Змінити дату |
Змінити опис |
19 липня 2023 р. |
|
8 серпня 2023 р. |
|
9 серпня 2023 р. |
|
9 квітня 2024 р. |
|
16 квітня 2024 р. |
|
Зведення
У цій статті наведено рекомендації для нового класу мікроархітектурних і спекулятивних вразливостей стороннього каналу на основі процесорів і операційних систем на базі процесорів і спекулятивного виконання, які впливають на багато сучасних процесорів і операційних систем. До них належать Intel, AMD і ARM. Конкретні відомості про ці вразливості на базі кремнію можна знайти в таких ADVs (Security Advisories) і CVEs (Загальні вразливості та експозиції):
-
ADV180002 | Рекомендації щодо пом'якшення вразливостей стороннього каналу спекулятивного виконання
-
ADV180012 | Рекомендації Microsoft щодо спекулятивного обходу магазину
-
ADV180013 | Рекомендації Корпорації Майкрософт для ізгоїв системного реєстру читати
-
ADV180016 | Рекомендації Корпорації Майкрософт щодо відновлення стану ледача FP
-
ADV180018 | Рекомендації Microsoft щодо зменшення варіанту L1TF
-
ADV190013 | Рекомендації Microsoft щодо зменшення вразливостей вибірки мікроархітектурних даних
-
ADV220002 | Рекомендації Microsoft щодо вразливостей застарілих даних процесора Intel MMIO
Увага!: Ця проблема також виникає в інших операційних системах, таких як Android, Chrome, iOS і macOS. Тому радимо клієнтам звернутися за рекомендацією до цих постачальників.
Ми випустили кілька оновлень, які допоможуть зменшити ці вразливості. Ми також вжили заходів для захисту наших хмарних служб. Докладні відомості див. в наведених нижче розділах.
Ми ще не отримали жодної інформації, яка вказує на те, що ці вразливості використовувалися для атаки на клієнтів. Ми тісно співпрацюємо з галузевими партнерами, зокрема виробниками мікросхем, виробниками обладнання та постачальниками програм для захисту клієнтів. Для отримання всіх доступних засобів захисту потрібні мікропрограми (мікрокоманд) і оновлення програмного забезпечення. Це стосується мікрокоманд від постачальників оригінального обладнання пристрою та, в деяких випадках, оновлень антивірусного програмного забезпечення.
У цій статті вирішено такі вразливості:
Windows Update також забезпечать послаблення ризиків для Internet Explorer і Edge. Ми й надалі вдосконалюватимемо ці засоби послаблення ризиків проти цього класу вразливостей.
Щоб дізнатися більше про цей клас вразливостей, див. такі статті:
Вразливостей
14 травня 2019 року компанія Intel опублікувала інформацію про новий підклас вразливостей стороннього каналу спекулятивного виконання, відомого як Вибір мікроархітектурних даних. Ці вразливості усунуто в таких CVEs:
-
CvE-2019-11091 | Мікроархітектурні дані, які відбирають незайняту пам'ять (MDSUM)
-
CvE-2018-12126 | Вибір буферних даних сховища мікроархітектур (MSBDS)
-
CvE-2018-12127 | Вибір буферних даних мікроархітектурної заливки (MFBDS)
-
CvE-2018-12130 | Вибір даних портів завантаження мікроархітектури (MLPDS)
Увага!: Ці проблеми стосуватимуться інших операційних систем, як-от Android, Chrome, iOS і MacOS. Радимо звернутися за рекомендацією до відповідних постачальників.
Ми випустили оновлення, які допоможуть зменшити ці вразливості. Для отримання всіх доступних засобів захисту потрібні мікропрограми (мікрокоманд) і оновлення програмного забезпечення. Це може бути мікрокоманд від постачальників оригінального обладнання пристрою. Інсталювання цих оновлень у деяких випадках впливає на продуктивність. Ми також діяли для захисту наших хмарних служб. Ми наполегливо рекомендуємо розгортати ці оновлення.
Докладні відомості про цю проблему див. в наведених нижче рекомендаціях із безпеки та використанні вказівок на основі сценаріїв для визначення дій, необхідних для зменшення загрози.
-
ADV190013 | Рекомендації Microsoft щодо зменшення вразливостей вибірки мікроархітектурних даних
-
Рекомендації Для Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання
Примітка.: Перш ніж інсталювати оновлення мікрокоманд, радимо інсталювати всі останні оновлення з Windows Update.
6 серпня 2019 р. компанія Intel оприлюднила відомості про вразливість розкриття інформації ядра Windows. Ця вразливість є варіантом вразливості стороннього каналу спекулятивного виконання Spectre Variant 1 і призначена CVE-2019-1125.
9 липня 2019 року ми випустили оновлення системи безпеки для операційної системи Windows, які допоможуть зменшити цю проблему. Зверніть увагу, що ми стримували публічне документування цього послаблення ризиків до розкриття скоординованої галузі у вівторок, 6 серпня 2019 року.
Користувачі, які Windows Update ввімкнули та застосували оновлення системи безпеки, випущені 9 липня 2019 року, автоматично захищені. Додаткової конфігурації немає.
Примітка.: Ця вразливість не потребує оновлення мікрокоманд від виробника пристрою (OEM).
Докладні відомості про цю вразливість і відповідні оновлення див. в посібнику з оновлення системи безпеки Microsoft:
12 листопада 2019 року компанія Intel опублікувала технічну рекомендацію щодо уразливості асинхронної перервання транзакцій Intel Transactional Synchronization Extensions (Intel TSX), якій призначено CVE-2019-11135. Ми випустили оновлення, які допоможуть зменшити цю вразливість. За замовчуванням захист ОС увімкнуто для випусків ОС Windows Client.
14 червня 2022 року ми опублікували ADV220002 | Рекомендації Microsoft щодо вразливостей застарілих даних процесора Intel MMIO. Вразливості, призначені в таких CVEs:
-
CvE-2022-21127 | Оновлення вибірки спеціальних буферних даних реєстру (оновлення SRBDS)
-
CvE-2022-21166 | Часткове записування реєстрації пристрою (DRPW)
Рекомендовані дії
Щоб захиститися від цих вразливостей, слід виконати такі дії:
-
Застосувати всі доступні оновлення операційної системи Windows, зокрема щомісячні оновлення системи безпеки Windows.
-
Застосуйте відповідне оновлення мікропрограми (мікрокоманд), яке надає виробник пристрою.
-
Оцініть ризик для свого середовища на основі інформації, наданої в ADV180002, ADV180012, ADV190013 та ADV220002,а також на додачу до інформації, наведеної в цій статті.
-
Виконайте необхідні дії, використовуючи рекомендації та відомості розділу реєстру, наведені в цій статті.
Примітка.: Клієнти Surface отримають оновлення мікрокоманд через оновлення Windows. Список останніх оновлень мікропрограм пристрою Surface (мікрокоманд) див. в статті KB4073065.
12 липня 2022 року ми опублікували CVE-2022-23825 | Плутаність типу філіалу ЦП AMD, яка описує, що псевдоніми в предикторі гілок можуть призвести до того, що певні процесори AMD прогнозують неправильний тип гілки. Ця проблема потенційно може призвести до розголошення інформації.
Щоб захиститися від цієї вразливості, радимо інсталювати оновлення Windows, випущені в липні 2022 р. або пізніше, а потім вжити заходів відповідно до вимог CVE-2022-23825 і відомостей розділу реєстру, наведених у цій статті база знань.
Докладні відомості див. в бюлетені безпеки AMD-SB-1037 .
8 серпня 2023 року ми опублікували CVE-2023-20569 | Передбачник зворотної адреси ЦП AMD (також відомий як Inception), який описує нову спекулятивну атаку на канал стороннього каналу, яка може призвести до спекулятивного виконання на контрольованій зловмисником адресі. Ця проблема впливає на певні процесори AMD і потенційно може призвести до розголошення інформації.
Щоб захиститися від цієї вразливості, радимо інсталювати оновлення Windows, випущені в серпні 2023 р. або пізніше, а потім вжити заходів відповідно до вимог CVE-2023-20569 і відомостей розділу реєстру, наведених у цій статті база знань.
Докладні відомості див. в бюлетені безпеки AMD-SB-7005 .
9 квітня 2024 року ми опублікували CVE-2022-0001 | Ін'єкція Intel Branch History , яка описує ін'єкцію журналу гілки (BHI), яка є конкретною формою внутрішньо-режиму BTI. Ця вразливість виникає, коли зловмисник може керувати журналом гілок, перш ніж переходити від користувача до режиму нагляду (або з VMX некорений/гість до кореневого режиму). Ця маніпуляція може призвести до того, що предиктор непрямої гілки може вибрати певний запис предиктора для непрямої гілки, а міні-програма розкриття в прогнозованому цільовому об'єкті буде тимчасово виконана. Це може бути можливо, оскільки відповідна історія гілок може містити гілки, прийняті в попередніх контекстах безпеки, і, зокрема, інші режими предиктора.
Настройки послаблення ризиків для клієнтів Windows
Рекомендації з безпеки (ADVs) і CVEs надають інформацію про ризики, пов'язані з цими вразливостями, а також про те, як вони допомагають визначити стан послаблення ризиків за промовчанням для клієнтських систем Windows. У таблиці нижче наведено вимоги мікрокоманд ЦП та стан за промовчанням заходів послаблення ризиків у клієнтах Windows.
CVE (CVE) |
Потрібен мікрокоманд/мікропрограма ЦП? |
Стан послаблення ризиків за промовчанням |
---|---|---|
Докладніше про CTF див. |
Ні |
Увімкнуто за замовчуванням (вимкнути не можна) Додаткові відомості див. в ADV180002 . |
Докладніше про CTF див. |
Так |
Увімкнуто за замовчуванням. Користувачі систем на основі процесорів AMD мають переглянути запитання й відповіді #15, а користувачі процесорів ARM мають переглянути запитання й відповіді #20 на ADV180002 , щоб отримати додаткові дії та цю статтю бази знань для відповідних параметрів розділів реєстру. Нотатка За замовчуванням Retpoline увімкнуто для пристроїв, на яких запущено Windows 10 версії 1809 або новішої, якщо ввімкнуто Spectre Variant 2 (CVE-2017-5715). Щоб отримати додаткові відомості, навколо Retpoline, дотримуйтеся вказівок у розділі Зниження ризику Spectre варіант 2 з Retpoline у записі блоґу Windows. |
Докладніше про CTF див. |
Ні |
Увімкнуто за замовчуванням Додаткові відомості див. в ADV180002 . |
Докладніше про CTF див. |
Intel: Так AMD: Ні ARM: Так |
Intel та AMD: вимкнуто за замовчуванням. Докладні відомості та цю статтю бази знань див. в розділі ADV180012 для відповідних параметрів розділу реєстру. ARM: увімкнуто за замовчуванням без можливості вимкнення. |
Докладніше про CTF див. |
Intel: Так |
Увімкнуто за замовчуванням. Докладні відомості див. в ADV190013 та в цій статті, щоб дізнатися про відповідні параметри розділів реєстру. |
Докладніше про CTF див. |
Intel: Так |
Увімкнуто за замовчуванням. Докладні відомості див. в ADV190013 та в цій статті, щоб дізнатися про відповідні параметри розділів реєстру. |
Докладніше про CTF див. |
Intel: Так |
Увімкнуто за замовчуванням. Докладні відомості див. в ADV190013 та в цій статті, щоб дізнатися про відповідні параметри розділів реєстру. |
Докладніше про CTF див. |
Intel: Так |
Увімкнуто за замовчуванням. Докладні відомості див. в ADV190013 та в цій статті, щоб дізнатися про відповідні параметри розділів реєстру. |
Докладніше про CTF див. |
Intel: Так |
Увімкнуто за замовчуванням. Докладні відомості та відповідні параметри розділів реєстру див. в статті CVE-2019-11135. |
CVE-2022-21123 (частина MMIO ADV220002) |
Intel: Так |
Windows 10 версії 1809 і пізніших: увімкнуто за замовчуванням. Windows 10 версії 1607 і попередніх версіях: вимкнуто за замовчуванням.Докладні відомості та відповідні параметри розділів реєстру див. в статті CVE-2022-21123 . |
CVE-2022-21125 (частина MMIO ADV220002) |
Intel: Так |
Windows 10 версії 1809 і пізніших: увімкнуто за замовчуванням. Windows 10 версії 1607 і попередніх версіях: вимкнуто за замовчуванням.Докладні відомості див. в статті CVE-2022-21125 . |
CVE-2022-21127 (частина MMIO ADV220002) |
Intel: Так |
Windows 10 версії 1809 і пізніших: увімкнуто за замовчуванням. Windows 10 версії 1607 і попередніх версіях: вимкнуто за замовчуванням.Докладні відомості див. в статті CVE-2022-21127 . |
CVE-2022-21166 (частина MMIO ADV220002) |
Intel: Так |
Windows 10 версії 1809 і пізніших: увімкнуто за замовчуванням. Windows 10 версії 1607 і попередніх версіях: вимкнуто за замовчуванням.Докладні відомості див. в статті CVE-2022-21166 . |
CVE-2022-23825 (Плутаність типу філіалу ЦП AMD) |
AMD: Ні |
Докладні відомості та відповідні параметри розділів реєстру див. в статті CVE-2022-23825. |
Докладніше про CTF див. (Передбачати зворотну адресу ЦП AMD) |
AMD: Так |
Докладні відомості та відповідні параметри розділів реєстру див. в статті CVE-2023-20569 . |
Intel: Ні |
Вимкнуто за замовчуванням. Докладні відомості та цю статтю наведено в статті CVE-2022-0001 для відповідних параметрів розділів реєстру. |
Примітка.: За замовчуванням активація заходів послаблення ризиків, які вимкнуто, може вплинути на продуктивність пристрою. Фактичний ефект продуктивності залежить від кількох факторів, наприклад конкретного мікросхеми на пристрої та завантаженості, які виконуються.
Параметри реєстру
Ми надаємо наведені нижче відомості реєстру, щоб увімкнути засоби послаблення ризиків, які не ввімкнуто за замовчуванням, як описано в розділі Рекомендації з безпеки (ADVs) і CVEs. Крім того, ми надаємо параметри розділу реєстру для користувачів, які хочуть вимкнути зниження ризиків у разі застосування для клієнтів Windows.
Увага!: Цей розділ, метод або завдання містить кроки, які визначають, як змінити реєстр. Однак у разі внесення неправильних змін до реєстру можуть виникнути серйозні проблеми. Таким чином, переконайтеся, що виконайте ці кроки ретельно. Для додаткового захисту систуйте резервні копії реєстру, перш ніж змінювати його. Після цього ви можете відновити реєстр, якщо виникла проблема. Докладні відомості про резервне копіювання та відновлення реєстру див. в цій статті в базі знань Microsoft:322756 Резервне копіювання та відновлення реєстру у Windows
Увага!: За замовчуванням Retpoline увімкнуто на пристроях Windows 10 версії 1809, якщо ввімкнуто Spectre, варіант 2 (CVE-2017-5715). Увімкнення Retpoline на останній версії Windows 10 може підвищити продуктивність на пристроях з Windows 10 версії 1809 для Spectre, варіант 2, особливо на старіших процесорах.
Увімкнення послаблення ризиків за промовчанням для CVE-2017-5715 (Spectre Variant 2) і CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезавантажте пристрій, щоб зміни набрали сили. Вимкнення заходів послаблення ризиків для CVE-2017-5715 (Spectre Variant 2) і CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезавантажте пристрій, щоб зміни набрали сили. |
Примітка.: Значення 3 є точним для FeatureSettingsOverrideMask для параметрів "enable" і "disable". (Докладні відомості про розділи реєстру див. в розділі "Запитання й відповіді").
Щоб вимкнути послаблення ризиків для CVE-2017-5715 (Spectre , варіант 2) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезавантажте пристрій, щоб зміни набрали сили. Щоб увімкнути послаблення ризиків за промовчанням для CVE-2017-5715 (Spectre Variant 2) і CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезавантажте пристрій, щоб зміни набрали сили. |
За замовчуванням захист "від користувача до ядра" для CVE-2017-5715 вимкнуто для процесорів AMD і ARM. Щоб отримати додаткові засоби захисту для CVE-2017-5715, потрібно ввімкнути послаблення ризиків. Докладні відомості див. в статті Запитання й відповіді #15 у ADV180002 для процесорів AMD і запитання й відповіді #20 у ADV180002 для процесорів ARM.
Увімкніть захист від користувача до ядра на процесорах AMD і ARM разом з іншими захистами для CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезавантажте пристрій, щоб зміни набрали сили. |
Щоб увімкнути послаблення ризиків для CVE-2018-3639 (Спекулятивний обхід магазину), послаблення ризиків за замовчуванням для CVE-2017-5715 (Spectre Variant 2) і CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезавантажте пристрій, щоб зміни набрали сили. Примітка. Процесори AMD не вразливі до CVE-2017-5754 (Meltdown). Цей розділ реєстру використовується в системах із процесорами AMD, щоб увімкнути зниження ризиків за промовчанням для CVE-2017-5715 на процесорах AMD і послаблення ризиків для CVE-2018-3639. Вимкнення заходів послаблення ризиків для CVE-2018-3639 (спекулятивний обхід магазину) *і* послаблення ризиків для CVE-2017-5715 (Spectre, варіант 2) і CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезавантажте пристрій, щоб зміни набрали сили. |
За замовчуванням захист від користувача до ядра для CVE-2017-5715 вимкнуто для процесорів AMD. Щоб отримати додаткові засоби захисту для CVE-2017-5715, клієнти мають активувати послаблення ризиків. Докладні відомості див. в статті Запитання й відповіді #15 у ADV180002.
Увімкніть захист користувачів до ядра на процесорах AMD разом з іншими засобами захисту ДЛЯ CVE 2017-5715 і захистом ДЛЯ CVE-2018-3639 (Спекулятивний обхід сховища): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезавантажте пристрій, щоб зміни набрали сили. |
Увімкнення заходів зниження ризиків для уразливості асинхронного переривання транзакцій Intel TSX (CVE-2019-11135) і вибір мікроархітектурних даних (CVE-11135) 11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-121 30 ) разом зі Spectre (CVE-2017-5753 & CVE-2017-5715) і Meltdown (CVE-2017-5754) спекулятивних магазинів, зокрема, disable (SSBD) (CVE-2018-3639), а також L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 і CVE-2018-3646) без вимкнення Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Якщо інстальовано функцію Hyper-V, додайте такий параметр реєстру: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Якщо це хост Hyper-V і застосовано оновлення мікропрограми: Повністю завершіть роботу всіх віртуальних машин. Це дає змогу застосувати послаблення ризиків, пов'язаних із мікропрограмами, на хості до запуску віртуальних машин. Таким чином, віртуальні машини також оновлюються після перезавантаження. Перезавантажте пристрій, щоб зміни набрали сили. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) з Hyper-Threading вимкнуто: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Якщо інстальовано функцію Hyper-V, додайте такий параметр реєстру: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Якщо це хост Hyper-V і застосовано оновлення мікропрограми: Повністю завершіть роботу всіх віртуальних машин. Це дає змогу застосувати послаблення ризиків, пов'язаних із мікропрограмами, на хості до запуску віртуальних машин. Таким чином, віртуальні машини також оновлюються після перезавантаження. Перезавантажте пристрій, щоб зміни набрали сили. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CvE-2018-3646: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезавантажте пристрій, щоб зміни набрали сили. |
Щоб увімкнути послаблення ризиків для CVE-2022-23825 на процесорах AMD :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Щоб бути повністю захищеними, клієнтам також може знадобитися вимкнути Hyper-Threading (також відомий як Одночасна багатомовна (SMT)). Рекомендації щодо захисту пристроїв Windows див. в KB4073757.
Щоб увімкнути послаблення ризиків для CVE-2023-20569 на процесорах AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Щоб увімкнути послаблення ризиків для CVE-2022-0001 на процесорах Intel:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Увімкнення кількох заходів зниження ризику
Щоб увімкнути кілька заходів зниження ризику, потрібно додати REG_DWORD значення кожного послаблення ризиків.
Приклади.
Послаблення ризиків для вразливості асинхронного відключення транзакції, вибірки мікроархітектурних даних, Spectre, Meltdown, MMIO, спекулятивного сховища bypass Disable (SSBD) і L1 Terminal Fault (L1TF) з Hyper-Threading вимкнуто |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
ПРИМІТКА 8264 (у десятковому форматі) = 0x2048 (у шістнадцятку) Щоб увімкнути BHI разом з іншими наявними параметрами, потрібно використовувати порозрядне OR поточного значення з 8 388 608 (0x800000). 0x800000 OR 0x2048(8264 в десятковому форматі), і вона перетвориться на 8 396 872 (0x802048). Те саме з featureSettingsOverrideMask. |
|
Послаблення ризиків для CVE-2022-0001 на процесорах Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Комбіноване послаблення ризиків |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Послаблення ризиків для вразливості асинхронного відключення транзакції, вибірки мікроархітектурних даних, Spectre, Meltdown, MMIO, спекулятивного сховища bypass Disable (SSBD) і L1 Terminal Fault (L1TF) з Hyper-Threading вимкнуто |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Послаблення ризиків для CVE-2022-0001 на процесорах Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Комбіноване послаблення ризиків |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Перевірка ввімкнення захисту
Щоб переконатися, що захист увімкнуто, ми опублікували сценарій PowerShell, який можна запустити на ваших пристроях. Інсталюйте та запустіть сценарій одним із наведених нижче способів.
Інсталюйте модуль PowerShell: PS> Install-Module SpeculationControl Запустіть модуль PowerShell, щоб переконатися, що захист увімкнуто: PS> # Зберегти поточну політику виконання, щоб її можна було скинути PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned - Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Скидання політики виконання до вихідного стану PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Інсталюйте модуль PowerShell із Центру сценаріїв Technet: Перейти до https://aka.ms/SpeculationControlPS Завантажте SpeculationControl.zip до локальної папки. Видобути вміст до локальної папки, наприклад C:\ADV180002 Запустіть модуль PowerShell, щоб переконатися, що захист увімкнуто: Запустіть PowerShell, а потім скопіюйте (у попередньому прикладі) і виконайте такі команди: PS> # Зберегти поточну політику виконання, щоб її можна було скинути PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned - Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Скидання політики виконання до вихідного стану PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Докладне пояснення виводу сценарію PowerShell див. в KB4074629.
Запитання й відповіді
Мікрокоманд доставляється через оновлення мікропрограми. Зверніться до свого процесора (мікросхем) і виробників пристроїв, щоб дізнатися про наявність відповідних оновлень системи безпеки мікропрограм для певного пристрою, зокрема керівництва з перегляду мікрокоманд Intels.
Усунення вразливості обладнання за допомогою оновлення програмного забезпечення є значними проблемами. Крім того, послаблення ризиків для старіших операційних систем потребує масштабних архітектурних змін. Ми працюємо з виробниками уражених мікросхем, щоб визначити найкращий спосіб послаблення ризиків, який може бути доставлений в майбутніх оновленнях.
Оновлення для пристроїв Microsoft Surface буде доставлено користувачам через Windows Update разом з оновленнями операційної системи Windows. Список доступних оновлень мікропрограм пристрою Surface (мікрокоманд) див. в статті KB4073065.
Якщо ваш пристрій вироблено не корпорацією Майкрософт, застосуйте мікропрограму від виробника пристрою. Щоб отримати додаткові відомості, зверніться до виробника пристрою виробника оригінального обладнання.
У лютому та березні 2018 року корпорація Майкрософт випустила додатковий захист для деяких систем на базі x86-процесорів. Докладні відомості див. в статті KB4073757 та ADV180002 Microsoft Security Advisory.
Оновлення для Windows 10 для HoloLens доступні клієнтам HoloLens через Windows Update.
Після застосування оновлення Безпека у Windows за лютий 2018 р. користувачам HoloLens не потрібно виконувати жодних додаткових дій, щоб оновити мікропрограму пристрою. Ці пом'якшення також будуть включені в усі майбутні випуски Windows 10 для HoloLens.
Ні. Оновлення лише системи безпеки не сукупні. Залежно від версії операційної системи, яку ви використовуєте, вам доведеться щомісяця інсталювати оновлення лише системи безпеки, щоб захиститися від цих вразливостей. Наприклад, якщо ви використовуєте Windows 7 для 32-розрядних систем на процесорі Intel, на який впливає проблема, потрібно інсталювати всі оновлення лише системи безпеки. Радимо інсталювати ці оновлення лише системи безпеки в порядку випуску.
Нотатка У попередній версії цього запитання й відповіді неправильно вказано, що оновлення лише системи безпеки за лютий включало виправлення системи безпеки, випущені в січні. Насправді, це не так.
Ні. Оновлення системи безпеки 4078130 було конкретним виправленням для запобігання непередбачуваній поведінці системи, проблемам продуктивності та/або несподіваним перезавантаженням після інсталяції мікрокоманд. Застосування лютневих оновлень системи безпеки в операційних системах клієнта Windows забезпечує всі три послаблення ризиків.
Компанія Intel нещодавно оголосила про завершення своїх перевірок і почала випускати мікрокоманд для нових платформ ЦП. Корпорація Майкрософт робить доступними перевірені оновленнями мікрокоманд Intel навколо Spectre Variant 2 (CVE-2017-5715 "Ін'єкція цільової гілки"). KB4093836 список окремих статей бази знань за версією Windows. Кожен окремий KБ містить доступні оновлення мікрокоманд Intel, упорядковані за типом ЦП.
Цю проблему вирішено в KB4093118.
AmD нещодавно оголосила, що вони почали випускати мікрокоманд для нових платформ ЦП навколо Spectre Variant 2 (CVE-2017-5715 "Ін'єкція цільової гілки"). Докладні відомості див. в статті AmD Security Оновлення та AMD Whitepaper: Рекомендації з архітектури щодо indirect Branch Control. Вони доступні в каналі мікропрограмИ виробника оригінального обладнання.
Ми робимо доступними оновлення перевірених мікрокоманд Intel навколо Spectre Variant 2 (CVE-2017-5715 "Ін'єкція цільової гілки "). Щоб отримати останні оновлення мікрокоманд Intel через Windows Update, клієнти повинні інсталювати мікрокоманд Intel на пристроях з операційною системою Windows 10 до оновлення Windows 10 за квітень 2018 р. (версія 1803).
Оновлення мікрокоманд також доступне безпосередньо з Каталогу, якщо вони не були установлені на пристрої до виконання оновлення операційної системи. Мікрокоманд Intel доступний через Windows Update, WSUS або Каталог Microsoft Update. Докладні відомості та інструкції з завантаження див. в статті KB4100347.
Докладні відомості див. в таких ресурсах:
Докладні відомості див. в розділах "Рекомендовані дії" та "Запитання й відповіді" в ADV180012 | Рекомендації Корпорації Майкрософт щодо спекулятивного обходу магазину.
Щоб перевірити стан SSBD, було оновлено сценарій Get-SpeculationControlSettings PowerShell для виявлення відповідних процесорів, стану оновлень операційної системи SSBD та стану мікрокоманд процесора( якщо це можливо). Докладні відомості та отримання сценарію PowerShell див. в статті KB4074629.
13 червня 2018 року було оголошено й призначено CVE-2018-3665 стороннє спекулятивне виконання, відоме як Lazy FP State Restore. Настройки конфігурації (реєстру) не потрібні для відновлення FP Lazy Restore.
Докладні відомості про цю вразливість і рекомендовані дії див. в статті Рекомендації з безпеки ADV180016 | Рекомендації Корпорації Майкрософт щодо відновлення стану ледача FP.
Примітка.: Настройки конфігурації (реєстру) не потрібні для відновлення FP Lazy Restore.
Bounds Check Bypass Store (BCBS) було розкрито 10 липня 2018 року та призначено CVE-2018-3693. Ми вважаємо, що BCBS належить до того самого класу вразливостей, що й обхід перевірки меж (варіант 1). Наразі нам не відомо про екземпляри BCBS у нашому програмному забезпеченні, але ми продовжуємо дослідження цього класу вразливості та працюватимемо з галузевими партнерами, щоб випустити послаблення ризиків у міру необхідності. Ми продовжуємо заохочувати дослідників надсилати будь-які відповідні висновки до програми щедрості каналу спекулятивного виконання Корпорації Майкрософт, включаючи будь-які експлуатувані екземпляри BCBS. Розробники програмного забезпечення мають переглянути рекомендації для розробників, які було оновлено для BCBS на https://aka.ms/sescdevguide.
14 серпня 2018 р. було оголошено про несправність терміналу L1 (L1TF) і призначено кілька CVEs. Ці нові вразливості стороннього каналу спекулятивного виконання можуть бути використані для читання вмісту пам'яті через надійну межу і, якщо вони експлуатуються, можуть призвести до розкриття інформації. Зловмисник може викликати вразливості через кілька векторів, залежно від настроєного середовища. L1TF впливає на процесори Intel® Core® та процесори Intel® Xeon®.
Докладні відомості про цю вразливість і детальне уявлення про сценарії, на які впливає проблема, зокрема про підхід корпорації Майкрософт до зниження ризику L1TF, див. в таких ресурсах:
Клієнти, які використовують 64-розрядні процесори ARM, повинні перевірити підтримку мікропрограми виробника оригінального обладнання пристрою, оскільки захист операційної системи ARM64, що пом'якшує CVE-2017-5715 | Ін'єкція цільової гілки (Spectre, варіант 2) потребує останнього оновлення мікропрограми від виробника оригінального обладнання пристрою, щоб набули сили.
Докладні відомості див. в наведених нижче рекомендаціях із безпеки.
Докладні відомості див. в наведених нижче рекомендаціях із безпеки.
Додаткові вказівки наведено в рекомендаціях для Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання
Ознайомтеся з рекомендаціями у Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання
Рекомендації щодо Azure див. в цій статті: Інструкції з усунення вразливостей стороннього каналу спекулятивного виконання в Azure.
Докладні відомості про активацію Retpoline див. в нашому записі блоґу: Послаблення ризиків для Spectre, варіант 2 за допомогою Retpoline у Windows.
Докладні відомості про цю вразливість див. в Посібнику з безпеки Microsoft: CVE-2019-1125 | Вразливість розкриття інформації ядра Windows.
Нам не відомо про вразливість розкриття цієї інформації, яка впливає на інфраструктуру хмарних служб.
Щойно нам стало відомо про цю проблему, ми швидко працювали над її вирішенням і випуском оновлення. Ми наполегливо віримо в тісні партнерські відносини як з дослідниками, так і з галузевими партнерами, щоб зробити клієнтів більш захищеними, і не опублікували деталі до вівторка, 6 серпня, відповідно до узгодженої практики розкриття вразливостей.
Додаткові вказівки наведено в рекомендаціях для Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання.
Додаткові вказівки наведено в рекомендаціях для Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання.
Додаткові вказівки наведено в розділі Рекомендації щодо вимкнення® можливостей intel Transactional Synchronization Extensions (Intel® TSX).
Посилання
Ми надаємо контактну інформацію сторонніх постачальників, щоб допомогти вам знайти технічну підтримку. Ці відомості можуть змінюватися без попередження. Ми не гарантуємо точності цієї контактної інформації третьої сторони.