Ändra datum |
Ändra beskrivning |
den 19 juli 2023 |
|
den 8 augusti 2023 |
|
den 9 augusti 2023 |
|
9 april 2024 |
|
den 16 april 2024 |
|
Sammanfattning
Den här artikeln innehåller vägledning för en ny klass av silicon-baserade säkerhetsproblem med mikroarkectural och spekulativ exekvering som påverkar många moderna processorer och operativsystem. Detta omfattar Intel, AMD och ARM. Specifik information om dessa silicon-baserade sårbarheter finns i följande ADV(Security Advisories) och CVE (Common Vulnerabilities and Exposures):
-
ADV180002 | Vägledning för att minska spekulativ exekvering av sidokanalsrisker
-
ADV180012 | Microsoft-vägledning för Speculative Store Bypass
-
ADV180013 | Microsoft Guidance for Rogue System Register Read
-
ADV190013 | Microsoft-vägledning för att minska sårbarheter för mikroarchitectural datainsamling
-
ADV220002 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities
Viktigt!: Det här problemet påverkar även andra operativsystem, till exempel Android, Chrome, iOS och macOS. Därför rekommenderar vi kunderna att söka vägledning från dessa leverantörer.
Vi har släppt flera uppdateringar för att minska dessa sårbarheter. Vi har också vidtagit åtgärder för att skydda våra molntjänster. Mer information finns i följande avsnitt.
Vi har ännu inte fått någon information som tyder på att dessa sårbarheter användes för att attackera kunder. Vi har ett nära samarbete med branschpartners som chiptillverkare, OEM-tillverkare för maskinvara och programleverantörer för att skydda kunder. För att få alla tillgängliga skydd krävs inbyggd programvara (mikrokod) och programuppdateringar. Detta omfattar mikrokod från OEM-tillverkare på enheten och i vissa fall uppdateringar av antivirusprogram.
I den här artikeln beskrivs följande sårbarheter:
Windows Update tillhandahåller också lösningar för Internet Explorer och Edge. Vi kommer att fortsätta att förbättra dessa lösningar mot denna klass av sårbarheter.
Mer information om den här säkerhetsklassen finns i följande avsnitt:
Sårbarheter
Den 14 maj 2019 publicerade Intel information om en ny underklass av säkerhetsrisker med spekulativ exekvering som kallas Microarchitectural Data Sampling. Dessa sårbarheter åtgärdas i följande cv:er:
-
CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)
-
CVE-2018-12127 | Microarchitectural Fill Buffer Data Sampling (MFBDS)
-
CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)
Viktigt!: Dessa problem påverkar andra operativsystem, till exempel Android, Chrome, iOS och MacOS. Vi rekommenderar att du söker vägledning från dessa respektive leverantörer.
Vi har släppt uppdateringar för att minska dessa sårbarheter. För att få alla tillgängliga skydd krävs inbyggd programvara (mikrokod) och programuppdateringar. Detta kan inkludera mikrokod från OEM-tillverkare på enheten. I vissa fall påverkas prestandan om du installerar de här uppdateringarna. Vi har också agerat för att skydda våra molntjänster. Vi rekommenderar starkt att du distribuerar dessa uppdateringar.
Mer information om det här problemet finns i följande säkerhetsmeddelande och använda scenariobaserad vägledning för att fastställa åtgärder som är nödvändiga för att minimera hotet:
-
ADV190013 | Microsoft-vägledning för att minska sårbarheter för mikroarchitectural datainsamling
-
Windows-vägledning för att skydda mot spekulativ exekvering sidokanalsrisker
Obs!: Vi rekommenderar att du installerar de senaste uppdateringarna från Windows Update innan du installerar mikrokoduppdateringar.
Den 6 augusti 2019 släppte Intel information om en säkerhetsrisk med information om Windows kernel. Den här säkerhetsrisken är en variant av spectre variant 1-säkerhetsrisken för spekulativ exekvering och har tilldelats CVE-2019-1125.
Den 9 juli 2019 släppte vi säkerhetsuppdateringar för Windows-operativsystemet för att minimera problemet. Observera att vi höll tillbaka dokumentet om denna begränsning offentligt fram till det samordnade branschupplysningen tisdagen den 6 augusti 2019.
Kunder som har Windows Update aktiverat och har tillämpat säkerhetsuppdateringarna som släpptes 9 juli 2019 skyddas automatiskt. Ingen ytterligare konfiguration krävs.
Obs!: Den här säkerhetsrisken kräver ingen mikrokoduppdatering från enhetstillverkaren (OEM).
Mer information om den här säkerhetsrisken och tillämpliga uppdateringar finns i Microsoft Security Update Guide:
Den 12 november 2019 publicerade Intel en teknisk rådgivning kring säkerhetsrisken Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort som tilldelas CVE-2019-11135. Vi har släppt uppdateringar för att minska den här säkerhetsrisken. Som standard är OS-skydd aktiverade för Windows-klientoperativsystem.
Den 14 juni 2022 publicerade vi ADV220002 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities. Säkerhetsriskerna tilldelas i följande cv:er:
Rekommenderade åtgärder
Du bör vidta följande åtgärder för att skydda dig mot dessa sårbarheter:
-
Tillämpa alla tillgängliga uppdateringar av Windows-operativsystemet, inklusive de månatliga Windows-säkerhetsuppdateringarna.
-
Tillämpa tillämplig uppdatering av inbyggd programvara (mikrokod) som tillhandahålls av enhetstillverkaren.
-
Utvärdera risken för din miljö baserat på den information som finns i Microsofts säkerhetsrådgivare ADV180002, ADV180012, ADV190013 och ADV220002,utöver informationen i den här artikeln.
-
Vidta åtgärder som krävs med hjälp av de råd och registernyckelinformation som finns i den här artikeln.
Obs!: Surface-kunder får en mikrokoduppdatering via Windows Update. En lista över de senaste uppdateringarna för inbyggd programvara för Surface-enheter (mikrokod) finns i KB4073065.
Den 12 juli 2022 publicerade vi CVE-2022-23825 | FÖRVIRRING AV TYPEN AMD CPU Branch som beskriver att alias i grenförsägaren kan orsaka att vissa AMD-processorer förutsäger fel branchtyp. Det här problemet kan potentiellt leda till informationsläcka.
För att skydda mot den här säkerhetsrisken rekommenderar vi att du installerar Windows-uppdateringar från juli 2022 eller senare och sedan vidtar åtgärder enligt CVE-2022-23825 och registernyckelinformation som finns i den här kunskapsbas artikeln.
Mer information finns i säkerhetsbulletinen för AMD-SB-1037 .
Den 8 augusti 2023 publicerade vi CVE-2023-20569 | AMD CPU Return Address Predictor (kallas även Förfall) som beskriver en ny spekulativ sidokanalattack som kan resultera i spekulativ körning på en adress som kontrolleras av en angripare. Det här problemet påverkar vissa AMD-processorer och kan potentiellt leda till informationsläcka.
För att skydda mot den här säkerhetsrisken rekommenderar vi att du installerar Windows-uppdateringar från augusti 2023 eller senare och sedan vidtar åtgärder enligt CVE-2023-20569 och registernyckelinformation som finns i den här kunskapsbas artikeln.
Mer information finns i säkerhetsbulletinen för AMD-SB-7005 .
Den 9 april 2024 publicerade vi CVE-2022-0001 | Intel Branch History Injection som beskriver Branch History Injection (BHI) som är en specifik form av BTI i intraläge. Den här säkerhetsrisken inträffar när en angripare kan manipulera grenhistoriken innan den övergår från användare till övervakarläge (eller från VMX-icke-rot/gäst till rotläge). Den här manipulationen kan leda till att en indirekt branchförutsägare väljer en specifik prediktorpost för en indirekt gren, och en informationsgadget vid det förväntade målet körs tillfälligt. Detta kan vara möjligt eftersom den relevanta grenhistoriken kan innehålla filialer som tagits i tidigare säkerhetskontexter, och i synnerhet andra prediktorlägen.
Åtgärdsinställningar för Windows-klienter
Säkerhetsrådgivare (ADV) och CVE tillhandahåller information om den risk som dessa sårbarheter utgör och hur de hjälper dig att identifiera standardtillståndet för lösningar för Windows-klientsystem. I följande tabell sammanfattas kravet på CPU-mikrokod och standardstatus för åtgärder på Windows-klienter.
CVE |
Kräver cpu-mikrokod/inbyggd programvara? |
Standardstatus för åtgärd |
---|---|---|
CVE-2017-5753 |
Nej |
Aktiverad som standard (inget alternativ för att inaktivera) Mer information finns i ADV180002 . |
CVE-2017-5715 |
Ja |
Aktiverad som standard. Användare av system baserade på AMD-processorer bör se Vanliga frågor och svar #15 och användare av ARM-processorer bör se Vanliga frågor och svar #20 på ADV180002 för ytterligare åtgärder och den här KB-artikeln för tillämpliga registernyckelinställningar. Obs! Som standard är Retpoline aktiverat för enheter som kör Windows 10, version 1809 eller senare om Spectre Variant 2 (CVE-2017-5715) är aktiverat. Om du vill ha mer information om Retpoline följer du anvisningarna i blogginlägget Mitigating Spectre variant 2 with Retpoline på Windows . |
CVE-2017-5754 |
Nej |
Aktiverad som standard Mer information finns i ADV180002 . |
CVE-2018-3639 |
Intel: Ja AMD: Nej ARM: Ja |
Intel och AMD: Inaktiverad som standard. Se ADV180012 för mer information och den här KB-artikeln för tillämpliga registernyckelinställningar. ARM: Aktiverad som standard utan alternativ för att inaktivera. |
CVE-2019-11091 |
Intel: Ja |
Aktiverad som standard. Se ADV190013 för mer information och den här artikeln för tillämpliga registernyckelinställningar. |
CVE-2018-12126 |
Intel: Ja |
Aktiverad som standard. Se ADV190013 för mer information och den här artikeln för tillämpliga registernyckelinställningar. |
CVE-2018-12127 |
Intel: Ja |
Aktiverad som standard. Se ADV190013 för mer information och den här artikeln för tillämpliga registernyckelinställningar. |
CVE-2018-12130 |
Intel: Ja |
Aktiverad som standard. Se ADV190013 för mer information och den här artikeln för tillämpliga registernyckelinställningar. |
CVE-2019-11135 |
Intel: Ja |
Aktiverad som standard. Se CVE-2019-11135 för mer information och den här artikeln för tillämpliga registernyckelinställningar. |
CVE-2022-21123 (del av MMIO ADV220002) |
Intel: Ja |
Windows 10 version 1809 och senare: Aktiverad som standard. Windows 10 version 1607 och tidigare: Inaktiverad som standard.Se CVE-2022-21123 för mer information och den här artikeln för tillämpliga registernyckelinställningar. |
CVE-2022-21125 (del av MMIO ADV220002) |
Intel: Ja |
Windows 10 version 1809 och senare: Aktiverad som standard. Windows 10 version 1607 och tidigare: Inaktiverad som standard.Mer information finns i CVE-2022-21125 . |
CVE-2022-21127 (del av MMIO ADV220002) |
Intel: Ja |
Windows 10 version 1809 och senare: Aktiverad som standard. Windows 10 version 1607 och tidigare: Inaktiverad som standard.Mer information finns i CVE-2022-21127 . |
CVE-2022-21166 (del av MMIO ADV220002) |
Intel: Ja |
Windows 10 version 1809 och senare: Aktiverad som standard. Windows 10 version 1607 och tidigare: Inaktiverad som standard.Mer information finns i CVE-2022-21166 . |
CVE-2022-23825 (sammanblandning av AMD CPU Branch-typ) |
AMD: Nej |
Se CVE-2022-23825 för mer information och den här artikeln för tillämpliga registernyckelinställningar. |
CVE-2023-20569 (AMD CPU Return Address Predictor) |
AMD: Ja |
Se CVE-2023-20569 för mer information och den här artikeln för tillämpliga registernyckelinställningar. |
Intel: Nej |
Inaktiverad som standard. Se CVE-2022-0001 för mer information och den här artikeln för tillämpliga registernyckelinställningar. |
Obs!: Som standard kan aktivering av åtgärder som är inaktiverade påverka enhetens prestanda. Den faktiska prestandaeffekten beror på flera faktorer, till exempel den specifika kretsuppsättningen på enheten och de arbetsbelastningar som körs.
Registerinställningar
Vi tillhandahåller följande registerinformation för att aktivera åtgärder som inte är aktiverade som standard, enligt beskrivningen i Säkerhetsrådgivare och CV:er. Dessutom tillhandahåller vi registernyckelinställningar för användare som vill inaktivera de åtgärder som gäller för Windows-klienter.
Viktigt!: Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Allvarliga problem kan dock uppstå om du ändrar registret på fel sätt. Se därför till att du följer de här stegen noggrant. Om du vill ha ytterligare skydd säkerhetskopierar du registret innan du ändrar det. Sedan kan du återställa registret om ett problem uppstår. Mer information om hur du säkerhetskopierar och återställer registret finns i följande artikel i Microsoft Knowledge Base:322756 Så här säkerhetskopierar och återställer du registret i Windows
Viktigt!: Retpoline är aktiverat som standard på Windows 10 version 1809 enheter om Spectre, Variant 2 (CVE-2017-5715) är aktiverat. Om du aktiverar Retpoline i den senaste versionen av Windows 10 kan prestanda förbättras på enheter som kör Windows 10 version 1809 för Spectre variant 2, särskilt på äldre processorer.
Så här aktiverar du standardåtgärder för CVE-2017-5715 (Spectre Variant 2) och CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starta om enheten för att ändringarna ska börja gälla. Inaktivera lösningar för CVE-2017-5715 (Spectre Variant 2) och CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starta om enheten för att ändringarna ska börja gälla. |
Obs!: Värdet 3 är korrekt för FeatureSettingsOverrideMask för både inställningarna "enable" och "disable". (Mer information om registernycklar finns i avsnittet Vanliga frågor och svar.)
Så här inaktiverar du åtgärder för CVE-2017-5715 (Spectre Variant 2) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starta om enheten för att ändringarna ska börja gälla. Så här aktiverar du standardåtgärder för CVE-2017-5715 (Spectre Variant 2) och CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starta om enheten för att ändringarna ska börja gälla. |
Som standard är skydd från användare till kernel för CVE-2017-5715 inaktiverat för AMD- och ARM-PROCESSORer. Du måste aktivera begränsningen för att få ytterligare skydd för CVE-2017-5715. Mer information finns i Vanliga frågor och svar nr 15 i ADV180002 för AMD-processorer och Vanliga frågor och svar #20 i ADV180002 för ARM-processorer.
Aktivera skydd från användare till kernel på AMD- och ARM-processorer tillsammans med andra skydd för CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starta om enheten för att ändringarna ska börja gälla. |
För att möjliggöra lösningar för CVE-2018-3639 (Speculative Store Bypass), standardåtgärder för CVE-2017-5715 (Spectre Variant 2) och CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starta om enheten för att ändringarna ska börja gälla. Obs! AMD-processorer är inte sårbara för CVE-2017-5754 (Meltdown). Registernyckeln används i system med AMD-processorer för att aktivera standardåtgärder för CVE-2017-5715 på AMD-processorer och begränsningen för CVE-2018-3639. Inaktivera lösningar för CVE-2018-3639 (Speculative Store Bypass) *och* lösningar för CVE-2017-5715 (Spectre Variant 2) och CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starta om enheten för att ändringarna ska börja gälla. |
Som standard är skydd från användare till kernel för CVE-2017-5715 inaktiverat för AMD-processorer. Kunderna måste aktivera begränsningen för att få ytterligare skydd för CVE-2017-5715. Mer information finns i Vanliga frågor och svar #15 i ADV180002.
Aktivera skydd från användare till kernel på AMD-processorer tillsammans med andra skydd för CVE 2017-5715 och skydd för CVE-2018-3639 (Speculative Store Bypass): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starta om enheten för att ändringarna ska börja gälla. |
Så här aktiverar du lösningar för säkerhetsrisken Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) och Microarchitectural Data Sampling ( CVE-20 19-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) tillsammans med Spectre (CVE-2017-5753 & CVE-2017-5715) och Meltdown (CVE-2017-5754) varianter, inklusive Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) samt L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 och CVE-2018-3646) utan att inaktivera Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Om Hyper-V-funktionen är installerad lägger du till följande registerinställning: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Om det här är en Hyper-V-värd och uppdateringarna av den inbyggda programvaran har tillämpats: Stäng av alla Virtual Machines helt. På så sätt kan den inbyggda programvaran tillämpas på värden innan de virtuella datorerna startas. Därför uppdateras även de virtuella datorerna när de startas om. Starta om enheten för att ändringarna ska börja gälla. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) med Hyper-Threading inaktiverad: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Om Hyper-V-funktionen är installerad lägger du till följande registerinställning: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Om det här är en Hyper-V-värd och uppdateringarna av den inbyggda programvaran har tillämpats: Stäng av alla Virtual Machines helt. På så sätt kan den inbyggda programvaran tillämpas på värden innan de virtuella datorerna startas. Därför uppdateras även de virtuella datorerna när de startas om. Starta om enheten för att ändringarna ska börja gälla. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starta om enheten för att ändringarna ska börja gälla. |
Så här aktiverar du begränsningen för CVE-2022-23825 på AMD-processorer :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
För att vara helt skyddad kan kunderna också behöva inaktivera Hyper-Threading (kallas även samtidig multitrådning (SMT).) Mer information om hur du skyddar Windows-enheter finns i KB4073757.
Så här aktiverar du begränsningen för CVE-2023-20569 på AMD-processorer:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Så här aktiverar du begränsningen för CVE-2022-0001 på Intel-processorer:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Aktivera flera åtgärder
Om du vill aktivera flera åtgärder måste du lägga till det REG_DWORD värdet för varje åtgärd tillsammans.
Till exempel:
Åtgärd för säkerhetsproblem med transaktionssynkron abort, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) och L1 Terminal Fault (L1TF) med Hyper-Threading inaktiverat |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
OBS! 8264 (i decimal) = 0x2048 (i hex) Om du vill aktivera BHI tillsammans med andra befintliga inställningar måste du använda bitvis ELLER aktuellt värde med 8 388 608 (0x800000). 0x800000 ELLER 0x2048(8 264 i decimal) och det blir 8 396 872 (0x802048). Samma med FeatureSettingsOverrideMask. |
|
Åtgärd för CVE-2022-0001 på Intel-processorer |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Kombinerad begränsning |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Åtgärd för säkerhetsproblem med transaktionssynkron abort, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) och L1 Terminal Fault (L1TF) med Hyper-Threading inaktiverat |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Åtgärd för CVE-2022-0001 på Intel-processorer |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Kombinerad begränsning |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Kontrollera att skydd är aktiverat
För att verifiera att skydd är aktiverade har vi publicerat ett PowerShell-skript som du kan köra på dina enheter. Installera och kör skriptet med någon av följande metoder.
Installera PowerShell-modulen: PS> Install-Module SpeculationControl Kör PowerShell-modulen för att kontrollera att skydd är aktiverade: PS> # Spara den aktuella körningsprincipen så att den kan återställas PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Återställ körningsprincipen till det ursprungliga tillståndet PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Installera PowerShell-modulen från Technet ScriptCenter: Gå till https://aka.ms/SpeculationControlPS Ladda ned SpeculationControl.zip till en lokal mapp. Extrahera innehållet till en lokal mapp, till exempel C:\ADV180002 Kör PowerShell-modulen för att kontrollera att skydd är aktiverade: Starta PowerShell och kopiera sedan (med hjälp av föregående exempel) och kör följande kommandon: PS> # Spara den aktuella körningsprincipen så att den kan återställas PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Återställ körningsprincipen till det ursprungliga tillståndet PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
En detaljerad beskrivning av utdata för PowerShell-skriptet finns i KB4074629.
Vanliga frågor och svar
Mikrokoden levereras via en uppdatering av den inbyggda programvaran. Kontrollera med din CPU (kretsuppsättning) och enhetstillverkare om tillgängligheten för tillämpliga säkerhetsuppdateringar för inbyggd programvara för deras specifika enhet, inklusive Intels Microcode Revision Guidance.
Att åtgärda en maskinvarurisk genom en programuppdatering innebär stora utmaningar. Åtgärder för äldre operativsystem kräver också omfattande arkitekturförändringar. Vi arbetar tillsammans med berörda kretstillverkare för att fastställa det bästa sättet att tillhandahålla lösningar, som kan levereras i framtida uppdateringar.
Uppdateringar för Microsoft Surface-enheter levereras till kunder via Windows Update tillsammans med uppdateringarna för Windows-operativsystemet. En lista över tillgängliga uppdateringar av inbyggd programvara för Surface-enheter (mikrokod) finns i KB4073065.
Om din enhet inte kommer från Microsoft använder du inbyggd programvara från enhetstillverkaren. Kontakta OEM-enhetstillverkaren om du vill ha mer information.
I februari och mars 2018 släppte Microsoft ytterligare skydd för vissa x86-baserade system. Mer information finns i KB4073757 och Microsoft Security Advisory ADV180002.
Uppdateringar till Windows 10 för HoloLens är tillgängliga för HoloLens-kunder via Windows Update.
Efter att ha installerat Windows-säkerhet-uppdateringen för februari 2018 behöver HoloLens-kunder inte vidta några ytterligare åtgärder för att uppdatera sin inbyggda programvara på enheten. Dessa lösningar kommer också att ingå i alla framtida versioner av Windows 10 för HoloLens.
Nej. Endast säkerhetsuppdateringar är inte kumulativa. Beroende på vilken version av operativsystemet du använder måste du installera varje månatlig endast säkerhetsrelaterad uppdatering för att skyddas mot dessa sårbarheter. Om du till exempel kör Windows 7 för 32-bitarssystem på en berörd Intel-processor måste du installera alla endast säkerhetsrelaterade uppdateringar. Vi rekommenderar att du installerar dessa endast säkerhetsrelaterade uppdateringar i utgivningsordningen.
Obs! I en tidigare version av dessa vanliga frågor och svar angavs felaktigt att februari månads säkerhetsrelaterade uppdatering innehöll säkerhetskorrigeringarna som släpptes i januari. Det gör det faktiskt inte.
Nej. Säkerhetsuppdatering 4078130 var en specifik korrigering för att förhindra oförutsägbara systembeteenden, prestandaproblem och/eller oväntade omstarter efter installationen av mikrokod. Genom att tillämpa säkerhetsuppdateringarna för februari på Windows-klientoperativsystem kan du åtgärda alla tre lösningarna.
Intel meddelade nyligen att de har slutfört sina valideringar och börjat släppa mikrokod för nyare CPU-plattformar. Microsoft gör tillgängliga Intel-validerade mikrokoduppdateringar kring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 listar specifika Knowledge Base-artiklar efter Windows-version. Varje specifik KB innehåller de tillgängliga Intel-mikrokoduppdateringarna efter CPU.
Det här problemet åtgärdades i KB4093118.
AMD meddelade nyligen att de har börjat släppa mikrokod för nyare CPU-plattformar runt Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Mer information finns i AMD Security Uppdateringar och AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Dessa är tillgängliga från OEM-kanalen för inbyggd programvara.
Vi gör tillgängliga Intel-validerade mikrokoduppdateringar kring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection "). För att få de senaste Intel-mikrokoduppdateringarna via Windows Update måste kunderna ha installerat Intel-mikrokod på enheter som kör ett Windows 10 operativsystem innan de uppgraderar till april 2018-uppdateringen för Windows 10 (version 1803).
Mikrokoduppdateringen finns även tillgänglig direkt från Catalog om den inte hade installerats på enheten innan operativsystemet uppgraderades. Intels mikrokod är tillgängligt via Windows Update, WSUS eller Microsoft Update Catalog. Mer information och instruktioner för nedladdning finns i KB4100347.
Mer information finns i följande avsnitt:
Mer information finns i avsnitten Rekommenderade åtgärder och Vanliga frågor och svar i ADV180012 | Microsoft Guidance for Speculative Store Bypass.
För att verifiera status för SSBD uppdaterades Get-SpeculationControlSettings PowerShell-skriptet för att identifiera berörda processorer, status för uppdateringar av SSBD-operativsystemet och status för processormikrokoden, om tillämpligt. Mer information och hur du hämtar PowerShell-skriptet finns i KB4074629.
Den 13 juni 2018 tillkännagavs en ytterligare sårbarhet med spekulativ exekvering i sidokanaler, kallad Lazy FP State Restore, och tilldelades CVE-2018-3665. Inga konfigurationsinställningar (registerinställningar) krävs för Lazy Restore FP Restore.
Mer information om den här säkerhetsrisken och rekommenderade åtgärder finns i säkerhetsmeddelande ADV180016 | Microsofts vägledning för Lazy FP State Restore.
Obs!: Inga konfigurationsinställningar (registerinställningar) krävs för Lazy Restore FP Restore.
Bounds Check Bypass Store (BCBS) avslöjades den 10 juli 2018 och tilldelades CVE-2018-3693. Vi anser att BCBS tillhör samma klass av sårbarheter som Bounds Check Bypass (Variant 1). Vi är för närvarande inte medvetna om några fall av BCBS i vår programvara, men vi fortsätter att undersöka denna sårbarhetsklass och kommer att arbeta med branschpartner för att släppa lösningar efter behov. Vi fortsätter att uppmuntra forskare att skicka in relevanta resultat till Microsofts Speculative Execution Side Channel bounty-program, inklusive alla exploaterbara fall av BCBS. Programvaruutvecklare bör läsa utvecklarvägledningen som uppdaterades för BCBS vid https://aka.ms/sescdevguide.
Den 14 augusti 2018 tillkännagavs L1 Terminal Fault (L1TF) och tilldelades flera cv:er. Dessa nya säkerhetsrisker med spekulativ exekvering kan användas för att läsa innehållet i minnet över en betrodd gräns och, om det utnyttjas, kan leda till att information avslöjas. En angripare kan utlösa sårbarheter genom flera vektorer, beroende på den konfigurerade miljön. L1TF påverkar Intel® Core-processorer® och Intel® Xeon-processorer®.
Mer information om den här sårbarheten och en detaljerad vy över berörda scenarier, inklusive Microsofts metod för att begränsa riskerna för L1TF, finns i följande resurser:
Kunder som använder 64-bitars ARM-processorer bör kontrollera med enhets-OEM-tillverkaren om stöd för inbyggd programvara eftersom ARM64-operativsystemskydd som minskar CVE-2017-5715 | Branch target injection (Spectre, Variant 2) kräver att den senaste uppdateringen av inbyggd programvara från oem-tillverkare på enheten börjar gälla.
Mer information finns i följande säkerhetsrekommendationer
Mer information finns i följande säkerhetsrekommendationer
Ytterligare vägledning finns i Windows-vägledningen för att skydda mot spekulativ exekvering
Se anvisningarna i Windows-vägledningen för att skydda mot spekulativ exekvering
Azure-vägledning finns i den här artikeln: Vägledning för att begränsa spekulativ exekvering i Azure.
Mer information om retpoline-aktivering finns i vårt blogginlägg: Mitigating Spectre variant 2 with Retpoline on Windows.
Mer information om den här säkerhetsrisken finns i Microsoft Security Guide: CVE-2019-1125 | Windows kernel informationsläcka sårbarhet.
Vi känner inte till några fall av den här säkerhetsrisken för informationsläcka som påverkar vår molntjänstinfrastruktur.
Så snart vi blev medvetna om det här problemet arbetade vi snabbt med att åtgärda det och släppa en uppdatering. Vi tror starkt på nära samarbeten med både forskare och branschpartners för att göra kunderna säkrare och publicerade inte detaljer förrän tisdagen den 6 augusti, i enlighet med samordnade metoder för avslöjande av sårbarheter.
Mer information finns i Windows-vägledningen för att skydda mot spekulativ exekvering i sidokanaler.
Mer information finns i Windows-vägledningen för att skydda mot spekulativ exekvering i sidokanaler.
Mer information finns i Vägledning för att inaktivera Intel® Transactional Synchronization Extensions (Intel® TSX).
Referenser
Vi tillhandahåller kontaktinformation från tredje part som hjälper dig att hitta teknisk support. Denna kontaktinformation kan ändras utan föregående meddelande. Vi garanterar inte att denna kontaktinformation från tredje part är korrekt.