Zmeniť dátum |
Zmeniť popis |
19. júla 2023 |
|
8. augusta 2023 |
|
9. augusta 2023 |
|
9. apríla 2024 |
|
16. apríla 2024 |
|
Zhrnutie
Tento článok obsahuje pokyny pre novú triedu mikroarchitekturálnych a špekulatívnych úloh na strane kanála kremíka, ktoré ovplyvňujú mnohé moderné procesory a operačné systémy. Patria sem intel, AMD a ARM. Konkrétne podrobnosti o týchto zraniteľnostiach založených na kremíku nájdete v nasledujúcich ADV (bezpečnostné poradenstvo) a CVE (Bežné zraniteľnosti a expozície):
-
ADV180002 | Pokyny na zmiernenie špekulatívnych chýb na strane kanála vykonávania
-
ADV180012 | Pokyny spoločnosti Microsoft na špekulatívne obídenie obchodu
-
ADV180013 | Microsoft Sprievodný materiál pre Rogue System Register Čítať
-
ADV180016 | Pokyny spoločnosti Microsoft na obnovenie stavu lenivého FP
-
ADV190013 | Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities
Dôležité: Tento problém sa týka aj iných operačných systémov, ako napríklad Android, Chrome, iOS a macOS. Preto odporúčame zákazníkom, aby požiadali o pomoc týchto dodávateľov.
Vydali sme niekoľko aktualizácií, ktoré pomáhajú zmierniť tieto chyby. Podnikli sme aj kroky na zabezpečenie našich cloudových služieb. Ďalšie podrobnosti nájdete v nasledujúcich častiach.
Zatiaľ sme nedostali žiadne informácie, ktoré by naznačovali, že tieto chyby boli použité na útok na zákazníkov. Úzko spolupracujeme s partnermi v odvetví vrátane výrobcov čipov, hardvérových výrobcov OEM a dodávateľov aplikácií na ochranu zákazníkov. Ak chcete získať všetky dostupné ochrany, vyžadujú sa aktualizácie firmvéru (mikrokódu) a softvéru. Patria sem mikrokódy od výrobcov OEM zariadenia a v niektorých prípadoch aktualizácie antivírusového softvéru.
Tento článok sa zaoberá nasledujúcimi zraniteľnými miestami:
Windows Update bude poskytovať aj obmedzenia rizík pre Internet Explorer a Edge. Tieto obmedzenia rizík budeme naďalej vylepšovať v porovnaní s touto triedou zraniteľných miest.
Ďalšie informácie o tejto triede chýb nájdete v nasledujúcich témach:
Zraniteľnosti
14. mája 2019 spoločnosť Intel zverejnila informácie o novej podtriede špekulatívnych chýb na strane kanála spustenia známych ako mikroarchitekturálne vzorkovanie údajov. Tieto zraniteľné miesta sa riešia v nasledujúcich CVE:
-
CVE-2019-11091 | Pamäť MDSUM (Microarchitectural Data Sampling Uncacheable Memory)
-
CVE-2018-12126 | Vzorkovanie údajov medzipamäte úložiska mikroarchitektúr (MSBDS)
-
CVE-2018-12127 | Vzorkovanie údajov medzipamätenej mikroarchitektúrovej výplne (MFBDS)
-
CVE-2018-12130 | Vzorkovanie údajov o prenose mikroarchitektúrového zaťaženia (MLPDS)
Dôležité: Tieto problémy sa prejavia v iných operačných systémoch, ako sú napríklad Android, Chrome, iOS a MacOS. Odporúčame vám vyhľadať pomoc od týchto príslušných dodávateľov.
Vydali sme aktualizácie, ktoré pomáhajú zmierniť tieto chyby. Ak chcete získať všetky dostupné ochrany, vyžadujú sa aktualizácie firmvéru (mikrokódu) a softvéru. Môže to zahŕňať mikrokód z OEM zariadení. V niektorých prípadoch bude mať inštalácia týchto aktualizácií vplyv na výkon. Konali sme aj na zabezpečenie našich cloudových služieb. Dôrazne odporúčame nasadiť tieto aktualizácie.
Ďalšie informácie o tomto probléme nájdete v nasledujúcom upozornení na zabezpečenie a pomocou scenárového sprievodného materiálu na určenie akcií potrebných na zmiernenie hrozby:
-
ADV190013 | Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities
-
Pokyny systému Windows na ochranu pred špekulatívnymi zraniteľnosťami vedľajšieho kanála spustenia
Poznámka: Pred inštaláciou aktualizácií mikrokódu odporúčame nainštalovať všetky najnovšie aktualizácie z Windows Update.
6. augusta 2019 spoločnosť Intel zverejnila podrobnosti o zraniteľnosti pri zverejňovaní informácií o jadre systému Windows. Toto zraniteľnosť je variant Spectre Variant 1 špekulatívne spustenie side-kanál zraniteľnosti a bol priradený CVE-2019-1125.
9. júla 2019 sme vydali aktualizácie zabezpečenia pre operačný systém Windows, aby sme pomohli zmierniť tento problém. Upozorňujeme, že sme toto zmiernenie verejne zdokumentovali až do koordinovaného zverejnenia v odvetví v utorok 6. augusta 2019.
Zákazníci, ktorí Windows Update povolili a použili aktualizácie zabezpečenia vydané 9. júla 2019, sú automaticky chránení. Nie je potrebná žiadna ďalšia konfigurácia.
Poznámka: Toto nedostatočné zabezpečenie nevyžaduje aktualizáciu mikrokódov od výrobcu zariadenia (OEM).
Ďalšie informácie o tomto zraniteľnosti a príslušných aktualizáciách nájdete v príručke k aktualizácii zabezpečenia spoločnosti Microsoft:
12. novembra 2019 spoločnosť Intel zverejnila technické poradenstvo v oblasti rozšírenia transakcií synchronizácie intel (Intel TSX) Transaction Asynchronous Abort vulnerability, ktoré má priradené CVE-2019-11135. Vydali sme aktualizácie, ktoré pomáhajú zmierniť túto zraniteľnosť. Predvolene sú ochrany operačného systému povolené pre vydania Windows Client OS.
14. júna 2022 sme publikovali ADV220002 | Microsoft Sprievodný materiál k zraniteľnosti údajov MMIO procesora Intel. Zraniteľnosti sú priradené v nasledujúcich CVE:
-
CVE-2022-21123 | Čítanie údajov zdieľanej medzipamäte (SBDR)
-
CVE-2022-21125 | Vzorkovanie údajov zdieľanej medzipamäte (SBDS)
Odporúčané akcie
Na ochranu pred týmito zraniteľnosťami by ste mali vykonať nasledujúce akcie:
-
Použite všetky dostupné aktualizácie operačného systému Windows vrátane mesačných aktualizácií zabezpečenia Windowsu.
-
Použite príslušnú aktualizáciu firmvéru (mikrokódu), ktorú poskytuje výrobca zariadenia.
-
Vyhodnoťte riziko pre svoje prostredie na základe informácií, ktoré sú k dispozícii v ADV180002,ADV180012, ADV190013 a ADV220002informácií uvedených v tomto článku.
-
Vykonajte akciu podľa potreby pomocou poradenstva a informácií o kľúči databázy Registry, ktoré sú uvedené v tomto článku.
Poznámka: Zákazníci zariadenia Surface dostanú aktualizáciu mikrokódov prostredníctvom aktualizácie Windowsu. Zoznam najnovších dostupných aktualizácií firmvéru zariadenia Surface (mikrokód) nájdete v téme KB4073065.
12. júla 2022 sme publikovali CVE-2022-23825 | Zmätok typu vetvy procesora AMD, ktorý popisuje, že aliasy v prediktore vetvy môžu spôsobiť, že určité procesory AMD predpovedajú nesprávny typ vetvy. Tento problém môže potenciálne viesť k zverejneniu informácií.
Na ochranu pred týmto rizikom odporúčame nainštalovať aktualizácie Windowsu, ktoré sú datované v júli 2022 alebo po jeho skončení, a potom vykonať kroky podľa požiadaviek CVE-2022-23825 a kľúčových informácií databázy Registry, ktoré sú uvedené v tomto vedomostná databáza článku.
Ďalšie informácie nájdete v bulletine o zabezpečení AMD-SB-1037 .
8. augusta 2023 sme publikovali CVE-2023-20569 | AMD CPU Return Address Predictor (známy aj ako Inception), ktorý popisuje nový špekulatívny útok bočného kanála, ktorý môže mať za následok špekulatívne vykonanie na adrese kontrolovanej útočníkom. Tento problém sa týka niektorých procesorov AMD a môže potenciálne viesť k zverejneniu informácií.
Na ochranu pred týmto rizikom odporúčame nainštalovať aktualizácie Windowsu, ktoré sú datované v auguste 2023 alebo po jeho skončení, a potom vykonať akcie podľa požiadaviek CVE-2023-20569 a informácií o kľúčoch databázy Registry, ktoré sú uvedené v tomto vedomostná databáza článku.
Ďalšie informácie nájdete v bulletine o zabezpečení AMD-SB-7005 .
9. apríla 2024 sme publikovali CVE-2022-0001 | Intel Branch History Injection , ktorá popisuje vloženie histórie pobočky (BHI), čo je špecifická forma interného BTI. Toto nedostatočné zabezpečenie sa vyskytuje, keď útočník môže manipulovať s históriou vetvy pred prechodom z používateľa do režimu dohľadu (alebo z VMX non-root/hosť do koreňového režimu). Táto manipulácia by mohla spôsobiť, že nepriamy prediktor vetvy vyberie konkrétnu položku prediktora pre nepriamu vetvu a miniaplikácia zverejňovania v predpovedanom cieli sa prechodne spustí. Môže to byť možné, pretože príslušná história vetvy môže obsahovať vetvy v predchádzajúcich kontextoch zabezpečenia, a najmä iné režimy prediktora.
Nastavenia obmedzenia rizík pre klientov s Windowsom
Upozornenia na zabezpečenie (ADV) a CVE poskytujú informácie o riziku, ktoré predstavujú tieto zraniteľné miesta, a o tom, ako vám pomôžu identifikovať predvolený stav zmiernení rizík pre klientske systémy Windows. Nasledujúca tabuľka obsahuje súhrn požiadaviek na mikrokód procesora a predvolený stav zmiernení rizík v klientoch s Windowsom.
CVE |
Vyžaduje sa mikrokód procesora/firmvér procesora? |
Stav predvoleného obmedzenia rizík |
---|---|---|
CVE-2017-5753 |
Nie |
Predvolene povolené (bez možnosti vypnutia) Ďalšie informácie nájdete v ADV180002 . |
CVE 5715 2017 |
Áno |
Predvolene povolené. Používateľom systémov založených na procesoroch AMD by sa mali zobrazovať najčastejšie otázky č. 15 a používateľom procesorov ARM by sa mali zobraziť najčastejšie otázky č. 20 o ADV180002 pre ďalšie akcie a tento článok vedomostnej databázy KB pre príslušné nastavenia kľúča databázy Registry. Poznámka Predvolene je Retpoline povolená pre zariadenia s Windows 10, verziou 1809 alebo novšou, ak je povolené Spectre Variant 2 (CVE-2017-5715). Pre viac informácií, okolo Retpoline, postupujte podľa pokynov v poľahčujúce Spectre variant 2 s Retpoline na Windows blog post. |
CVE-2017-5754 |
Nie |
Predvolene povolené Ďalšie informácie nájdete v ADV180002 . |
CVE-2018-3639 |
Intel: Áno AMD: Nie ARM: Áno |
Intel a AMD: Predvolene vypnuté. Ďalšie informácie nájdete v ADV180012 a v tomto článku vedomostnej databázy Registry nájdete príslušné nastavenia kľúča databázy Registry. ARM: Predvolene povolené bez možnosti vypnutia. |
CVE-2019-11091 |
Intel: Áno |
Predvolene povolené. Ďalšie informácie nájdete v ADV190013 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
CVE-2018-12126 |
Intel: Áno |
Predvolene povolené. Ďalšie informácie nájdete v ADV190013 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
CVE-2018-12127 |
Intel: Áno |
Predvolene povolené. Ďalšie informácie nájdete v ADV190013 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
CVE-2018-12130 |
Intel: Áno |
Predvolene povolené. Ďalšie informácie nájdete v ADV190013 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
CVE-2019-11135 |
Intel: Áno |
Predvolene povolené. Ďalšie informácie nájdete v CVE-2019-11135 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
CVE-2022-21123 (súčasť MMIO ADV220002) |
Intel: Áno |
Windows 10, verzia 1809 a novšia: Predvolene povolené. Windows 10, verzia 1607 a staršia: predvolene zakázané.Ďalšie informácie nájdete v CVE-2022-21123 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
CVE-2022-21125 (súčasť MMIO ADV220002) |
Intel: Áno |
Windows 10, verzia 1809 a novšia: Predvolene povolené. Windows 10, verzia 1607 a staršia: predvolene zakázané.Ďalšie informácie nájdete v téme CVE-2022-21125 . |
CVE-2022-21127 (súčasť MMIO ADV220002) |
Intel: Áno |
Windows 10, verzia 1809 a novšia: Predvolene povolené. Windows 10, verzia 1607 a staršia: predvolene zakázané.Ďalšie informácie nájdete v cve-2022-21127 . |
CVE-2022-21166 (súčasť MMIO ADV220002) |
Intel: Áno |
Windows 10, verzia 1809 a novšia: Predvolene povolené. Windows 10, verzia 1607 a staršia: predvolene zakázané.Ďalšie informácie nájdete v cve-2022-21166 . |
CVE-2022-23825 (zmätok typu vetvy procesora AMD) |
AMD: Nie |
Ďalšie informácie nájdete v cve-2022-23825 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
CVE-2023-20569 (Prediktor návratovej adresy procesora AMD) |
AMD: Áno |
Ďalšie informácie nájdete v cve-2023-20569 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
Intel: Nie |
Predvolene vypnuté. Ďalšie informácie nájdete v cve-2022-0001 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
Poznámka: Predvolene môže zapnutie vypnutých zmiernení ovplyvniť výkon zariadenia. Efekt skutočného výkonu závisí od viacerých faktorov, ako je napríklad konkrétna čipová súprava v zariadení a spustené vyťaženia.
Nastavenie databázy Registry
Nasledujúce informácie databázy Registry poskytujeme na povolenie zmiernení rizík, ktoré nie sú predvolene povolené, ako je to uvedené v témach Security Advisories (ADV) a CVE. Okrem toho poskytujeme nastavenia kľúča databázy Registry pre používateľov, ktorí chcú zakázať obmedzenia rizík, ak je to relevantné pre klientov s Windowsom.
Dôležité: Táto časť, metóda alebo úloha obsahuje kroky, ktoré vám oznámia, ako upraviť databázu Registry. Ak však databázu Registry upravíte nesprávne, môžu sa vyskytnúť vážne problémy. Preto sa uistite, že tieto kroky dodržiavajte opatrne. Ak chcete zvýšiť ochranu, databázu Registry si pred vykonaním úprav zálohujte. Potom môžete obnoviť databázu Registry, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy Registry nájdete v nasledujúcom článku v databáze Microsoft Knowledge Base:322756 Ako zálohovať a obnoviť databázu Registry vo Windowse
Dôležité: Predvolene je Retpoline povolená v zariadeniach Windows 10, verzia 1809, ak je povolené Spectre, Variant 2 (CVE-2017-5715). Povolenie Retpoline na najnovšiu verziu Windows 10 môže zvýšiť výkon v zariadeniach so systémom Windows 10 verzie 1809 pre spectre variant 2, najmä v starších procesoroch.
Povolenie predvolených zmiernení pre CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reštartujte zariadenie, aby sa zmeny prejavili. Vypnutie zmiernení pre CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reštartujte zariadenie, aby sa zmeny prejavili. |
Poznámka: Hodnota 3 je pre Vlastnosť FeatureSettingsOverrideMask pre nastavenia "enable" aj "disable" presná. (Ďalšie podrobnosti o kľúčoch databázy Registry nájdete v časti Najčastejšie otázky.)
Vypnutie zmiernení pre CVE-2017-5715 (Spectre Variant 2) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reštartujte zariadenie, aby sa zmeny prejavili. Povolenie predvolených zmiernení pre CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reštartujte zariadenie, aby sa zmeny prejavili. |
Ochrana od používateľa k jadru pre CVE-2017-5715 je predvolene vypnutá pre procesory AMD a ARM. Ak chcete získať ďalšie ochrany pre CVE-2017-5715, musíte povoliť obmedzenie rizík. Ďalšie informácie nájdete v téme Najčastejšie otázky č. 15 v ADV180002 pre procesory AMD a najčastejšie otázky č. 20 v ADV180002 pre procesory ARM.
Umožnite ochranu od používateľa k jadru procesorom AMD a ARM spolu s ďalšími ochranami pre CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reštartujte zariadenie, aby sa zmeny prejavili. |
Povolenie zmiernení pre CVE-2018-3639 (špekulatívne obídenie obchodu), predvolené zmiernenia pre CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reštartujte zariadenie, aby sa zmeny prejavili. Poznámka: Procesory AMD nie sú citlivé na CVE-2017-5754 (Meltdown). Tento kľúč databázy Registry sa používa v systémoch s procesormi AMD na povolenie predvolených zmiernení pre CVE-2017-5715 v procesoroch AMD a zmiernenie rizík pre CVE-2018-3639. Vypnutie zmiernení rizík pre CVE-2018-3639 (špekulatívne obídenie obchodu) *a* zmiernenia pre CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reštartujte zariadenie, aby sa zmeny prejavili. |
Predvolene je ochrana od používateľa k jadru pre CVE-2017-5715 zakázaná pre procesory AMD. Zákazníci musia povoliť zmiernenie, aby získali dodatočnú ochranu pre CVE-2017-5715. Ďalšie informácie nájdete v téme Najčastejšie otázky č. 15 v ADV180002.
Povoľte ochranu procesorov AMD od používateľa k jadru spolu s inými ochranami pre CVE 2017-5715 a ochranou cve-2018-3639 (špekulatívne obídenie obchodu): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reštartujte zariadenie, aby sa zmeny prejavili. |
Povolenie zmiernení rizík pre rozšírenia synchronizácie transakcií Intel (Intel TSX) Transaction Asynchrónne prerušenie zraniteľnosti (CVE-2019-11135) a microarchitectural data sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-1213 ) spolu s variantmi spectre (CVE-2017-5753 & CVE-2017-5715) a Meltdown (CVE-2017-5754) vrátane vypnutia špekulatívneho obídenia obchodu (SSBD) (CVE-2018-3639), ako aj L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646) bez vypnutia hyperprocesovania: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní. Reštartujte zariadenie, aby sa zmeny prejavili. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) s vypnutým Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní. Reštartujte zariadenie, aby sa zmeny prejavili. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reštartujte zariadenie, aby sa zmeny prejavili. |
Povolenie zmiernenia pre CVE-2022-23825 v procesoroch AMD :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Ak chcú byť zákazníci plne chránení, možno budú musieť vypnúť aj Hyper-Threading (známe aj ako simultánne viacprocesové (SMT)). Pokyny na ochranu zariadení s Windowsom nájdete v KB4073757.
Povolenie zmiernenia pre CVE-2023-20569 v procesoroch AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Povolenie zmiernenia pre CVE-2022-0001 v procesoroch Intel:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Povolenie viacerých zmiernení rizík
Ak chcete povoliť viacero zmiernení, musíte pridať REG_DWORD hodnotu každého zmiernenia dohromady.
Príklad:
Zmiernenie rizík pre asynchrónne prerušenie rizík transakcií, vzorkovanie údajov mikroarchitektúr, spectre, zrútenie, MMIO, vypnutie špekulatívneho ukladacieho priestoru (SSBD) a L1 Terminal Fault (L1TF) s vypnutými Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
POZNÁMKA 8264 (v desiatkovej sústave) = 0x2048 (v šestnástkovej sústave) Ak chcete povoliť BHI spolu s ďalšími existujúcimi nastaveniami, budete musieť použiť bitový operátor OR aktuálnej hodnoty s hodnotou 8 388 608 (0x800000). 0x800000 OR 0x2048(8264 v desiatkovej sústave) a bude 8 396 872 (0x802048). To isté platí aj pre FeatureSettingsOverrideMask. |
|
Obmedzenie rizík pre CVE-2022-0001 na procesoroch Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Kombinované obmedzenie rizík |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Zmiernenie rizík pre asynchrónne prerušenie rizík transakcií, vzorkovanie údajov mikroarchitektúr, spectre, zrútenie, MMIO, vypnutie špekulatívneho ukladacieho priestoru (SSBD) a L1 Terminal Fault (L1TF) s vypnutými Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Obmedzenie rizík pre CVE-2022-0001 na procesoroch Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Kombinované obmedzenie rizík |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Overenie zapnutia ochrany
Na overenie, či sú povolené ochrany, sme publikovali skript prostredia PowerShell, ktorý môžete spustiť vo svojich zariadeniach. Nainštalujte a spustite skript pomocou niektorej z nasledujúcich metód.
Nainštalujte modul prostredia PowerShell: PS> Install-Module SpeculationControl Spustením modulu PowerShell overte, či sú povolené ochrany: PS> # Uložiť aktuálnu politiku spustenia, aby ju bolo možné obnoviť PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Obnoviť politiku spustenia do pôvodného stavu PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Nainštalujte modul Prostredia PowerShell z Centra skriptov lokality Technet: Prejsť na https://aka.ms/SpeculationControlPS Stiahnite SpeculationControl.zip do lokálneho priečinka. Extrahujte obsah do lokálneho priečinka, napríklad C:\ADV180002 Spustením modulu PowerShell overte, či sú povolené ochrany: Spustite prostredie PowerShell a potom (pomocou predchádzajúceho príkladu) skopírujte a spustite nasledujúce príkazy: PS> # Uložiť aktuálnu politiku spustenia, aby ju bolo možné obnoviť PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Obnoviť politiku spustenia do pôvodného stavu PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Podrobné vysvetlenie výstupu skriptu prostredia PowerShell nájdete v téme KB4074629.
Najčastejšie otázky
Mikrokód sa doručuje prostredníctvom aktualizácie firmvéru. Mali by ste sa so svojím procesorom (čipovou súpravou) a výrobcami zariadení informovať o dostupnosti príslušných aktualizácií zabezpečenia firmvéru pre konkrétne zariadenie vrátane sprievodného materiálu na revíziu mikrokódu Intels.
Riešenie zraniteľnosti hardvéru prostredníctvom aktualizácie softvéru predstavuje významné výzvy. Obmedzenia rizík pre staršie operačné systémy tiež vyžadujú rozsiahle architektonické zmeny. Spolupracujeme s dotknutými výrobcami čipov, aby sme určili najlepší spôsob poskytovania zmiernení, ktoré môžu byť dodané v budúcich aktualizáciách.
Aktualizácie pre zariadenia Microsoft Surface sa zákazníkom doručia prostredníctvom Windows Update spolu s aktualizáciami operačného systému Windows. Zoznam dostupných aktualizácií firmvéru zariadenia Surface (mikrokód) nájdete v téme KB4073065.
Ak vaše zariadenie nie je od spoločnosti Microsoft, použite firmvér od výrobcu zariadenia. Ďalšie informácie získate od výrobcu zariadenia OEM.
Vo februári a marci 2018 vydala spoločnosť Microsoft pridanú ochranu pre niektoré systémy s architektúrou x86. Ďalšie informácie nájdete v téme KB4073757 a ADV180002 Microsoft Security Advisory.
Aktualizácie Windows 10 pre HoloLens sú zákazníkom okuliarov HoloLens k dispozícii prostredníctvom Windows Update.
Po použití aktualizácie Windows Zabezpečenie z februára 2018 zákazníci okuliarov HoloLens nemusia vykonať žiadne ďalšie kroky na aktualizáciu firmvéru zariadenia. Tieto obmedzenia rizík budú zahrnuté aj vo všetkých budúcich vydaniach Windows 10 pre HoloLens.
Nie. Aktualizácie iba zabezpečenia nie sú kumulatívne. V závislosti od verzie operačného systému, ktorú používate, budete musieť nainštalovať každú mesačnú aktualizáciu zabezpečenia, aby ste boli chránení pred týmito zraniteľnosťami. Ak napríklad používate Windows 7 pre 32-bitové systémy v ovplyvnenom procesore Intel, musíte nainštalovať všetky aktualizácie iba zabezpečenia. Odporúčame nainštalovať tieto aktualizácie zabezpečenia iba v poradí od vydania.
Poznámka V staršej verzii týchto najčastejších otázok sa nesprávne uvádza, že aktualizácia zabezpečenia z februára obsahovala opravy zabezpečenia vydané v januári. V skutočnosti to tak nie je.
Nie. Aktualizácia zabezpečenia 4078130 bola špecifická oprava, ktorá zabraňuje nepredvídateľnému správaniu systému, problémom s výkonom a/alebo neočakávaným reštartom po inštalácii mikrokódu. Použitie februárových aktualizácií zabezpečenia v operačných systémoch Windows klienta umožňuje všetky tri obmedzenia rizík.
Spoločnosť Intel nedávno oznámila , že dokončila svoje overovanie a začala vydávať mikrokód pre novšie platformy procesora. Spoločnosť Microsoft sprístupňuje aktualizácie mikrokódov overené spoločnosťou Intel okolo spectre variantu 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 uvádza konkrétne články vedomostnej databázy Knowledge Base podľa verzie Windowsu. Každý konkrétny článok KB obsahuje dostupné aktualizácie mikrokódu Intel rozdelené podľa procesora.
Tento problém bol vyriešený v KB4093118.
AMD nedávno oznámila , že začali vydávať mikrokód pre novšie procesor platformy okolo Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Ďalšie informácie nájdete v technickej dokumentácii amd security Aktualizácie and AMD: Architecture Guidelines around Indirect Branch Control. Sú k dispozícii v kanáli firmvéru OEM.
V okolí Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection ") sprístupňujeme aktualizácie mikrokódov overené spoločnosťou Intel. Ak chcú zákazníci získať najnovšie aktualizácie mikrokódov Intel prostredníctvom Windows Update, pred inováciou na aktualizáciu Windows 10 z apríla 2018 (verzia 1803) musia mať zákazníci nainštalovaný mikrokód Intel v zariadeniach s operačným systémom Windows 10.
Aktualizácia mikrokódu je k dispozícii priamo z katalógu aj vtedy, ak nebol nainštalovaný v zariadení ešte pred inováciou operačného systému. Mikrokód Intel je k dispozícii prostredníctvom Windows Update, WSUS alebo katalógu microsoft update. Ďalšie informácie a pokyny na stiahnutie nájdete v téme KB4100347.
Ďalšie informácie nájdete v týchto zdrojoch:
Podrobnosti nájdete v častiach Odporúčané akcie a Najčastejšie otázky v ADV180012 | Pokyny spoločnosti Microsoft na špekulatívne obídenie obchodu.
Na overenie stavu SSBD sa aktualizoval skript Get-SpeculationControlSettings PowerShell, aby sa zistili dotknuté procesory, stav aktualizácií operačného systému SSBD a stav mikrokódu procesora, ak je to možné. Ďalšie informácie a informácie o získaní skriptu prostredia PowerShell nájdete v téme KB4074629.
13. júna 2018 bola oznámená ďalšia zraniteľnosť zahŕňajúca špekulatívne spustenie bočného kanála, známe ako lenivé obnovenie stavu FP, a bola mu pridelená funkcia CVE-2018-3665. Na obnovenie protokolu FP lenivej obnovy nie sú potrebné žiadne nastavenia konfigurácie (databázy Registry).
Ďalšie informácie o tomto zraniteľnosti a odporúčaných akciách nájdete v ADV180016 zabezpečenia | Pokyny spoločnosti Microsoft na obnovenie stavu lazy FP.
Poznámka: Na obnovenie protokolu FP lenivej obnovy nie sú potrebné žiadne nastavenia konfigurácie (databázy Registry).
Bounds Check Bypass Store (BCBS) bol zverejnený 10. júla 2018 a priradený CVE-2018-3693. Domnievame sa, že BCBS patrí do rovnakej triedy zraniteľností ako obídenie kontroly hraníc (Variant 1). V súčasnosti nevieme o žiadnych inštanciách BCBS v našom softvéri, ale pokračujeme vo výskume tejto triedy zraniteľnosti a budeme spolupracovať s partnermi v odvetví, aby sme podľa potreby uvoľnili zmiernenia rizík. Naďalej vyzývame výskumných pracovníkov, aby predložili všetky relevantné zistenia do špekulatívneho programu odmien Side Channel spoločnosti Microsoft vrátane všetkých vykorisťovateľných inštancií BCBS. Softvéroví vývojári by si mali pozrieť pokyny pre vývojárov, ktoré boli aktualizované pre BCBS v https://aka.ms/sescdevguide.
Augusta 14, 2018, L1 Terminal Fault (L1TF) bola oznámená a pridelených viac CVE. Tieto nové špekulatívne spustenie side-kanál zraniteľnosti možno použiť na čítanie obsahu pamäte cez dôveryhodné hranice, a ak je využité, môže viesť k zverejneniu informácií. Útočník môže spustiť zraniteľnosti prostredníctvom viacerých vektorov v závislosti od nakonfigurovaného prostredia. L1TF ovplyvňuje procesory Intel® Core® a procesory Intel® Xeon®.
Ďalšie informácie o tomto zraniteľnosti a podrobnom zobrazení ovplyvnených scenárov vrátane prístupu spoločnosti Microsoft k zmierneniu L1TF nájdete v nasledujúcich zdrojoch:
Zákazníci používajúci 64-bitové procesory ARM by si mali skontrolovať podporu firmvéru zariadenia OEM, pretože ochrana operačného systému ARM64, ktorá zmierňuje CVE-2017-5715 | Vsunutie cieľovej vetvy (Spectre, Variant 2) vyžaduje, aby sa prejavila najnovšia aktualizácia firmvéru zo zariadení OEM.
Ďalšie informácie nájdete v nasledujúcich bezpečnostných upozorneniach
Ďalšie informácie nájdete v nasledujúcich bezpečnostných upozorneniach
Ďalšie pokyny nájdete v pokynoch systému Windows na ochranu pred špekulatívnym spustením chýb bočného kanála
Sprievodný materiál k službe Azure nájdete v tomto článku: Pokyny na zmiernenie špekulatívnych chýb na strane kanála spustenia v službe Azure.
Ďalšie informácie o povolení Retpoline nájdete v našom blogovom príspevku: Mitigating Spectre variant 2 with Retpoline on Windows.
Podrobnosti o tomto zraniteľnosti nájdete v Príručke zabezpečenia spoločnosti Microsoft: CVE-2019-1125 | Nedostatočné zverejnenie informácií o jadre systému Windows.
Nie sme si vedomí žiadnej inštancie tejto zraniteľnosti pri zverejňovaní informácií, ktorá by ovplyvnila našu infraštruktúru cloudových služieb.
Hneď ako sme sa dozvedeli o tomto probléme, rýchlo sme pracovali na jeho vyriešení a vydaní aktualizácie. Pevne veríme v úzke partnerstvá s výskumnými pracovníkmi a partnermi v odvetví, aby sa zákazníci bezpečnejšie, a nezverejnil podrobnosti až do utorka 6.srpna, v súlade s koordinovanými postupmi zraniteľnosti zverejňovanie.
Ďalšie pokyny nájdete v pokynoch systému Windows na ochranu pred špekulatívnym spustením chýb bočného kanála.
Ďalšie pokyny nájdete v pokynoch systému Windows na ochranu pred špekulatívnym spustením chýb bočného kanála.
Ďalšie pokyny nájdete v pokynoch na vypnutie® funkcie intel transactional synchronization Extensions (Intel® TSX).
Referencie
Poskytujeme kontaktné informácie tretích strán, ktoré vám pomôžu nájsť technickú podporu. Tieto kontaktné informácie môžu zmeniť bez predchádzajúceho upozornenia. Nezaručujeme presnosť týchto kontaktných informácií tretích strán.