Ändra datum |
Avkriminalering av ändring |
---|---|
den 20 april 2023 |
|
den 8 augusti 2023 |
|
den 9 augusti 2023 |
|
9 april 2024 |
|
den 16 april 2024 |
|
Sammanfattning
Den här artikeln innehåller vägledning för en ny klass av silicon-baserade säkerhetsproblem med mikroarkectural och spekulativ exekvering som påverkar många moderna processorer och operativsystem. Detta omfattar Intel, AMD och ARM. Specifik information om dessa silicon-baserade sårbarheter finns i följande ADV(Security Advisories) och CVE (Common Vulnerabilities and Exposures):
-
ADV180002 | Vägledning för att minska spekulativ exekvering av sidokanalsrisker
-
ADV180012 | Microsoft-vägledning för Speculative Store Bypass
-
ADV180013 | Microsoft Guidance for Rogue System Register Read
-
ADV190013 | Microsoft-vägledning för att minska sårbarheter för mikroarchitectural datainsamling
-
ADV220002 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities
Viktigt!: Dessa problem påverkar även andra operativsystem, till exempel Android, Chrome, iOS och MacOS. Vi råder kunderna att söka vägledning från dessa leverantörer.
Vi har släppt flera uppdateringar för att minska dessa sårbarheter. Vi har också vidtagit åtgärder för att skydda våra molntjänster. Mer information finns i följande avsnitt.
Vi har ännu inte fått någon information som tyder på att dessa sårbarheter användes för att attackera kunder. Vi har ett nära samarbete med branschpartners som chiptillverkare, OEM-tillverkare för maskinvara och programleverantörer för att skydda kunder. För att få alla tillgängliga skydd krävs inbyggd programvara (mikrokod) och programuppdateringar. Detta omfattar mikrokod från OEM-tillverkare på enheten och i vissa fall uppdateringar av antivirusprogram.
Sårbarheter
I den här artikeln beskrivs följande sårbarheter för spekulativ körning:
Windows Update tillhandahåller också lösningar för Internet Explorer och Edge. Vi kommer att fortsätta att förbättra dessa lösningar mot denna klass av sårbarheter.
Mer information om den här säkerhetsklassen finns i
Den 14 maj 2019 publicerade Intel information om en ny underklass av säkerhetsrisker med spekulativ exekvering som kallas Microarchitectural Data Sampling och dokumenteras i ADV190013 | Microarchitectural Data Sampling. De har tilldelats följande cv:er:
-
CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)
-
CVE-2018-12127 | Microarchitectural Fill Buffer Data Sampling (MFBDS)
-
CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)
Viktigt!: Dessa problem påverkar andra system som Android, Chrome, iOS och MacOS. Vi råder kunderna att söka vägledning från dessa leverantörer.
Microsoft har släppt uppdateringar för att minska dessa sårbarheter. För att få alla tillgängliga skydd krävs inbyggd programvara (mikrokod) och programuppdateringar. Detta kan inkludera mikrokod från OEM-tillverkare på enheten. I vissa fall påverkas prestandan om du installerar de här uppdateringarna. Vi har också agerat för att skydda våra molntjänster. Vi rekommenderar starkt att du distribuerar dessa uppdateringar.
Mer information om det här problemet finns i följande säkerhetsmeddelande och använda scenariobaserad vägledning för att fastställa åtgärder som är nödvändiga för att minimera hotet:
-
ADV190013 | Microsoft-vägledning för att minska sårbarheter för mikroarchitectural datainsamling
-
Windows-vägledning för att skydda mot spekulativ exekvering sidokanalsrisker
Obs!: Vi rekommenderar att du installerar de senaste uppdateringarna från Windows Update innan du installerar mikrokoduppdateringar.
Den 6 augusti 2019 släppte Intel information om en säkerhetsrisk med information om Windows kernel. Den här säkerhetsrisken är en variant av Spectre, Variant 1-säkerhetsrisken för spekulativ exekvering och har tilldelats CVE-2019-1125.
Den 9 juli 2019 släppte vi säkerhetsuppdateringar för Windows-operativsystemet för att minimera problemet. Observera att vi höll tillbaka dokumentet om denna begränsning offentligt fram till det samordnade branschupplysningen tisdagen den 6 augusti 2019.
Kunder som har Windows Update aktiverat och har tillämpat säkerhetsuppdateringarna som släpptes 9 juli 2019 skyddas automatiskt. Ingen ytterligare konfiguration krävs.
Obs!: Den här säkerhetsrisken kräver ingen mikrokoduppdatering från enhetstillverkaren (OEM).
Mer information om den här säkerhetsrisken och tillämpliga uppdateringar finns i Microsoft Security Update Guide:
Den 12 november 2019 publicerade Intel en teknisk rådgivning kring säkerhetsrisken Intel® Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort som tilldelas CVE-2019-11135. Microsoft har släppt uppdateringar för att minska den här säkerhetsrisken och OS-skydden är aktiverade som standard för Windows Server 2019 men inaktiverade som standard för Windows Server 2016 och tidigare Windows Server-operativsystem.
Den 14 juni 2022 publicerade vi ADV220002 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities and assigned these CVEs:
Rekommenderade åtgärder
Du bör vidta följande åtgärder för att skydda dig mot sårbarheter:
-
Tillämpa alla tillgängliga uppdateringar av Windows-operativsystemet, inklusive de månatliga Windows-säkerhetsuppdateringarna.
-
Tillämpa tillämplig uppdatering av inbyggd programvara (mikrokod) som tillhandahålls av enhetstillverkaren.
-
Utvärdera risken för din miljö baserat på den information som finns i Microsofts säkerhetsrådgivare: ADV180002, ADV180012, ADV190013 och ADV220002, utöver informationen i den här kunskapsbas artikeln.
-
Vidta åtgärder enligt behov med hjälp av de råd och registernyckelinformation som finns i den här kunskapsbas artikeln.
Obs!: Surface-kunder får en mikrokoduppdatering via Windows Update. En lista över de senaste uppdateringarna för inbyggd programvara för Surface-enheter (mikrokod) finns i KB4073065.
Den 12 juli 2022 publicerade vi CVE-2022-23825 | FÖRVIRRING AV TYPEN AMD CPU Branch som beskriver att alias i grenförsägaren kan orsaka att vissa AMD-processorer förutsäger fel branchtyp. Det här problemet kan potentiellt leda till informationsläcka.
För att skydda mot den här säkerhetsrisken rekommenderar vi att du installerar Windows-uppdateringar från juli 2022 eller senare och sedan vidtar åtgärder enligt CVE-2022-23825 och registernyckelinformation som finns i den här kunskapsbas artikeln.
Mer information finns i säkerhetsbulletinen för AMD-SB-1037 .
Den 8 augusti 2023 publicerade vi CVE-2023-20569 | Avsändaradressförutsägare (kallas även start) som beskriver en ny spekulativ sidokanalattack som kan resultera i spekulativ körning på en adress som kontrolleras av en angripare. Det här problemet påverkar vissa AMD-processorer och kan potentiellt leda till informationsläcka.
För att skydda mot den här säkerhetsrisken rekommenderar vi att du installerar Windows-uppdateringar från augusti 2023 eller senare och sedan vidtar åtgärder enligt CVE-2023-20569 och registernyckelinformation som finns i den här kunskapsbas artikeln.
Mer information finns i säkerhetsbulletinen för AMD-SB-7005 .
Den 9 april 2024 publicerade vi CVE-2022-0001 | Intel Branch History Injection som beskriver Branch History Injection (BHI) som är en specifik form av BTI i intraläge. Den här säkerhetsrisken inträffar när en angripare kan manipulera grenhistoriken innan den övergår från användare till övervakarläge (eller från VMX-icke-rot/gäst till rotläge). Den här manipulationen kan leda till att en indirekt branchförutsägare väljer en specifik prediktorpost för en indirekt gren, och en informationsgadget vid det förväntade målet körs tillfälligt. Detta kan vara möjligt eftersom den relevanta grenhistoriken kan innehålla filialer som tagits i tidigare säkerhetskontexter, och i synnerhet andra prediktorlägen.
Åtgärdsinställningar för Windows Server och Azure Stack HCI
Säkerhetsrådgivare och cv:er ger information om den risk som dessa sårbarheter utgör. De hjälper dig också att identifiera säkerhetsbristerna och identifiera standardtillståndet för lösningar för Windows Server-system. I tabellen nedan sammanfattas kravet på CPU-mikrokod och standardstatus för lösningarna på Windows Server.
CVE |
Kräver cpu-mikrokod/inbyggd programvara? |
Standardstatus för åtgärd |
---|---|---|
Nej |
Aktiverad som standard (inget alternativ för att inaktivera) Mer information finns i ADV180002 |
|
Ja |
Inaktiverad som standard. Mer information och den här KB-artikeln för tillämpliga registernyckelinställningar finns i ADV180002. Observera "Retpoline" är aktiverat som standard för enheter som kör Windows 10 version 1809 och senare om Spectre Variant 2 (CVE-2017-5715) är aktiverat. För mer information om "Retpoline", följ Mitigating Spectre variant 2 med Retpoline på Windows blogginlägg. |
|
Nej |
Windows Server 2019, Windows Server 2022 och Azure Stack HCI: Aktiverat som standard. Windows Server 2016 och tidigare: Inaktiverad som standard.Mer information finns i ADV180002 . |
|
Intel: Ja AMD: Nej |
Inaktiverad som standard. Mer information och den här artikeln om tillämpliga registernyckelinställningar finns i ADV180012. |
|
Intel: Ja |
Windows Server 2019, Windows Server 2022 och Azure Stack HCI: Aktiverat som standard. Windows Server 2016 och tidigare: Inaktiverad som standard.Mer information och den här artikeln om tillämpliga registernyckelinställningar finns i ADV190013. |
|
Intel: Ja |
Windows Server 2019, Windows Server 2022 och Azure Stack HCI: Aktiverat som standard. Windows Server 2016 och tidigare: Inaktiverad som standard.Mer information och den här artikeln om tillämpliga registernyckelinställningar finns i ADV190013. |
|
Intel: Ja |
Windows Server 2019, Windows Server 2022 och Azure Stack HCI: Aktiverat som standard. Windows Server 2016 och tidigare: Inaktiverad som standard.Mer information och den här artikeln om tillämpliga registernyckelinställningar finns i ADV190013. |
|
Intel: Ja |
Windows Server 2019, Windows Server 2022 och Azure Stack HCI: Aktiverat som standard. Windows Server 2016 och tidigare: Inaktiverad som standard.Mer information och den här artikeln om tillämpliga registernyckelinställningar finns i ADV190013. |
|
Intel: Ja |
Windows Server 2019, Windows Server 2022 och Azure Stack HCI: Aktiverat som standard. Windows Server 2016 och tidigare: Inaktiverad som standard.Se CVE-2019-11135 för mer information och den här artikeln för tillämpliga registernyckelinställningar. |
|
CVE-2022-21123 (del av MMIO ADV220002) |
Intel: Ja |
Windows Server 2019, Windows Server 2022 och Azure Stack HCI: Aktiverat som standard. Windows Server 2016 och tidigare: Inaktiverad som standard.*Se CVE-2022-21123 för mer information och den här artikeln för tillämpliga registernyckelinställningar. |
CVE-2022-21125 (del av MMIO ADV220002) |
Intel: Ja |
Windows Server 2019, Windows Server 2022 och Azure Stack HCI: Aktiverat som standard. Windows Server 2016 och tidigare: Inaktiverad som standard.*Se CVE-2022-21125 för mer information och den här artikeln för tillämpliga registernyckelinställningar. |
CVE-2022-21127 (del av MMIO-ADV220002) |
Intel: Ja |
Windows Server 2019, Windows Server 2022 och Azure Stack HCI: Aktiverat som standard. Windows Server 2016 och tidigare: Inaktiverad som standard.*Se CVE-2022-21127 för mer information och den här artikeln för tillämpliga registernyckelinställningar. |
CVE-2022-21166 (del av MMIO ADV220002) |
Intel: Ja |
Windows Server 2019, Windows Server 2022 och Azure Stack HCI: Aktiverat som standard. Windows Server 2016 och tidigare: Inaktiverad som standard.*Se CVE-2022-21166 för mer information och den här artikeln för tillämpliga registernyckelinställningar. |
CVE-2022-23825 (sammanblandning av AMD CPU Branch-typ) |
AMD: Nej |
Se CVE-2022-23825 för mer information och den här artikeln för tillämpliga registernyckelinställningar. |
CVE-2023-20569 (AMD CPU Return Address Predictor) |
AMD: Ja |
Se CVE-2023-20569 för mer information och den här artikeln för tillämpliga registernyckelinställningar. |
Intel: Nej |
Inaktiverad som standard Se CVE-2022-0001 för mer information och den här artikeln för tillämpliga registernyckelinställningar. |
* Följ anvisningarna för att minska riskerna för Meltdown nedan.
Om du vill få alla tillgängliga skydd mot dessa sårbarheter måste du göra ändringar i registernyckeln för att aktivera de här lösningarna som är inaktiverade som standard.
Om du aktiverar de här lösningarna kan prestandan påverkas. Skalan för prestandaeffekterna beror på flera faktorer, till exempel den specifika kretsuppsättningen i din fysiska värd och de arbetsbelastningar som körs. Vi rekommenderar att du utvärderar prestandaeffekterna för din miljö och gör nödvändiga justeringar.
Servern löper större risk om den finns i någon av följande kategorier:
-
Hyper-V-värdar: Kräver skydd för attacker mellan virtuella datorer och virtuella datorer.
-
Värdar för fjärrskrivbordstjänster (RDSH): Kräver skydd från en session till en annan session eller från attacker från session till värd.
-
Fysiska värdar eller virtuella datorer som kör kod som inte är betrodd, till exempel behållare eller ej betrodda tillägg för databas, icke-betrott webbinnehåll eller arbetsbelastningar som kör kod som kommer från externa källor. Dessa kräver skydd mot icke-betrodda process-till-en annan-process eller icke-betrodda-process-till-kernel-attacker.
Använd följande registernyckelinställningar för att aktivera åtgärder på servern och starta om enheten för att ändringarna ska börja gälla.
Obs!: Som standard kan aktivering av åtgärder som är inaktiverade påverka prestandan. Den faktiska prestandaeffekten beror på flera faktorer, till exempel den specifika kretsuppsättningen på enheten och de arbetsbelastningar som körs.
Registerinställningar
Vi tillhandahåller följande registerinformation för att aktivera åtgärder som inte är aktiverade som standard, enligt beskrivningen i säkerhetsrådgivare och cv:er. Dessutom tillhandahåller vi registernyckelinställningar för användare som vill inaktivera de åtgärder som gäller för Windows-klienter.
VIKTIGT Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Om du ändrar registret på fel sätt kan det dock uppstå allvarliga problem. Se därför till att du följer de här stegen noggrant. Om du vill ha ytterligare skydd säkerhetskopierar du registret innan du ändrar det. Sedan kan du återställa registret om ett problem uppstår. Mer information om hur du säkerhetskopierar och återställer registret finns i följande artikel i Microsoft Knowledge Base:
KB322756 Säkerhetskopiera och återställa registret i Windows
VIKTIGTSom standard konfigureras Retpoline enligt följande om Spectre, Variant 2 mitigation (CVE-2017-5715) är aktiverat:
- Retpoline mitigation is enabled on Windows 10 version 1809 and later Windows versions.
- Retpoline mitigation is disabled on Windows Server 2019 and later Windows Server versions.
Mer information om konfigurationen av Retpoline finns i Begränsa riskerna för Spectre variant 2 med Retpoline i Windows.
|
Obs!: Inställningen FeatureSettingsOverrideMask till 3 är korrekt för både inställningarna "enable" och "disable". (Mer information om registernycklar finns i avsnittet Vanliga frågor och svar .)
Inaktivera Variant 2: (CVE-2017-5715 | Branch Target Injection) åtgärd: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starta om enheten för att ändringarna ska börja gälla. Så här aktiverar du Variant 2: (CVE-2017-5715 | Branch Target Injection) åtgärd: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starta om enheten för att ändringarna ska börja gälla. |
Som standard är skydd från användare till kernel för CVE-2017-5715 inaktiverat för AMD-PROCESSORer. Kunderna måste aktivera begränsningen för att få ytterligare skydd för CVE-2017-5715. Mer information finns i Vanliga frågor och svar #15 i ADV180002.
Aktivera skydd från användare till kernel på AMD-processorer tillsammans med andra skydd för CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Om Hyper-V-funktionen är installerad lägger du till följande registerinställning: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Om det här är en Hyper-V-värd och uppdateringarna av den inbyggda programvaran har tillämpats: Stäng av alla Virtual Machines helt. På så sätt kan den inbyggda programvaran tillämpas på värden innan de virtuella datorerna startas. Därför uppdateras även de virtuella datorerna när de startas om. Starta om enheten för att ändringarna ska börja gälla. |
För att möjliggöra lösningar för CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) och CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Om Hyper-V-funktionen är installerad lägger du till följande registerinställning: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Om det här är en Hyper-V-värd och uppdateringarna av den inbyggda programvaran har tillämpats: Stäng av alla Virtual Machines helt. På så sätt kan den inbyggda programvaran tillämpas på värden innan de virtuella datorerna startas. Därför uppdateras även de virtuella datorerna när de startas om. Starta om enheten för att ändringarna ska börja gälla. Inaktivera lösningar för CVE-2018-3639 (Speculative Store Bypass) OCH lösningar för CVE-2017-5715 (Spectre Variant 2) och CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starta om enheten för att ändringarna ska börja gälla. |
Som standard är skydd från användare till kernel för CVE-2017-5715 inaktiverat för AMD-processorer. Kunderna måste aktivera begränsningen för att få ytterligare skydd för CVE-2017-5715. Mer information finns i Vanliga frågor och svar #15 i ADV180002.
Aktivera skydd från användare till kernel på AMD-processorer tillsammans med andra skydd för CVE 2017-5715 och skydd för CVE-2018-3639 (Speculative Store Bypass): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Om Hyper-V-funktionen är installerad lägger du till följande registerinställning: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Om det här är en Hyper-V-värd och uppdateringarna av den inbyggda programvaran har tillämpats: Stäng av alla Virtual Machines helt. På så sätt kan den inbyggda programvaran tillämpas på värden innan de virtuella datorerna startas. Därför uppdateras även de virtuella datorerna när de startas om. Starta om enheten för att ändringarna ska börja gälla. |
Så här aktiverar du lösningar för säkerhetsrisken Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) och Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) tillsammans med Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] varianter, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 och CVE-2022-21166) inklusive Speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ] samt L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 och CVE-2018-3646] utan att inaktivera Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Om Hyper-V-funktionen är installerad lägger du till följande registerinställning: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Om det här är en Hyper-V-värd och uppdateringarna av den inbyggda programvaran har tillämpats: Stäng av alla Virtual Machines helt. På så sätt kan den inbyggda programvaran tillämpas på värden innan de virtuella datorerna startas. Därför uppdateras även de virtuella datorerna när de startas om. Starta om enheten för att ändringarna ska börja gälla. Så här aktiverar du lösningar för säkerhetsrisken Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) och Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) tillsammans med Spectre [CVE-2017-5753 & CVE-2017-5715] och Meltdown [CVE-2017-5754] varianter, inklusive Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] samt L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 och CVE-2018-3646] med Hyper-Threading inaktiverad: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Om Hyper-V-funktionen är installerad lägger du till följande registerinställning: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Om det här är en Hyper-V-värd och uppdateringarna av den inbyggda programvaran har tillämpats: Stäng av alla Virtual Machines helt. På så sätt kan den inbyggda programvaran tillämpas på värden innan de virtuella datorerna startas. Därför uppdateras även de virtuella datorerna när de startas om. Starta om enheten för att ändringarna ska börja gälla. Så här inaktiverar du säkerhetsproblem med Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) och Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) tillsammans med Spectre [CVE-2017-5753 & CVE-2017-5715] och Meltdown [CVE-2017-5754] varianter, inklusive Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] samt L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 och CVE-2018-3646]: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starta om enheten för att ändringarna ska börja gälla. |
Så här aktiverar du begränsningen för CVE-2022-23825 på AMD-processorer:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
För att vara helt skyddad kan kunderna också behöva inaktivera Hyper-Threading (kallas även samtidig multitrådning (SMT).) Mer information om hur du skyddar Windows-enheter finns i KB4073757.
Så här aktiverar du begränsningen för CVE-2023-20569 på AMD-processorer:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Så här aktiverar du begränsningen för CVE-2022-0001 på Intel-processorer:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Aktivera flera åtgärder
Om du vill aktivera flera åtgärder måste du lägga till det REG_DWORD värdet för varje åtgärd tillsammans.
Till exempel:
Åtgärd för säkerhetsproblem med transaktionssynkron abort, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) och L1 Terminal Fault (L1TF) med Hyper-Threading inaktiverat |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
OBS! 8264 (i decimal) = 0x2048 (i hex) Om du vill aktivera BHI tillsammans med andra befintliga inställningar måste du använda bitvis ELLER aktuellt värde med 8 388 608 (0x800000). 0x800000 ELLER 0x2048(8 264 i decimal) och det blir 8 396 872(0x802048). Samma med FeatureSettingsOverrideMask. |
|
Åtgärd för CVE-2022-0001 på Intel-processorer |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Kombinerad begränsning |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Åtgärd för säkerhetsproblem med transaktionssynkron abort, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) och L1 Terminal Fault (L1TF) med Hyper-Threading inaktiverat |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Åtgärd för CVE-2022-0001 på Intel-processorer |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Kombinerad begränsning |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Kontrollera att skydd är aktiverat
För att verifiera att skydd är aktiverade har vi publicerat ett PowerShell-skript som du kan köra på dina enheter. Installera och kör skriptet med någon av följande metoder.
Installera PowerShell-modulen: PS> Install-Module SpeculationControl Kör PowerShell-modulen för att kontrollera att skydd är aktiverade: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Installera PowerShell-modulen från Technet ScriptCenter:
Kör PowerShell-modulen för att kontrollera att skydd är aktiverade: Starta PowerShell och använd sedan föregående exempel för att kopiera och köra följande kommandon: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
En detaljerad beskrivning av utdata för PowerShell-skriptet finns i KB4074629 .
Vanliga frågor och svar
För att undvika att kundenheter påverkas negativt erbjöds inte Windows-säkerhetsuppdateringarna som släpptes i januari och februari 2018 för alla kunder. Mer information finns i KB407269 .
Mikrokoden levereras via en uppdatering av den inbyggda programvaran. Kontakta OEM-tillverkaren om versionen av den inbyggda programvaran som har rätt uppdatering för datorn.
Det finns flera variabler som påverkar prestanda, allt från systemversionen till arbetsbelastningarna som körs. För vissa system är prestandaeffekten försumbar. För andra kommer det att bli betydande.
Vi rekommenderar att du utvärderar prestandaeffekterna på dina system och gör justeringar efter behov.
Utöver de riktlinjer som finns i den här artikeln om virtuella datorer bör du kontakta tjänsteleverantören för att se till att de värdar som kör dina virtuella datorer är tillräckligt skyddade.Vägledning för att begränsa spekulativ exekvering av säkerhetsrisker med sidokanaler i Azure . Mer information om hur du använder Azure Update Management för att minimera problemet på virtuella gästdatorer finns i KB4077467.
För virtuella Windows Server-datorer som körs i Azure läser duUppdateringarna som släpptes för Windows Server-behållaravbildningar för Windows Server 2016 och Windows 10 version 1709 innehåller lösningar för den här uppsättningen sårbarheter. Ingen ytterligare konfiguration krävs.
Observera Du måste fortfarande se till att värden som dessa behållare körs på är konfigurerad för att aktivera lämpliga åtgärder.Nej, installationsordern spelar ingen roll.
Ja, du måste starta om efter uppdateringen av den inbyggda programvaran (mikrokod) och sedan igen efter systemuppdateringen.
Här är information om registernycklarna:
FeatureSettingsOverride representerar en bitmapp som åsidosätter standardinställningen och styr vilka åtgärder som ska inaktiveras. Bit 0 styr begränsningen som motsvarar CVE-2017-5715. Bit 1 styr begränsningen som motsvarar CVE-2017-5754. Bitarna är inställda på 0 för att aktivera begränsningen och till 1 för att inaktivera begränsningen.
FeatureSettingsOverrideMask representerar en bitmappsmask som används tillsammans med FeatureSettingsOverride. I det här fallet använder vi värdet 3 (representeras som 11 i det binära talsystemet eller siffersystemet med bas-2) för att ange de två första bitarna som motsvarar de tillgängliga lösningarna. Registernyckeln är inställd på 3 både för att aktivera eller inaktivera åtgärder.
MinVmVersionForCpuBasedMitigations är för Hyper-V-värdar. Den här registernyckeln definierar den lägsta vm-versionen som krävs för att du ska kunna använda de uppdaterade funktionerna för inbyggd programvara (CVE-2017-5715). Ange 1.0 för alla vm-versioner. Observera att det här registervärdet ignoreras (godartad) på icke-Hyper-V-värdar. Mer information finns i Skydda virtuella gästdatorer från CVE-2017-5715 (branch target injection).
Ja, det finns inga biverkningar om dessa registerinställningar tillämpas innan de januari 2018-relaterade korrigeringarna installeras.
Se en detaljerad beskrivning av skriptresultatet i KB4074629: Understanding SpeculationControl PowerShell script output .
Ja, för Windows Server 2016 Hyper-V-värdar som ännu inte har uppdateringen av den inbyggda programvaran har vi publicerat alternativ vägledning som kan hjälpa till att minimera den virtuella datorn till VM eller VM för att hantera attacker. Se Alternativa skydd för Windows Server 2016 Hyper-V-värdar mot spekulativ exekvering sidokanal säkerhetsproblem .
Endast säkerhetsuppdateringar är inte kumulativa. Beroende på vilken version av operativsystemet du har kan du behöva installera flera säkerhetsuppdateringar för fullständigt skydd. I allmänhet måste kunderna installera uppdateringarna för januari, februari, mars och april 2018. System som har AMD-processorer behöver en ytterligare uppdatering enligt följande tabell:
Operativsystemsversion |
Säkerhetsuppdatering |
Windows 8.1, Windows Server 2012 R2 |
KB4338815 – månatlig samlad uppdatering |
KB4338824 – endast säkerhet |
|
Windows 7 SP1, Windows Server 2008 R2 SP1 eller Windows Server 2008 R2 SP1 (Server Core-installation) |
KB4284826 – månatlig samlad uppdatering |
KB4284867 – endast säkerhet |
|
Windows Server 2008 SP2 |
KB4340583 – säkerhetsuppdatering |
Vi rekommenderar att du installerar endast säkerhetsuppdateringar i utgivningsordning.
Obs!: I en tidigare version av dessa vanliga frågor och svar angavs felaktigt att säkerhetsuppdateringen i februari innehöll säkerhetskorrigeringarna som släpptes i januari. Det gör det faktiskt inte.
Nej. Säkerhetsuppdatering KB4078130 var en specifik korrigering för att förhindra oförutsägbara systembeteenden, prestandaproblem och oväntade omstarter efter installationen av mikrokod. Genom att tillämpa säkerhetsuppdateringarna på Windows-klientoperativsystem kan du åtgärda alla tre lösningarna. På Windows Server-operativsystem måste du fortfarande aktivera lösningarna efter att du har testats korrekt. Mer information finns i KB4072698.
Det här problemet åtgärdades i KB4093118.
I februari 2018 meddelade Intel att de hade slutfört sina valideringar och började släppa mikrokod för nyare CPU-plattformar. Microsoft gör tillgängliga Intel-validerade mikrokoduppdateringar som rör Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 innehåller specifika kunskapsbas artiklar efter Windows-version. Varje specifik KB-artikel innehåller de tillgängliga Intel-mikrokoduppdateringarna per CPU.
Den 11 januari 2018 rapporterade Intel problem i nyligen släppt mikrokod som var tänkt att åtgärda Spectre variant 2 (CVE-2017-5715 | Branch Target Injection). Intel noterade särskilt att detta mikrokod kan orsaka "högre omstarter än väntat och annat oförutsägbart systembeteende" och att dessa scenarier kan orsaka "dataförlust eller skada." Vår erfarenhet är att systemets instabilitet kan orsaka dataförlust eller skadas under vissa omständigheter. Den 22 januari rekommenderade Intel kunderna att sluta distribuera den aktuella mikrokodversionen på berörda processorer medan Intel utför ytterligare tester på den uppdaterade lösningen. Vi förstår att Intel fortsätter att undersöka den potentiella effekten av den aktuella mikrokodversionen. Vi uppmuntrar kunderna att kontinuerligt granska sin vägledning för att informera om sina beslut.
Medan Intel testar, uppdaterar och distribuerar ny mikrokod gör vi en OOB-uppdatering (out-of-band) tillgänglig, KB4078130, som specifikt inaktiverar endast begränsningen mot CVE-2017-5715. I våra tester har den här uppdateringen hittats för att förhindra det beskrivna beteendet. En fullständig lista över enheter finns i riktlinjer för mikrokodsrevision från Intel. Den här uppdateringen omfattar Windows 7 Service Pack 1 (SP1), Windows 8.1 och alla versioner av Windows 10, både klient och server. Om du kör en enhet som påverkas kan den här uppdateringen tillämpas genom att ladda ned den från webbplatsen Microsoft Update Catalog. Tillämpningen av denna nyttolast inaktiverar specifikt begränsningen mot CVE-2017-5715.
Från och med nu finns det inga kända rapporter som indikerar att denna Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection) har använts för att attackera kunder. Vi rekommenderar att Windows-användare vid behov återaktivera begränsningen mot CVE-2017-5715 när Intel rapporterar att det här oförutsägbara systembeteendet har lösts för din enhet.
I februari 2018meddelade Intel att de har slutfört sina valideringar och börjat släppa mikrokod för nyare CPU-plattformar. Microsoft gör tillgängliga Intel-validerade mikrokoduppdateringar som är relaterade till Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 innehåller specifika kunskapsbas artiklar efter Windows-version. KBs-listan tillgängliga Intel-mikrokoduppdateringar efter CPU.
Mer information finns i AMD Security Uppdateringar och AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . Dessa är tillgängliga från OEM-kanalen för inbyggd programvara.
Vi gör tillgängliga Intel-validerade mikrokoduppdateringar som berör Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). För att få de senaste Intel-mikrokoduppdateringarna via Windows Update måste kunderna ha installerat Intel-mikrokod på enheter som kör ett Windows 10 operativsystem innan de uppgraderar till april 2018-uppdateringen för Windows 10 (version 1803).
Mikrokoduppdateringen är också tillgänglig direkt från Microsoft Update Catalog om den inte installerades på enheten innan du uppgraderade systemet. Intels mikrokod är tillgängligt via Windows Update, Windows Server Update Services (WSUS) eller Microsoft Update Catalog. Mer information och instruktioner för nedladdning finns i KB4100347.
Mer information finns i följande avsnitt:
Se avsnitten Rekommenderade åtgärder och Vanliga frågor och svar i ADV180012 | Microsoft Guidance for Speculative Store Bypass.
För att verifiera status för SSBD har PowerShell-skriptet Get-SpeculationControlSettings uppdaterats för att identifiera berörda processorer, status för uppdateringar av SSBD-operativsystemet och processormikrokodens tillstånd, om tillämpligt. Mer information och hur du hämtar PowerShell-skriptet finns i KB4074629.
Den 13 juni 2018 tillkännagavs ytterligare en säkerhetsrisk som innebär spekulativ exekvering i sidokanaler, kallad Lazy FP State Restore, och tilldelades CVE-2018-3665 . Mer information om den här säkerhetsrisken och rekommenderade åtgärder finns i ADV180016 | Microsoft Guidance for Lazy FP State Restore .
Obs! Det finns inga obligatoriska konfigurationsinställningar (register) för Lazy Restore FP Restore.
Bounds Check Bypass Store (BCBS) avslöjades den 10 juli 2018 och tilldelades CVE-2018-3693. Vi anser att BCBS tillhör samma klass av sårbarheter som Bounds Check Bypass (Variant 1). Vi känner för närvarande inte till några förekomster av BCBS i vår programvara. Vi fortsätter dock att undersöka denna sårbarhetsklass och kommer att arbeta med branschpartner för att släppa lösningar efter behov. Vi uppmuntrar forskare att skicka in alla relevanta resultat till Microsoft Speculative Execution Side Channel bounty-programmet, inklusive alla exploaterbara fall av BCBS. Programvaruutvecklare bör läsa utvecklarvägledningen som har uppdaterats för BCBS på C++ Developer Guidance for Speculative Execution Side Channels
Den 14 augusti 2018 tillkännagavs L1 Terminal Fault (L1TF) och tilldelades flera cv:er. Dessa nya säkerhetsrisker med spekulativ exekvering kan användas för att läsa minnesinnehållet över en betrodd gräns och, om det utnyttjas, kan det leda till att information avslöjas. Det finns flera vektorer med vilka en angripare kan utlösa säkerhetsriskerna, beroende på den konfigurerade miljön. L1TF påverkar Intel® Core-processorer® och Intel® Xeon-processorer®.
Mer information om den här sårbarheten och en detaljerad vy över berörda scenarier, inklusive Microsofts metod för att begränsa riskerna för L1TF, finns i följande resurser:
Anvisningarna för att inaktivera Hyper-Threading skiljer sig från OEM till OEM men är vanligtvis en del av BIOS- eller firmwarekonfigurationsverktygen.
Kunder som använder 64-bitars ARM-processorer bör kontakta enhets-OEM-tillverkaren för stöd för inbyggd programvara eftersom ARM64-operativsystemskydd som minskar CVE-2017-5715 | Branch target injection (Spectre, Variant 2) kräver att den senaste uppdateringen av inbyggd programvara från oem-tillverkare på enheten börjar gälla.
Mer information finns i följande säkerhetsrekommendationer
Ytterligare vägledning finns i Windows-vägledningen för att skydda mot spekulativ exekvering
Mer information finns i Windows-vägledningen för skydd mot spekulativ exekvering
Azure-vägledning finns i den här artikeln: Vägledning för att begränsa spekulativ exekvering i Azure.
Mer information om retpoline-aktivering finns i vårt blogginlägg: Mitigating Spectre variant 2 with Retpoline on Windows .
Mer information om den här säkerhetsrisken finns i Microsoft Security Guide: CVE-2019-1125 | Windows kernel informationsläcka sårbarhet.
Vi känner inte till några fall av den här säkerhetsrisken för informationsläcka som påverkar vår molntjänstinfrastruktur.
Så snart vi blev medvetna om det här problemet arbetade vi snabbt med att åtgärda det och släppa en uppdatering. Vi tror starkt på nära samarbeten med både forskare och branschpartners för att göra kunderna säkrare och publicerade inte detaljer förrän tisdagen den 6 augusti, i enlighet med samordnade metoder för avslöjande av sårbarheter.
Mer information finns i Windows-vägledningen för att skydda mot spekulativ exekvering i sidokanaler.
Mer information finns i Windows-vägledningen för att skydda mot spekulativ exekvering i sidokanaler.
Mer information finns i Vägledning för att inaktivera Intel Transactional Synchronization Extensions (Intel TSX).
Referenser
De produkter från tredje part som beskrivs i den här artikeln är tillverkade av företag som är oberoende av Microsoft. Vi försäkrar varken underförstådda eller andra garantier om dessa produkters prestanda eller tillförlitlighet.
Vi tillhandahåller kontaktinformation från tredje part som hjälper dig att hitta teknisk support. Denna kontaktinformation kan ändras utan föregående meddelande. Vi garanterar inte att denna kontaktinformation från tredje part är korrekt.