KB4073119: Windows-klientvägledning för IT-proffs för att skydda mot silicon-baserade säkerhetsproblem med mikroarchitectural och spekulativ exekvering

Den 14 maj 2019 publicerade Intel information om en ny underklass av säkerhetsrisker med spekulativ exekvering som kallas Microarchitectural Data Sampling. Dessa sårbarheter åtgärdas i följande cv:er:

• CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

• CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)

• CVE-2018-12127 | Microarchitectural Fill Buffer Data Sampling (MFBDS)

• CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)

Vi har släppt uppdateringar för att minska dessa sårbarheter. För att få alla tillgängliga skydd krävs inbyggd programvara (mikrokod) och programuppdateringar. Detta kan inkludera mikrokod från OEM-tillverkare på enheten. I vissa fall påverkas prestandan om du installerar de här uppdateringarna. Vi har också agerat för att skydda våra molntjänster. Vi rekommenderar starkt att du distribuerar dessa uppdateringar.

Mer information om det här problemet finns i följande säkerhetsmeddelande och använda scenariobaserad vägledning för att fastställa åtgärder som är nödvändiga för att minimera hotet:

• ADV190013 | Microsoft-vägledning för att minska sårbarheter för mikroarchitectural datainsamling

• Windows-vägledning för att skydda mot spekulativ exekvering sidokanalsrisker

Den 6 augusti 2019 släppte Intel information om en säkerhetsrisk med information om Windows kernel. Den här säkerhetsrisken är en variant av spectre variant 1-säkerhetsrisken för spekulativ exekvering och har tilldelats CVE-2019-1125.

Den 9 juli 2019 släppte vi säkerhetsuppdateringar för Windows-operativsystemet för att minimera problemet. Observera att vi höll tillbaka dokumentet om denna begränsning offentligt fram till det samordnade branschupplysningen tisdagen den 6 augusti 2019.

Kunder som har Windows Update aktiverat och har tillämpat säkerhetsuppdateringarna som släpptes 9 juli 2019 skyddas automatiskt. Ingen ytterligare konfiguration krävs.

Mer information om den här säkerhetsrisken och tillämpliga uppdateringar finns i Microsoft Security Update Guide:

• CVE-2019-1125 | Säkerhetsproblem med Informationsläcka i Windows kernel

Den 12 november 2019 publicerade Intel en teknisk rådgivning kring säkerhetsrisken Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort som tilldelas CVE-2019-11135. Vi har släppt uppdateringar för att minska den här säkerhetsrisken. Som standard är OS-skydd aktiverade för Windows-klientoperativsystem.

Den 14 juni 2022 publicerade vi ADV220002 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities. Säkerhetsriskerna tilldelas i följande cv:er:

• CVE-2022-21123 | Delad buffertdataläsning (SBDR)

• CVE-2022-21125 | Sampel av delad buffertdata (SBDS)

• CVE-2022-21127 | Särskild uppdatering för insamling av buffertdata i registret (SRBDS Update)

• CVE-2022-21166 | Device Register Partial Write (DRPW)

Rekommenderade åtgärder

Du bör vidta följande åtgärder för att skydda dig mot dessa sårbarheter:

1. Tillämpa alla tillgängliga uppdateringar av Windows-operativsystemet, inklusive de månatliga Windows-säkerhetsuppdateringarna.

2. Tillämpa tillämplig uppdatering av inbyggd programvara (mikrokod) som tillhandahålls av enhetstillverkaren.

3. Utvärdera risken för din miljö baserat på den information som finns i Microsofts säkerhetsrådgivare ADV180002, ADV180012, ADV190013 och ADV220002,utöver informationen i den här artikeln.

4. Vidta åtgärder som krävs med hjälp av de råd och registernyckelinformation som finns i den här artikeln.

Den 12 juli 2022 publicerade vi CVE-2022-23825 | FÖRVIRRING AV TYPEN AMD CPU Branch som beskriver att alias i grenförsägaren kan orsaka att vissa AMD-processorer förutsäger fel branchtyp. Det här problemet kan potentiellt leda till informationsläcka.

För att skydda mot den här säkerhetsrisken rekommenderar vi att du installerar Windows-uppdateringar från juli 2022 eller senare och sedan vidtar åtgärder enligt CVE-2022-23825 och registernyckelinformation som finns i den här kunskapsbas artikeln.

Mer information finns i säkerhetsbulletinen för AMD-SB-1037 .

Den 8 augusti 2023 publicerade vi CVE-2023-20569 | AMD CPU Return Address Predictor (kallas även Förfall) som beskriver en ny spekulativ sidokanalattack som kan resultera i spekulativ körning på en adress som kontrolleras av en angripare. Det här problemet påverkar vissa AMD-processorer och kan potentiellt leda till informationsläcka.

För att skydda mot den här säkerhetsrisken rekommenderar vi att du installerar Windows-uppdateringar från augusti 2023 eller senare och sedan vidtar åtgärder enligt CVE-2023-20569 och registernyckelinformation som finns i den här kunskapsbas artikeln.

Mer information finns i säkerhetsbulletinen för AMD-SB-7005 .

Den 9 april 2024 publicerade vi CVE-2022-0001 | Intel Branch History Injection som beskriver Branch History Injection (BHI) som är en specifik form av BTI i intraläge. Den här säkerhetsrisken inträffar när en angripare kan manipulera grenhistoriken innan den övergår från användare till övervakarläge (eller från VMX-icke-rot/gäst till rotläge). Den här manipulationen kan leda till att en indirekt branchförutsägare väljer en specifik prediktorpost för en indirekt gren, och en informationsgadget vid det förväntade målet körs tillfälligt. Detta kan vara möjligt eftersom den relevanta grenhistoriken kan innehålla filialer som tagits i tidigare säkerhetskontexter, och i synnerhet andra prediktorlägen.

Som standard är skydd från användare till kernel för CVE-2017-5715 inaktiverat för AMD- och ARM-PROCESSORer. Du måste aktivera begränsningen för att få ytterligare skydd för CVE-2017-5715. Mer information finns i Vanliga frågor och svar nr 15 i ADV180002 för AMD-processorer och Vanliga frågor och svar #20 i ADV180002 för ARM-processorer.

Som standard är skydd från användare till kernel för CVE-2017-5715 inaktiverat för AMD-processorer. Kunderna måste aktivera begränsningen för att få ytterligare skydd för CVE-2017-5715.  Mer information finns i Vanliga frågor och svar #15 i ADV180002.

Så här aktiverar du begränsningen för CVE-2022-23825 på AMD-processorer :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

För att vara helt skyddad kan kunderna också behöva inaktivera Hyper-Threading (kallas även samtidig multitrådning (SMT).) Mer information om hur du skyddar Windows-enheter finns i KB4073757. 

Så här aktiverar du begränsningen för CVE-2023-20569 på AMD-processorer:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Så här aktiverar du begränsningen för CVE-2022-0001 på Intel-processorer:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

En detaljerad beskrivning av utdata för PowerShell-skriptet finns i KB4074629.

Mikrokoden levereras via en uppdatering av den inbyggda programvaran. Kontrollera med din CPU (kretsuppsättning) och enhetstillverkare om tillgängligheten för tillämpliga säkerhetsuppdateringar för inbyggd programvara för deras specifika enhet, inklusive Intels Microcode Revision Guidance.

Att åtgärda en maskinvarurisk genom en programuppdatering innebär stora utmaningar. Åtgärder för äldre operativsystem kräver också omfattande arkitekturförändringar. Vi arbetar tillsammans med berörda kretstillverkare för att fastställa det bästa sättet att tillhandahålla lösningar, som kan levereras i framtida uppdateringar.

Uppdateringar för Microsoft Surface-enheter levereras till kunder via Windows Update tillsammans med uppdateringarna för Windows-operativsystemet. En lista över tillgängliga uppdateringar av inbyggd programvara för Surface-enheter (mikrokod) finns i KB4073065.

Om din enhet inte kommer från Microsoft använder du inbyggd programvara från enhetstillverkaren. Kontakta OEM-enhetstillverkaren om du vill ha mer information.

I februari och mars 2018 släppte Microsoft ytterligare skydd för vissa x86-baserade system. Mer information finns i KB4073757 och Microsoft Security Advisory ADV180002.

Uppdateringar till Windows 10 för HoloLens är tillgängliga för HoloLens-kunder via Windows Update.

Efter att ha installerat Windows-säkerhet-uppdateringen för februari 2018 behöver HoloLens-kunder inte vidta några ytterligare åtgärder för att uppdatera sin inbyggda programvara på enheten. Dessa lösningar kommer också att ingå i alla framtida versioner av Windows 10 för HoloLens.

Nej. Endast säkerhetsuppdateringar är inte kumulativa. Beroende på vilken version av operativsystemet du använder måste du installera varje månatlig endast säkerhetsrelaterad uppdatering för att skyddas mot dessa sårbarheter. Om du till exempel kör Windows 7 för 32-bitarssystem på en berörd Intel-processor måste du installera alla endast säkerhetsrelaterade uppdateringar. Vi rekommenderar att du installerar dessa endast säkerhetsrelaterade uppdateringar i utgivningsordningen.

Obs! I en tidigare version av dessa vanliga frågor och svar angavs felaktigt att februari månads säkerhetsrelaterade uppdatering innehöll säkerhetskorrigeringarna som släpptes i januari. Det gör det faktiskt inte.

Nej. Säkerhetsuppdatering 4078130 var en specifik korrigering för att förhindra oförutsägbara systembeteenden, prestandaproblem och/eller oväntade omstarter efter installationen av mikrokod. Genom att tillämpa säkerhetsuppdateringarna för februari på Windows-klientoperativsystem kan du åtgärda alla tre lösningarna.

Intel meddelade nyligen att de har slutfört sina valideringar och börjat släppa mikrokod för nyare CPU-plattformar. Microsoft gör tillgängliga Intel-validerade mikrokoduppdateringar kring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 listar specifika Knowledge Base-artiklar efter Windows-version. Varje specifik KB innehåller de tillgängliga Intel-mikrokoduppdateringarna efter CPU.

Det här problemet åtgärdades i KB4093118.

AMD meddelade nyligen att de har börjat släppa mikrokod för nyare CPU-plattformar runt Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Mer information finns i AMD Security Uppdateringar och AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Dessa är tillgängliga från OEM-kanalen för inbyggd programvara.

Vi gör tillgängliga Intel-validerade mikrokoduppdateringar kring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection "). För att få de senaste Intel-mikrokoduppdateringarna via Windows Update måste kunderna ha installerat Intel-mikrokod på enheter som kör ett Windows 10 operativsystem innan de uppgraderar till april 2018-uppdateringen för Windows 10 (version 1803).

Mikrokoduppdateringen finns även tillgänglig direkt från Catalog om den inte hade installerats på enheten innan operativsystemet uppgraderades. Intels mikrokod är tillgängligt via Windows Update, WSUS eller Microsoft Update Catalog. Mer information och instruktioner för nedladdning finns i KB4100347.

Mer information finns i följande avsnitt:

• ADV180012 | Microsoft Guidance for Speculative Store Bypass for CVE-2018-3639

• ADV180013 | Microsoft Guidance for Rogue System Register Read for CVE-2018-3640 and KB4073065

• Microsoft Security Research and Defense Blog

• Utvecklarvägledning för Speculative Store Bypass

Mer information finns i avsnitten Rekommenderade åtgärder och Vanliga frågor och svar i ADV180012 | Microsoft Guidance for Speculative Store Bypass.

För att verifiera status för SSBD uppdaterades Get-SpeculationControlSettings PowerShell-skriptet för att identifiera berörda processorer, status för uppdateringar av SSBD-operativsystemet och status för processormikrokoden, om tillämpligt. Mer information och hur du hämtar PowerShell-skriptet finns i KB4074629.

Den 13 juni 2018 tillkännagavs en ytterligare sårbarhet med spekulativ exekvering i sidokanaler, kallad Lazy FP State Restore, och tilldelades CVE-2018-3665. Inga konfigurationsinställningar (registerinställningar) krävs för Lazy Restore FP Restore.

Mer information om den här säkerhetsrisken och rekommenderade åtgärder finns i säkerhetsmeddelande ADV180016 | Microsofts vägledning för Lazy FP State Restore.

Bounds Check Bypass Store (BCBS) avslöjades den 10 juli 2018 och tilldelades CVE-2018-3693. Vi anser att BCBS tillhör samma klass av sårbarheter som Bounds Check Bypass (Variant 1). Vi är för närvarande inte medvetna om några fall av BCBS i vår programvara, men vi fortsätter att undersöka denna sårbarhetsklass och kommer att arbeta med branschpartner för att släppa lösningar efter behov. Vi fortsätter att uppmuntra forskare att skicka in relevanta resultat till Microsofts Speculative Execution Side Channel bounty-program, inklusive alla exploaterbara fall av BCBS. Programvaruutvecklare bör läsa utvecklarvägledningen som uppdaterades för BCBS vid https://aka.ms/sescdevguide.

Den 14 augusti 2018 tillkännagavs L1 Terminal Fault (L1TF) och tilldelades flera cv:er. Dessa nya säkerhetsrisker med spekulativ exekvering kan användas för att läsa innehållet i minnet över en betrodd gräns och, om det utnyttjas, kan leda till att information avslöjas. En angripare kan utlösa sårbarheter genom flera vektorer, beroende på den konfigurerade miljön. L1TF påverkar Intel® Core-processorer® och Intel® Xeon-processorer®.

Mer information om den här sårbarheten och en detaljerad vy över berörda scenarier, inklusive Microsofts metod för att begränsa riskerna för L1TF, finns i följande resurser:

• ADV180018 | Microsoft Guidance to mitigate L1TF variant

• Security Advisory Security Research Blog

• Servervägledning för L1-terminalfel

Kunder som använder 64-bitars ARM-processorer bör kontrollera med enhets-OEM-tillverkaren om stöd för inbyggd programvara eftersom ARM64-operativsystemskydd som minskar CVE-2017-5715 | Branch target injection (Spectre, Variant 2) kräver att den senaste uppdateringen av inbyggd programvara från oem-tillverkare på enheten börjar gälla.

Mer information finns i följande säkerhetsrekommendationer 

• Intels säkerhetsmeddelande

• ADV190013 | Microsoft-vägledning för att minska sårbarheter för mikroarchitectural datainsamling

Mer information finns i följande säkerhetsrekommendationer

• Intels säkerhetsmeddelande

• ADV190013 | Microsoft-vägledning för att minska sårbarheter för mikroarchitectural datainsamling

Ytterligare vägledning finns i Windows-vägledningen för att skydda mot spekulativ exekvering

Se anvisningarna i Windows-vägledningen för att skydda mot spekulativ exekvering

Azure-vägledning finns i den här artikeln: Vägledning för att begränsa spekulativ exekvering i Azure.  

Mer information om retpoline-aktivering finns i vårt blogginlägg: Mitigating Spectre variant 2 with Retpoline on Windows. 

Mer information om den här säkerhetsrisken finns i Microsoft Security Guide: CVE-2019-1125 | Windows kernel informationsläcka sårbarhet.

Vi känner inte till några fall av den här säkerhetsrisken för informationsläcka som påverkar vår molntjänstinfrastruktur.

Så snart vi blev medvetna om det här problemet arbetade vi snabbt med att åtgärda det och släppa en uppdatering. Vi tror starkt på nära samarbeten med både forskare och branschpartners för att göra kunderna säkrare och publicerade inte detaljer förrän tisdagen den 6 augusti, i enlighet med samordnade metoder för avslöjande av sårbarheter.

Mer information finns i Windows-vägledningen för att skydda mot spekulativ exekvering i sidokanaler.

Mer information finns i Windows-vägledningen för att skydda mot spekulativ exekvering i sidokanaler.

Mer information finns i Vägledning för att inaktivera Intel® Transactional Synchronization Extensions (Intel® TSX).

Vi tillhandahåller kontaktinformation från tredje part som hjälper dig att hitta teknisk support. Denna kontaktinformation kan ändras utan föregående meddelande. Vi garanterar inte att denna kontaktinformation från tredje part är korrekt.