом из режима пользователя в режим супервизора (или из режима VMX, не корневого или гостевого, в корневой режим). Это может привести к тому, что прогностиктор непрямой ветви выберет определенную запись прогностика для непрямой ветви, и гаджет раскрытия информации в прогнозируемом целевом объекте будет выполняться временно. Это может быть возможно, так как соответствующий журнал ветви может содержать ветви, принятые в предыдущих контекстах безопасности, и, в частности, в других режимах прогнозирования.
Параметры устранения рисков для клиентов Windows
Рекомендации по безопасности (ADV) и CVEs содержат сведения о риске, создаваемом этими уязвимостями, и о том, как они помогают определить состояние по умолчанию для устранения рисков для клиентских систем Windows. В следующей таблице приведены требования к микрокоду ЦП и состояние по умолчанию для устранения рисков на клиентах Windows.
CVE |
Требуется микрокод ЦП или встроенное ПО? |
Состояние устранения рисков по умолчанию |
---|---|---|
CVE-2017-5753 |
Нет |
Включено по умолчанию (нет параметра для отключения) Дополнительные сведения см. в ADV180002 . |
CVE-2017-5715 |
Да |
Включено по умолчанию. Пользователи систем на основе процессоров AMD должны просмотреть вопросы и ответы No 15, а пользователи процессоров ARM — вопросы и ответы 20 на ADV180002 для дополнительных действий, а в этой статье базы знаний — сведения о применимых параметрах реестра. Примечание По умолчанию Retpoline включена для устройств под управлением Windows 10 версии 1809 или более поздней, если включен Spectre Variant 2 (CVE-2017-5715). Для получения дополнительных сведений о Retpoline следуйте указаниям в записи блога Устранение рисков версии 2 с помощью Retpoline в Windows . |
CVE-2017-5754 |
Нет |
Включено по умолчанию Дополнительные сведения см. в ADV180002 . |
CVE-2018-3639 |
Intel: Да AMD: Нет ARM: Да |
Intel и AMD: отключено по умолчанию. Дополнительные сведения см . в ADV180012 и в этой статье базы знаний о применимых параметрах реестра. ARM: включен по умолчанию без параметра для отключения. |
CVE-2019-11091 |
Intel: Да |
Включено по умолчанию. Дополнительные сведения см. в ADV190013 и в этой статье о применимых параметрах раздела реестра. |
CVE-2018-12126 |
Intel: Да |
Включено по умолчанию. Дополнительные сведения см. в ADV190013 и в этой статье о применимых параметрах раздела реестра. |
CVE-2018-12127 |
Intel: Да |
Включено по умолчанию. Дополнительные сведения см. в ADV190013 и в этой статье о применимых параметрах раздела реестра. |
CVE-2018-12130 |
Intel: Да |
Включено по умолчанию. Дополнительные сведения см. в ADV190013 и в этой статье о применимых параметрах раздела реестра. |
CVE-2019-11135 |
Intel: Да |
Включено по умолчанию. Дополнительные сведения см. в статье CVE-2019-11135 и в этой статье о применимых параметрах раздела реестра. |
CVE-2022-21123 (часть MMIO ADV220002) |
Intel: Да |
Windows 10, версия 1809 и более поздних версий: включено по умолчанию. Windows 10 версии 1607 и более ранних версий: по умолчанию отключено.Дополнительные сведения см. в разделе CVE-2022-21123 и в этой статье о применимых параметрах раздела реестра. |
CVE-2022-21125 (часть MMIO ADV220002) |
Intel: Да |
Windows 10, версия 1809 и более поздних версий: включено по умолчанию. Windows 10 версии 1607 и более ранних версий: по умолчанию отключено.Дополнительные сведения см. в разделе CVE-2022-21125 . |
CVE-2022-21127 (часть MMIO ADV220002) |
Intel: Да |
Windows 10, версия 1809 и более поздних версий: включено по умолчанию. Windows 10 версии 1607 и более ранних версий: по умолчанию отключено.Дополнительные сведения см. в разделе CVE-2022-21127 . |
CVE-2022-21166 (часть MMIO ADV220002) |
Intel: Да |
Windows 10, версия 1809 и более поздних версий: включено по умолчанию. Windows 10 версии 1607 и более ранних версий: по умолчанию отключено.Дополнительные сведения см. в разделе CVE-2022-21166 . |
CVE-2022-23825 (путаница с типом ветви ЦП AMD) |
AMD: Нет |
Дополнительные сведения см. в разделе CVE-2022-23825 и в этой статье о применимых параметрах раздела реестра. |
CVE-2023-20569 (Прогнозатор возвращаемого адреса ЦП AMD) |
AMD: Да |
Дополнительные сведения см. в статье CVE-2023-20569 и в этой статье о применимых параметрах раздела реестра. |
Intel: Нет |
Отключено по умолчанию. Дополнительные сведения см. в разделе CVE-2022-0001 и в этой статье о применимых параметрах реестра. |
Примечание: По умолчанию включение отключенных мер по устранению рисков может повлиять на производительность устройства. Фактическое влияние на производительность зависит от нескольких факторов, таких как конкретный набор микросхем на устройстве и выполняемые рабочие нагрузки.
Параметры реестра
Мы предоставляем следующие сведения о реестре для включения мер по устранению рисков, которые не включены по умолчанию, как описано в разделах Рекомендации по безопасности (ADV) и CVEs. Кроме того, мы предоставляем параметры раздела реестра для пользователей, которые хотят отключить устранение рисков, если это применимо для клиентов Windows.
Важно: В этом разделе, методе или задаче содержатся инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы тщательно выполняете эти действия. Чтобы добавить защиту, создайте резервную копию реестра перед его изменением. Затем можно восстановить реестр в случае возникновения проблемы. Дополнительные сведения о резервном копировании и восстановлении реестра см. в следующей статье базы знаний Майкрософт:322756 Резервное копирование и восстановление реестра в Windows
Важно: По умолчанию функция Retpoline включена на Windows 10, версия 1809 устройствах, если включен spectre, variant 2 (CVE-2017-5715). Включение Retpoline в последней версии Windows 10 может повысить производительность на устройствах с Windows 10, версия 1809 для Spectre версии 2, особенно на старых процессорах.
Включение мер по умолчанию для CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Meltdown) reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. Отключение мер по устранению рисков для CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Meltdown) reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. |
Примечание: Значение 3 является точным для FeatureSettingsOverrideMask для параметров "включить" и "отключить". (Дополнительные сведения о разделах реестра см. в разделе часто задаваемых вопросов.)
Чтобы отключить устранение рисков для CVE-2017-5715 (Spectre Variant 2), выполните приведенные далее действия. reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. Чтобы включить меры по устранению рисков по умолчанию для CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Meltdown): reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. |
По умолчанию защита от пользователя до ядра для CVE-2017-5715 отключена для процессоров AMD и ARM. Необходимо включить защиту, чтобы получить дополнительные средства защиты для CVE-2017-5715. Дополнительные сведения см. в разделе Вопросы и ответы No 15 в ADV180002 для процессоров AMD и Вопросы и ответы 20 в ADV180002 для процессоров ARM.
Включите защиту от взаимодействия пользователя с ядром на процессорах AMD и ARM вместе с другими средствами защиты для CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. |
Чтобы включить устранение рисков для CVE-2018-3639 (обход спекулятивного хранилища), по умолчанию для CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. Примечание. Процессоры AMD не уязвимы к CVE-2017-5754 (Meltdown). Этот раздел реестра используется в системах с процессорами AMD для включения мер по умолчанию для CVE-2017-5715 на процессорах AMD и для CVE-2018-3639. Отключение мер по устранению рисков для CVE-2018-3639 (обход спекулятивного хранилища) *и* для cve-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. |
По умолчанию защита от взаимодействия пользователя с ядром для CVE-2017-5715 отключена для процессоров AMD. Клиенты должны включить устранение рисков, чтобы получить дополнительную защиту для CVE-2017-5715. Дополнительные сведения см. в разделе Вопросы и ответы No 15 в ADV180002.
Включите защиту от взаимодействия пользователя с ядром на процессорах AMD вместе с другими средствами защиты для CVE 2017-5715 и защитой cve-2018-3639 (speculative Store Bypass): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. |
Включение мер по устранению рисков для уязвимостей асинхронного прерывания транзакций Intel (Intel TSX) (CVE-2019-11135) и выборки данных микроархитектуры ( CVE-2019-201911091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) вместе со спецификацией вариантыtre (CVE-2017-5753 & CVE-2017-5715) и Meltdown (CVE-2017-5754), включая Спекулятивное отключение обхода хранилища (SSBD) (CVE-2018-3639), а также ошибка терминала L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646) без отключения Hyper-Threading: reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Если компонент Hyper-V установлен, добавьте следующий параметр реестра: reg добавляет "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Если это узел Hyper-V и применены обновления встроенного ПО: Полностью завершите работу всех Виртуальные машины. Это позволяет применить к узлу устранение рисков, связанных с встроенным ПО, перед запуском виртуальных машин. Поэтому при перезапуске виртуальные машины также обновляются. Перезапустите устройство, чтобы изменения вступили в силу. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) если Hyper-Threading отключены: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Если компонент Hyper-V установлен, добавьте следующий параметр реестра: reg добавляет "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Если это узел Hyper-V и применены обновления встроенного ПО: Полностью завершите работу всех Виртуальные машины. Это позволяет применить к узлу устранение рисков, связанных с встроенным ПО, перед запуском виртуальных машин. Поэтому при перезапуске виртуальные машины также обновляются. Перезапустите устройство, чтобы изменения вступили в силу. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646): reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. |
Чтобы включить устранение рисков для CVE-2022-23825 на процессорах AMD , выполните следующие действия.
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Чтобы обеспечить полную защиту, клиентам также может потребоваться отключить Hyper-Threading (также известное как одновременная многопотооковая (SMT)). Рекомендации по защите устройств Windows см. в KB4073757.
Чтобы включить устранение рисков для CVE-2023-20569 на процессорах AMD, выполните следующие действия:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Чтобы включить устранение рисков для CVE-2022-0001 на процессорах Intel, выполните следующие действия:
reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Включение нескольких мер по устранению рисков
Чтобы включить несколько мер по устранению рисков, необходимо добавить REG_DWORD значение каждой из них вместе.
Например:
Устранение уязвимостей асинхронного прерывания транзакций, выборки микроархитектурных данных, Spectre, Meltdown, MMIO, спекулятивного обхода хранилища (SSBD) и сбоя терминала L1 (L1TF) с Hyper-Threading отключены |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
ПРИМЕЧАНИЕ 8264 (в десятичном формате) = 0x2048 (в шестнадцатеричном формате) Чтобы включить BHI вместе с другими существующими параметрами, необходимо использовать битовую или с текущим значением с 8 388 608 (0x800000). 0x800000 OR 0x2048 (8264 в десятичном разряде), и он станет 8 396 872 (0x802048). То же самое и с FeatureSettingsOverrideMask. |
|
Устранение рисков для CVE-2022-0001 на процессорах Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Комбинированное устранение рисков |
reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Устранение уязвимостей асинхронного прерывания транзакций, выборки микроархитектурных данных, Spectre, Meltdown, MMIO, спекулятивного обхода хранилища (SSBD) и сбоя терминала L1 (L1TF) с Hyper-Threading отключены |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Устранение рисков для CVE-2022-0001 на процессорах Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Комбинированное устранение рисков |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Проверка включения защиты
Чтобы убедиться, что защита включена, мы опубликовали сценарий PowerShell, который можно запустить на ваших устройствах. Установите и запустите скрипт с помощью одного из следующих методов.
Установите модуль PowerShell: PS> Install-Module SpeculationControl Запустите модуль PowerShell, чтобы убедиться, что защита включена: PS> # Сохраните текущую политику выполнения, чтобы ее можно было сбросить PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Сброс политики выполнения в исходное состояние PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Установите модуль PowerShell из Technet ScriptCenter: Перейдите к https://aka.ms/SpeculationControlPS Скачайте SpeculationControl.zip в локальную папку. Извлеките содержимое в локальную папку, например C:\ADV180002 Запустите модуль PowerShell, чтобы убедиться, что защита включена: Запустите PowerShell, а затем (с помощью предыдущего примера) скопируйте и выполните следующие команды: PS> # Сохраните текущую политику выполнения, чтобы ее можно было сбросить PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Сброс политики выполнения в исходное состояние PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Подробное описание выходных данных скрипта PowerShell см. в разделе KB4074629.
Вопросы и ответы
Микрокод доставляется через обновление встроенного ПО. Вы должны проверка с ЦП (набором микросхем) и производителями устройств о доступности применимых обновлений для системы безопасности встроенного ПО для конкретного устройства, включая Руководство по редакции микрокодов Intels.
Устранение уязвимости оборудования с помощью обновления программного обеспечения представляет собой значительные проблемы. Кроме того, для устранения рисков для старых операционных систем требуются значительные изменения архитектуры. Мы работаем с затронутыми производителями микросхем, чтобы определить лучший способ обеспечения мер по устранению рисков, которые могут быть поставлены в будущих обновлениях.
Обновления для устройств Microsoft Surface будут предоставляться клиентам через клиентский компонент Центра обновления Windows вместе с обновлениями для операционной системы Windows. Список доступных обновлений встроенного ПО устройства Surface (микрокодов) см. в KB4073065.
Если ваше устройство не было произведено корпорацией Microsoft, примените встроенного ПО от изготовителя устройства. За дополнительными сведениями обратитесь к изготовителю oem-устройства.
В феврале и марте 2018 г. корпорация Майкрософт выпустила дополнительную защиту для некоторых систем на базе x86. Дополнительные сведения см . в KB4073757 и ADV180002 рекомендаций по безопасности Майкрософт.
Обновления Windows 10 для HoloLens доступны клиентам HoloLens через клиентский компонент Центра обновления Windows.
После применения обновления Безопасность Windows за февраль 2018 г. пользователям HoloLens не нужно предпринимать никаких дополнительных действий для обновления встроенного ПО устройства. Эти меры по устранению рисков также будут включены во все будущие выпуски Windows 10 для HoloLens.
Нет. Обновления только для системы безопасности не являются накопительными. В зависимости от используемой версии операционной системы вам придется устанавливать ежемесячные обновления только для системы безопасности, чтобы защититься от этих уязвимостей. Например, если вы используете Windows 7 для 32-разрядных систем на затронутом ЦП Intel, необходимо установить все обновления только для системы безопасности. Рекомендуется устанавливать эти обновления только для системы безопасности в порядке выпуска.
Примечание В более ранней версии этого часто задаваемых вопросов неправильно говорилось, что февральское обновление системы безопасности включало исправления безопасности, выпущенные в январе. На самом деле, это не так.
Нет. Обновление системы безопасности 4078130 — это специальное исправление, чтобы предотвратить непредсказуемое поведение системы, проблемы с производительностью и (или) непредвиденные перезагрузки после установки микрокода. Применение обновлений для системы безопасности за февраль в клиентских операционных системах Windows позволяет устранить все три проблемы.
Intel недавно объявила о завершении проверок и начала выпускать микрокоды для новых платформ ЦП. Корпорация Майкрософт предоставляет проверенные Intel обновления микрокодов для Spectre Variant 2 (CVE-2017-5715 "Внедрение цели ветви"). KB4093836 перечислены определенные статьи базы знаний по версии Windows. Каждая конкретная статья базы знаний содержит доступные обновления микрокода Intel для разных ЦП.
Эта проблема устранена в KB4093118.
AMD недавно объявила, что они начали выпускать микрокоды для новых платформ ЦП вокруг Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Дополнительные сведения см. в техническом документе AMD Security Обновления и документе AMD: Рекомендации по архитектуре по управлению непрямой ветвью. Они доступны в канале встроенного ПО OEM.
Мы делаем доступными проверенные Intel обновления микрокодов вокруг Spectre Variant 2 (CVE-2017-5715 "Внедрение цели ветви "). Чтобы получить последние обновления микрокодов Intel через клиентский компонент Центра обновления Windows, клиенты должны установить микрокод Intel на устройствах с операционной системой Windows 10 перед обновлением до обновления Windows 10 апреля 2018 г. (версия 1803).
Также обновление микрокода можно получить непосредственно из каталога, если оно не было установлено на устройстве до обновления ОС. Микрокод Intel доступен через клиентский компонент Центра обновления Windows, WSUS или в каталоге Центра обновления Майкрософт. Дополнительные сведения и инструкции по скачиванию см. в KB4100347.
Дополнительные сведения см. в следующих ресурсах:
Дополнительные сведения см. в разделах "Рекомендуемые действия" и "Вопросы и ответы" в ADV180012 | Руководство Майкрософт по обходу спекулятивного хранилища.
Чтобы проверить состояние SSBD, скрипт PowerShell Get-SpeculationControlSettings был обновлен для обнаружения затронутых процессоров, состояния обновлений операционной системы SSBD и состояния микрокода процессора , если применимо. Дополнительные сведения и сведения о получении скрипта PowerShell см. в разделе KB4074629.
13 июня 2018 г. было объявлено о дополнительной уязвимости, связанной с спекулятивным выполнением по боковому каналу, известной как восстановление состояния Ленивый FP, и была назначена функция CVE-2018-3665. Параметры конфигурации (реестра) не нужны для восстановления FP с отложенным восстановлением.
Дополнительные сведения об этой уязвимости и рекомендуемые действия см. в рекомендациях по безопасности ADV180016 | Руководство Майкрософт по восстановлению состояния ленивого FP.
Примечание: Параметры конфигурации (реестра) не нужны для восстановления FP с отложенным восстановлением.
Хранилище обхода границ (BCBS) было раскрыто 10 июля 2018 г. и присвоено значение CVE-2018-3693. Мы считаем, что BCBS принадлежит к тому же классу уязвимостей, что и обход проверки границ (вариант 1). В настоящее время мы не знаем о каких-либо экземплярах BCBS в нашем программном обеспечении, но мы продолжаем исследовать этот класс уязвимостей и будем работать с отраслевыми партнерами над выпуском мер по устранению рисков по мере необходимости. Мы по-прежнему призываем исследователей представить любые соответствующие результаты в программу microsoft Speculative Execution Side Channel bounty, включая любые эксплуатируемые экземпляры BCBS. Разработчикам программного обеспечения следует ознакомиться с рекомендациями для разработчиков, которые были обновлены для BCBS на https://aka.ms/sescdevguide.
14 августа 2018 г. было объявлено о сбое терминала L1 (L1TF) и назначено несколько cves. Эти новые спекулятивные уязвимости бокового канала могут использоваться для считывания содержимого памяти через доверенные границы и в случае их использования могут привести к раскрытию информации. Злоумышленник может активировать уязвимости через несколько векторов в зависимости от настроенной среды. L1TF влияет на процессоры Intel® Core® и Intel® Xeon®.
Дополнительные сведения об этой уязвимости и подробное представление затронутых сценариев, включая подход Корпорации Майкрософт к устранению рисков L1TF, см. в следующих ресурсах:
Клиенты, использующие 64-разрядные процессоры ARM, должны проверка с OEM устройства для поддержки встроенного ПО, так как защита операционной системы ARM64, которая снижает уязвимость CVE-2017-5715 | Внедрение целевых ветвей (Spectre, Variant 2) требуется последнее обновление встроенного ПО от изготовителей оборудования устройств.
Дополнительные сведения см. в следующих рекомендациях по безопасности.
Дополнительные сведения см. в следующих рекомендациях по безопасности.
Дополнительные рекомендации можно найти в руководстве Windows по защите от уязвимостей спекулятивного выполнения по боковому каналу.
Ознакомьтесь с рекомендациями в руководстве по Windows, чтобы защититься от уязвимостей спекулятивного выполнения по боковому каналу.
Рекомендации по Azure см. в этой статье : Руководство по устранению уязвимостей спекулятивного выполнения в Azure.
Дополнительные сведения о включении Retpoline см. в записи блога: Устранение рисков spectre версии 2 с помощью Retpoline в Windows.
Дополнительные сведения об этой уязвимости см. в руководстве по безопасности Майкрософт : CVE-2019-1125 | Уязвимость ядра Windows, связанная с раскрытием информации.
Мы не знаем о каких-либо случаях этой уязвимости раскрытия информации, затрагивающей нашу инфраструктуру облачных служб.
Как только нам стало известно об этой проблеме, мы быстро поработали над ее решением и выпуском обновления. Мы твердо верим в тесные партнерские отношения как с исследователями, так и с отраслевыми партнерами, чтобы сделать клиентов более безопасными, и не публиковали подробности до вторника, 6 августа, в соответствии с скоординированной практикой раскрытия уязвимостей.
Дополнительные рекомендации см. в руководстве по защите windows от уязвимостей спекулятивного выполнения по боковому каналу.
Дополнительные рекомендации см. в руководстве по защите windows от уязвимостей спекулятивного выполнения по боковому каналу.
Дополнительные рекомендации см. в статье Руководство по отключению возможностей расширения синхронизации транзакций Intel® (Intel® TSX).
Ссылки
Мы предоставляем сторонние контактные данные, чтобы помочь вам найти техническую поддержку. Эти контактные данные могут меняться без уведомления. Мы не гарантируем точность этих контактных данных сторонних поставщиков.