KB4073119: Navodila za odjemalce sistema Windows za strokovnjaki za IT za zaščito pred ranljivostmi stranskega kanala, ki temeljijo na silikonskem mikroarhitetu in špekulativnem izvajanju

14. maja 2019 je Intel objavil informacije o novem podrazredu ranljivosti stranskega kanala zaradi špekulativnega izvajanja, ki se imenujejo mikroarhiktično vzorčenje podatkov. Te ranljivosti so obravnavane v naslednjih cvI-jih:

• CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

• CVE-2018-12126 | Vzorčenje medpomnilnika mikroarhiktalne shrambe (MSBDS)

• CVE-2018-12127 | Vzorčenje medpomnilnika mikroarhiktalnega polnila (MFBDS)

• CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)

Izdali smo posodobitve, ki pomagajo ublažiti te ranljivosti. Če želite pridobiti vso razpoložljivo zaščito, potrebujete posodobitve vdelane programske opreme (mikrokod) in programske opreme. To lahko vključuje mikrokod iz strojne opreme naprave. V nekaterih primerih bo namestitev teh posodobitev vplivala na učinkovitost delovanja. Prav tako smo se odzvali na varnost svojih storitev v oblaku. Toplo priporočamo, da uvedete te posodobitve.

Če želite več informacij o tej težavi, glejte spodnja navodila na podlagi varnostnega svetovanja in uporabe na podlagi scenarijev, da določite dejanja, potrebna za preprečevanje grožnje:

• ADV190013 | Microsoftova navodila za preprečevanje ranljivosti pri vzorčenju podatkov v microarchitectural

• Navodila sistema Windows za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja

6. avgusta 2019 je Intel izdal podrobnosti o ranljivosti zaradi razkritja informacij v jedru sistema Windows. Ta ranljivost je različica ranljivosti stranskega kanala Spectre Variant 1 zaradi špekulativnega izvajanja in je bila dodeljena CVE-2019-1125.

9. julija 2019 smo izdali varnostne posodobitve za operacijski sistem Windows, s katerimi smo to težavo odpravili. Prosimo, upoštevajte, da smo držali nazaj dokumentiranje te ublažitve javno do razkritja usklajene industrije v torek, 6. avgusta 2019.

Uporabniki, ki Windows Update omogočili in uporabili varnostne posodobitve, izdane 9. julija 2019, so samodejno zaščitene. Nadaljnje konfiguracije ni treba.

Če želite več informacij o tej ranljivosti in veljavnih posodobitvah, glejte Vodnik po Microsoftovih varnostnih posodobitvah:

• CVE-2019-1125 | Ranljivost razkritja informacij v sistemu Windows

12. novembra 2019 je Intel objavil tehnično svetovanje glede nesinhrone ranljivosti transakcijskih razširitev Intel Transactional Synchronization Extensions (Intel TSX), ki je bila dodeljena CVE-2019-11135. Izdali smo posodobitve, ki pomagajo ublažiti to ranljivost. Za izdaje operacijskega sistema za odjemalca sistema Windows so privzeto omogočene zaščite operacijskega sistema.

14. junija 2022 smo objavili ADV220002 | Microsoftova navodila za ranljivosti zastarelih podatkov procesorja Intel MMIO. Ranljivosti so dodeljene v naslednjih cvI-jih:

• CVE-2022-21123 | Branje medpomnilnika v skupni rabi (SBDR)

• CVE-2022-21125 | Vzorčenje podatkov v deljenem medpomnilniku (SBDS)

• CVE-2022-21127 | Posebna posodobitev vzorčenja podatkov v register medpomnilnika (posodobitev SRBDS)

• CVE-2022-21166 | Registracija naprave z delnim pisanjem (DRPW)

Priporočena dejanja

Za zaščito pred temi ranljivostmi morate narediti nekaj od tega:

1. Uporabite vse razpoložljive posodobitve operacijskega sistema Windows, vključno z mesečnimi varnostnimi posodobitvami sistema Windows.

2. Uporabite posodobitev vdelane programske opreme (mikrokod), ki jo zagotovi izdelovalec naprave.

3. Ocenite tveganje za okolje na podlagi informacij, ki so na voljo v microsoftovih varnostnih svetovalcih ADV180002, ADV180012, ADV190013 in ADV220002 terna podlagi informacij, ki so na voljo v tem članku.

4. Po potrebi ukrepajte s svetovalci in informacijami o registrskem ključu, ki so na voljo v tem članku.

12. julija 2022 smo objavili CVE-2022-23825 | AMD CPU Branch Type Confusion, ki opisuje, da lahko vzdevki v napovedorju veje povzročijo, da nekateri procesorji AMD predvidijo napačno vrsto veje. Ta težava lahko povzroči razkritje informacij.

Za zaščito pred to ranljivostjo priporočamo, da namestite posodobitve sistema Windows, ki so z datumom ali po juliju 2022, nato pa ukrepate, kot zahteva CVE-2022-23825, in informacije o registrskem ključu, navedene v tem članku zbirka znanja.

Če želite več informacij, glejte varnostni bilten AMD-SB-1037 .

8. avgusta 2023 smo objavili CVE-2023-20569 | AMD CPU Return Address Predictor (znan tudi kot Inception), ki opisuje novo špekulativni napad stranskega kanala, ki lahko povzroči špekulativno izvedbo na naslov, ki ga nadzira napadalec. Ta težava vpliva na določene procesorje AMD in lahko vodi do razkritja informacij.

Za zaščito pred to ranljivostjo priporočamo, da namestite posodobitve sistema Windows, ki so z datumom ali po avgustu 2023, nato pa ukrepate, kot zahteva CVE-2023-20569, in informacije o registrskem ključu, navedene v tem članku zbirka znanja.

Če želite več informacij, glejte varnostni bilten AMD-SB-7005 .

9. aprila 2024 smo objavili CVE-2022-0001 | Vbrizgavanje zgodovine veje Intel , ki opisuje injekcijo zgodovine veje (BHI), ki je posebna oblika BTI v načinu. Do te ranljivosti pride, ko lahko napadalec upravlja zgodovino vej pred prehodom iz načina nadzornika uporabnika v način nadzornika (ali iz načina brez korena VMX/gost v korenski način). Ta zloraba lahko povzroči, da napovednik posredne veje izbere določen vnos napovednika za posredno vejo, pripomoček za razkritje pri napovedanem cilju pa se prehodno izvede. To je morda mogoče, ker lahko ustrezna zgodovina vej vsebuje veje, ki so bile posnete v prejšnjih varnostnih kontekstih, in zlasti druge načine predvidevanja.

Zaščita med uporabniki in jedrnicami za CVE-2017-5715 je privzeto onemogočena za AMD in CPE ARM. Za ublažitev morate omogočiti dodatno zaščito za CVE-2017-5715. Če želite več informacij, glejte Pogosta vprašanja #15 v članku ADV180002 za procesorje AMD in pogosta vprašanja #20 v ADV180002 za procesorje ARM.

Zaščita uporabnika do jedra za CVE-2017-5715 je privzeto onemogočena za procesorje AMD. Stranke morajo omogočiti ublažitev posledic dodatne zaščite za CVE-2017-5715.  Če želite več informacij, glejte Pogosta vprašanja #15 v ADV180002.

Če želite omogočiti ublažitev posledic cve-2022-23825 v procesorjih AMD :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Zaradi popolnoma zaščite bodo stranke morda tudi morali onemogočiti Hyper-Threading (znano tudi kot hkratno večnitni niz (SMT)). Če želite KB4073757o zaščiti naprav s sistemom Windows, glejte Temo za zaščito naprav s sistemom Windows. 

Če želite omogočiti ublažitev posledic za CVE-2023-20569 v procesorjih AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Če želite omogočiti ublažitev posledic za CVE-2022-0001 v procesorjih Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Če želite podrobno razlago izhoda skripta ogrodja PowerShell, glejte KB4074629.

Mikrokod je dostavljena s posodobitvijo vdelane programske opreme. Pri svojem procesorju (naboru vezij) in izdelovalcih naprav preverite, ali so na voljo ustrezne varnostne posodobitve vdelane programske opreme za njihovo določeno napravo, vključno z navodili intels Microcode Revision Guidance.

Odpravljanje ranljivosti strojne opreme s posodobitvijo programske opreme predstavlja pomembne izzive. Poleg tega je treba za ublažitev posledic za starejše operacijske sisteme izvesti obsežne arhitekturne spremembe. S proizvajalci mikročir, na katere to vpliva, se trudimo določiti najboljši način za zagotavljanje ublažitev posledic, ki bodo morda na voljo v prihodnjih posodobitvah.

Posodobitve za naprave Microsoft Surface bodo strankam dostavljene prek Windows Update skupaj s posodobitvami za operacijski sistem Windows. Če si želite ogledati seznam posodobitev vdelane programske opreme (mikrokod) naprave Surface, ki so na voljo, glejte KB4073065.

Če vaša naprava ni Microsoftova, uporabite vdelano programsko opremo proizvajalca naprave. Če želite več informacij, se obrnite na proizvajalca strojne opreme.

V februarju in marcu 2018 je Microsoft izdal dodatno zaščito za nekatere sisteme, ki uporabljajo x86. Če želite več informacij , KB4073757 in Microsoftovo svetovalno središče za ADV180002.

Posodobitve za Windows 10 holoLens so strankam naprave HoloLens na voljo prek Windows Update.

Po uporabi februarski posodobitvi sistema Varnost sistema Windows 2018 uporabnikom naprave HoloLens ni treba izvesti nobenega dodatnega dejanja za posodobitev vdelane programske opreme naprave. Te ublažitve posledic bodo vključene tudi v vse prihodnje izdaje Windows 10 za HoloLens.

Ne. Samo varnostne posodobitve niso zbirne. Odvisno od različice operacijskega sistema, ki jo uporabljate, boste morali namestiti vse mesečne varnostne posodobitve, ki bodo zaščitene pred temi ranljivostmi. Če na primer uporabljate Windows 7 za 32-bitne sisteme v prizadetem procesorju Intel, morate namestiti vse samo varnostne posodobitve. Priporočamo, da te samo varnostne posodobitve namestite v vrstnem redu izdaje.

Opomba V prejšnji različici teh pogostih vprašanj je bilo nepravilno navedeno, da so v februarski samo varnostni posodobitvi vključeni varnostni popravki, izdani januarja. Pravzaprav ne.

Ne. Varnostna posodobitev 4078130 je bil poseben popravek za preprečevanje nepredvidljivega delovanja sistema, težav z učinkovitostjo delovanja in/ali nepričakovanih vnovičnih zagonov po namestitvi mikro kode. Uporaba februarski varnostnih posodobitev v odjemalskih operacijskih sistemih Windows omogoča vse tri ublažitve posledic.

Intel je pred kratkim napovedal, da so dokončali preverjanje veljavnosti in začeli izdajati mikrokod za novejše platforme CPE. Microsoft bo na voljo posodobitve mikro kode, preverjene s strani Intela, glede na Spectre Variant 2 (CVE-2017-5715 »Branch Target Injection«). KB4093836 članke iz zbirke znanja glede na različico sistema Windows. Vsak KB posebej vsebuje Intelove posodobitve mikro kode procesorja, ki so na voljo.

Ta težava je bila odpravljena v KB4093118.

AMD pred kratkim napovedal , da so začeli izdajati mikrokod za novejše platforme CPU okoli Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Če želite več informacij, glejte Pravilniki o varnosti AMD PosodobitveAMD Whitepaper: Smernice za arhitekturo za nadzor posredne podveje. Te so na voljo v kanalu vdelane programske opreme proizvajalca strojne opreme.

Intel bo posodobil mikrokod, preverjene s strani Intela, glede na Spectre Variant 2 (CVE-2017-5715 " Branch Target Injection "). Če želijo stranke najnovejše posodobitve mikro kode Intel prenesti prek sistema Windows Update, morajo imeti pred nadgradnjo na posodobitev sistema Windows 10 v aprilu 2018 (različica 1803) nameščeno Intelov mikrokod v naprave s sistemom Windows 10.

Posodobitev mikro kode je na voljo tudi neposredno iz Kataloga, če ni bila nameščena v napravi pred nadgradnjo operacijskega sistema. Mikrokod Intel je na voljo Windows Update, WSUS ali Katalog Microsoft Update. Če želite več informacij in navodila za prenos, glejte KB4100347.

Če želite več informacij, glejte te vire:

• ADV180012 | Microsoftova navodila za obhod špekulativnega shranjevanja za CVE-2018-3639

• ADV180013 | Microsoft Guidance for Rogue System Register Read for CVE-2018-3640 and KB4073065

• Microsoftov spletni dnevnik o raziskavah in obrambi za varnost

• Navodila za razvijalce za obhod špekulativnega shranjevanja

Če želite več informacij, glejte razdelka »Priporočena dejanja« in »Pogosta vprašanja« v ADV180012 | Microsoftova navodila za obhod špekulativnega shranjevanja.

Za preverjanje stanja SSBD je bil skript ogrodja Get-SpeculationControlSettings PowerShell posodobljen tako, da zazna prizadete procesorje, stanje posodobitev operacijskega sistema SSBD in stanje mikro kode procesorja, če je na voljo. Če želite več informacij in če želite pridobiti skript ogrodja PowerShell, glejte KB4074629.

13. junija 2018 je bila objavljena dodatna ranljivost stranskega kanala, ki vključuje špekulativno izvajanje, znano kot obnovitev stanja Lazy FP, in dodeljena CVE-2018-3665. Za obnovitev FP pri lenih obnovitvi niso potrebne nastavitve konfiguracije (registra).

Če želite več informacij o tej ranljivosti in za priporočena dejanja, glejte varnostno svetovanje ADV180016 | Microsoftova navodila za obnovitev stanja lenih FP.

Trgovina BCBS (Bounds Check Bypass Store) je bila razkrita 10. julija 2018 in dodeljena cve-2018-3693. Priporočamo, da BCBS pripadajo istemu razredu ranljivosti kot obhod preverjanja mej (Različica 1). Trenutno ne vemo za noben primerek BCBS v naši programski opremi, vendar še naprej raziskujemo ta razred ranljivosti in bomo s partnerji panoge izdajali ublažitve posledic, kot je potrebno. Raziskovalce še naprej spodbujamo, da vse ustrezne ugotovitve predložijo v Microsoftov program nagrado stranskega kanala špekulativnega izvajanja, vključno z vsemi izkoriščevalimi primeri BCBS. Razvijalci programske opreme naj pregledajo navodila za razvijalce, ki so bila posodobljena za BCBS https://aka.ms/sescdevguide.

14. avgusta 2018 je bila napovedana terminalska napaka L1 (L1TF) in je bila dodeljena več cvEs. Te nove ranljivosti stranskega kanala zaradi špekulativnega izvajanja je mogoče uporabiti za branje vsebine pomnilnika prek zaupanja vredne meje in lahko, če so izkoriščane, privede do razkritja informacij. Napadalec lahko sproži ranljivosti prek več vektorjev, odvisno od konfiguriranega okolja. Funkcija L1TF vpliva na procesorje Intel® Core® in procesorje Intel® Xeon®.

Če želite več informacij o tej ranljivosti in podrobnem pogledu scenarijev, na katere to vpliva, vključno z Microsoftovim pristopom k omenjuje L1TF, glejte te vire:

• ADV180018 | Microsoftova navodila za ublažitev različice L1TF

• Security Advisory Security Research Blog

• Navodila za strežnik za napako terminala L1

Stranke, ki uporabljajo 64-bitne procesorje ARM, morajo pri proizvajalcu strojne opreme preveriti, ali podpira vdelano programsko opremo, saj zaščite operacijskega sistema ARM64, ki ublažijo CVE-2017-5715 | Ciljna injekcija veje (Spectre, Variant 2) mora veljati najnovejša posodobitev vdelane programske opreme proizvajalca strojne opreme.

Če želite več informacij, glejte naslednje varnostne svetovalce 

• Intel's Security Advisory

• ADV190013 | Microsoftova navodila za preprečevanje ranljivosti pri vzorčenju podatkov v microarchitectural

Če želite več informacij, glejte naslednje varnostne svetovalce

• Intel's Security Advisory

• ADV190013 | Microsoftova navodila za preprečevanje ranljivosti pri vzorčenju podatkov v microarchitectural

Nadaljnja navodila so na voljo v navodilih sistema Windows za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja

Glejte navodila v navodilih v sistemu Windows za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja

Navodila za Azure najdete v tem članku: Navodila za odpravljanje ranljivosti stranskega kanala zaradi špekulativnega izvajanja v storitvi Azure.  

Če želite več informacij o omogočanju funkcije Retpoline, glejte našo objavo v spletnem dnevniku: Omiliti Spectre različica 2 z Retpoline v sistemu Windows. 

Podrobnosti o tej ranljivosti najdete v Microsoftovem varnostnem priročniku: CVE-2019-1125 | Ranljivost razkritja informacij v sistemu Windows.

Ne zavedamo se nobene ranljivosti zaradi razkritja informacij, ki vpliva na infrastrukturo naših storitev v oblaku.

Takoj ko smo se zavedali te težave, smo se hitro odpravili in izdali posodobitev. Trdno verjamemo v tesna partnerstva z raziskovalci in industrijskimi partnerji, da bi izboljšali varnost strank, in do torka 6. avgusta niso objavili podrobnosti, ki so v skladu s usklajenimi praksami razkritja ranljivosti.

Nadaljnja navodila so na voljo v navodilih sistema Windows za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja.

Nadaljnja navodila so na voljo v navodilih sistema Windows za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja.

Dodatna navodila so na voljo v članku Navodila za onemogočanje zmožnosti Intelovih® razširitev za sinhronizacijo transakcij (Intel® TSX).

Za pomoč pri tehničnih podpori vam zagotavljamo podatke za stik tretjih oseb. Ti podatki za stik se lahko spremenijo brez obvestila. Ne zagotavljamo točnosti teh podatkov za stik tretjih oseb.