الملخص

تدرك Microsoft المتغيرات الجديدة لفئة الهجوم المعروفة بالثغراتالامنيه الجانبية لتنفيذ المضاربة. تسمي المتغيرات خطا المحطة الطرفية L1 (L1TF)وأخذ عينات البيانات المعمارية microarchitectural MDS). قد يتمكن المهاجم الذي يمكنه استغلال L1TF أو MDS بنجاح من قراءه البيانات المميزة عبر حدود الثقة.

تحديث في 14 مايو 2019: في 14 مايو 2019 ، نشرت انتل معلومات حول فئة فرعيه جديده من الثغرات الامنيه الجانبية لتنفيذ المضاربة المعروفة باسم " أخذ عينات البيانات المعمارية المجهرية". وقد تم تعيين التالية CVEs:

تحديث في 12 تشرين الثاني/نوفمبر ، 2019: في 12 تشرين الثاني/نوفمبر 2019 ، نشرت انتل الاستشارية الفنية حول Intel® المعاملات ملحقات التزامن المعاملات (Intel® TSX) الحركة غير متزامن إحباط العملية التي تم تعيينها CVE 2019-11135. قامت Microsoft بإصدار تحديثات للمساعدة في التخفيف من مشكله عدم الحصانة هذه. يرجى ملاحظه ما يلي:

  • بشكل افتراضي ، يتم تمكين حماية أنظمه التشغيل لبعض إصدارات Windows Server OS. راجع مقاله قاعده معارف Microsoft 4072698 للحصول علي مزيد من المعلومات.

  • بشكل افتراضي ، يتم تمكين حماية أنظمه التشغيل لكافة إصدارات نظام تشغيل عميل Windows. راجع مقاله قاعده معارف Microsoft 4073119 للحصول علي مزيد من المعلومات.

نظره عامه حول مشكله عدم الحصانة

في البيئات التي يتم فيها مشاركه الموارد ، مثل مضيفي المحاكاة الافتراضية ، قد يتمكن المهاجم الذي يمكنه تشغيل تعليمات برمجيه تحكميه علي جهاز ظاهري واحد من الوصول إلى المعلومات من جهاز ظاهري آخر أو من مضيف المحاكاة الافتراضية نفسه.

أحمال الخادم مثل Windows Server خدمات سطح المكتب البعيد (RDS) والمزيد من الأدوار المخصصة مثل وحدات تحكم مجال "active Directory" هي أيضا في خطر. قد يتمكن المهاجمون الذين يمكنهم تشغيل تعليمات برمجيه تحكميه (بغض النظر عن مستوي امتيازاتهم) من الوصول إلى نظام التشغيل أو اسرار حمل العمل مثل مفاتيح التشفير وكلمات المرور والبيانات الحساسة الأخرى.

أنظمه تشغيل عميل windows أيضا في خطر ، خاصه إذا كانت تعمل التعليمات البرمجية غير موثوق بها ، والاستفادة من ميزات الحماية الافتراضية القائمة علي مثل Windows Defender بيانات الاعتماد الحرس ، أو استخدام فرط-V لتشغيل الاجهزه الظاهرية.

ملاحظه: تؤثر هذه الثغرات الامنيه علي معالجات Intel Core ومعالجات Intel Xeon فقط.

نظره عامه علي التخفيف

لحل هذه المشكلات ، تعمل Microsoft مع Intel لتطوير عوامل تخفيف البرامج والإرشادات. تم إصدار تحديثات البرامج للمساعدة في التخفيف من الثغرات الامنيه. للحصول علي كافة الحمايات المتوفرة ، قد تكون هناك حاجه إلى التحديثات التي قد تتضمن أيضا الرمز الصغير من OEMs الجهاز.

توضح هذه المقالة كيفيه التخفيف من الثغرات الامنيه التالية:

  • CVE-2018-3620-"خطا محطه L1-OS ، SMM"

  • CVE-2018-3646-"خطا محطه L1-VMM"

  • CVE-2018-11091-"البيانات المعمارية المجهرية أخذ عينات الذاكرة غير القابلة للتحديث (MDSUM)"

  • CVE-2018-12126-"المخزن المؤقت للتخزين المصغر لتخزين البيانات (MSBDS)"

  • CVE-2018-12127-"التحميل المعماري المجهري البيانات ميناء أخذ العينات (MLPDS)"

  • CVE-2018-12130-"التخزين المؤقت للتعبئة المجهرية أخذ عينات البيانات (MFBDS)"

  • CVE-2019-11135-"الثغرات الكشف عن معلومات Kernel Windows"

لمزيد من المعلومات حول الثغرات الامنيه راجع إرشادات الأمان التالية:

L1TF: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv180018

MDS: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv190013

مشكله عدم حصانه الإفصاح عن معلومات Kernel ل Windows: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-11135

تحديد الإجراءات اللازمة للتخفيف من حده التهديد

يمكن ان تساعدك المقاطع التالية في تحديد الانظمه التي تتاثر بالثغرات الامنيه L1TF و/أو MDS ، كما تساعدك علي فهم المخاطر والتخفيف من حدتها.

تاثير الأداء المحتمل

في الاختبار ، شهدت Microsoft بعض تاثير الأداء من عوامل التخفيف هذه ، اعتمادا علي تكوين النظام والتي تتطلب عوامل تخفيف المشاكل.

قد تضطر بعض العملاء إلى تعطيل مؤشر الترابط التشعبي (يعرف أيضا باسم متعددة المتزامنة أو SMT) لمعالجه المخاطر من L1TF و MDS بشكل كامل. يجب ان تدرك ان تعطيل الترابط التشعبي يمكن ان يسبب تدهور الأداء. ينطبق هذا الموقف علي العملاء الذين يستخدمون ما يلي:

  • إصدارات Hyper-v التي أقدم من Windows Server 2016 أو Windows 10 الإصدار 1607 (تحديث الذكري السنوية)

  • ميزات الأمان المستندة إلى المحاكاة الافتراضية (VBS) مثل "الحرس الاعتمادات" والحرس الجهاز

  • البرامج التي تسمح بتنفيذ التعليمات البرمجية غير الموثوق بها (علي سبيل المثال ، ملقم أتمته البناء أو بيئة استضافه IIS المشتركة)

يمكن ان يختلف التاثير باختلاف الاجهزه وأحمال العمل التي يتم تشغيلها علي النظام. تكوين النظام الأكثر شيوعا هو تمكين الترابط التشعبي. لذلك ، يتم بوابات تاثير الأداء علي المستخدم أو المسؤول الذي يقوم باتخاذ الاجراء لتعطيل الترابط التشعبي علي النظام.

ملاحظه: لتحديد ما إذا كان النظام الخاص بك يستخدم ميزات الأمان المحمية VBS ، اتبع الخطوات التالية:

  1. من القائمة أبدا ، اكتب MSINFO32. ملاحظه: يتم فتح اطار " معلومات النظام ".

  2. في المربع البحث عن ، اكتب الأمان.

  3. في الجزء الأيسر ، حدد موقع الصفين المحددين في لقطه الشاشة ، وتحقق من عمود القيمة لمعرفه ما إذا كان الأمان المستند إلى المحاكاة الظاهرية ممكنا وما هي خدمات الأمان التي تستند إلى الظاهرية قيد التشغيل.

    نافذة معلومات النظام

جدوله Hyper-v الاساسيه يخفف ناقلات الهجوم L1TF و MDS ضد الاجهزه الظاهرية Hyper-v اثناء السماح لا يزال الترابط التشعبي لتبقي ممكنة. جدوله الاساسيه متوفرة بدءا من Windows Server 2016 و Windows 10 الإصدار 1607. وهذا يوفر الحد الأدنى من تاثير الأداء إلى الاجهزه الظاهرية.

لا يخفف جدوله الاساسيه L1TF أو ناقلات الهجوم MDS ضد ميزات الأمان المحمية VBS. لمزيد من المعلومات ، راجع التخفيف C ومقاله "المدونة الافتراضية" التالية:

https://aka.ms/hyperclear

للحصول علي معلومات مفصله من Intel حول تاثير الأداء ، انتقل إلى موقع Intel التالي علي الويب:

www.intel.com/securityfirst

تحديد الانظمه المتاثره وعوامل التخفيف المطلوبة

يمكن للمخطط الانسيابي في الشكل 1 مساعدتك في تحديد الانظمه المتاثره وتحديد المجموعة الصحيحة من الإجراءات.

مهم: إذا كنت تستخدم الاجهزه الظاهرية ، يجب مراعاه وتطبيق المخطط الانسيابي علي المضيفين Hyper-v وكل ضيف VM المتاثره بشكل فردي لأنه قد يتم تطبيق عوامل تخفيف المشاكل علي كليهما. وعلي وجه التحديد ، لمضيف Hyper-v ، توفر خطوات المخطط الانسيابي الحماية بين الجهاز الظاهري والحماية داخل المضيف. ومع ذلك ، تطبيق هذه عوامل التخفيف إلى مضيف Hyper-v فقط غير كافيه لتوفير حماية داخل VM. لتوفير الحماية داخل الجهاز الظاهري ، يجب تطبيق المخطط الانسيابي علي كل Windows VM. في معظم الحالات ، وهذا يعني التاكد من ان يتم تعيين مفاتيح التسجيل في VM.

عند التنقل في المخطط الانسيابي ، ستواجه دوائر زرقاء بالحروف التي تقوم بتعيينها إلى اجراء أو سلسله من الإجراءات المطلوبة لتقليل موجات الهجوم L1TF الخاصة بتكوينات النظام. يجب تطبيق كل اجراء تصادفه. عندما تواجه خط اخضر ، فانه يشير إلى مسار مباشر إلى النهاية ، ولا توجد إيه خطوات تخفيف اضافيه.

يتم تضمين شرح قصير الشكل لكل تخفيف بالحروف الصغيرة في الاسطوره الموجودة علي اليمين. يتم توفير شروح تفصيليه لكل تخفيف يتضمن إرشادات التثبيت والتكوين خطوه بخطوه في قسم "عوامل تخفيف المشاكل".

مخطط انسيابي

 

تخفيف

مهم: يصف القسم التالي عوامل تخفيف المشاكل التي يجب تطبيقها فقط ضمن الشروط المحددة التي يتم تحديدها بواسطة المخطط الانسيابي في الشكل 1 في المقطع السابق. لا تقم بتطبيق عوامل التخفيف هذه الا إذا كان المخطط الانسيابي يشير إلى ان التقليل المحدد ضروري.

بالاضافه إلى البرامج وتحديثات الرمز الصغير ، قد تكون هناك حاجه أيضا إلى تغييرات التكوين اليدوي لتمكين بعض الحمايات. كما نوصي عملاء Enterprise بالتسجيل لإرسال اعلامات الأمان لكي يتم تنبيك حول تغييرات المحتوي. (راجع اعلامات الأمان التقنية ل Microsoft.)

التخفيف (ا)

الحصول علي تحديثات Windows الاخيره وتطبيقها

تطبيق كافة تحديثات نظام التشغيل Windows المتوفرة ، بما في ذلك تحديثات أمان Windows الشهرية. يمكنك مشاهده جدول المنتجات المتاثره علي الاستشارات الامنيه ل Microsoft | 180018الاستشارات الامنيه لL1TF | 190013 الحالة الخاصة ب MDS و CVE 2019-11135 لمشكله عدم حصانه الإفصاح عن معلومات Windows Kernel.

التخفيف باء

الحصول علي وتطبيق أحدث التعليمات البرمجية الصغيرة أو تحديثات البرامج الثابتة

بالاضافه إلى تثبيت أحدث تحديثات أمان Windows ، مطلوب أيضا تحديث الرمز الصغير للمعالج. يتم توفير تثبيت هذه التحديثات من قبل الجهاز OEM.

ملاحظه: إذا كنت تستخدم المحاكاة الافتراضية المتداخلة (بما في ذلك تشغيل حاويات Hyper-v في ضيف VM) ، يجب ان تعرض الرمز الصغير الجديد انلايتينمينتس إلى الضيف VM. قد يتطلب هذا ترقيه تكوين VM إلى الإصدار 8. يتضمن الإصدار 8 انلايتينمينتس الرمز الصغير بشكل افتراضي. لمزيد من المعلومات والخطوات المطلوبة ، راجع مقاله مستندات Microsoft المقالة التالية:

تشغيل Hyper-v في جهاز ظاهري مع المحاكاة الافتراضية المتداخلة

التخفيف ج

هل يجب تعطيل الترابط التشعبي (HT) ؟

الثغرات الامنيه L1TF و MDS إدخال المخاطر التي قد تكون سريه الاجهزه الظاهرية Hyper-v والاسرار التي يتم الاحتفاظ بها من قبل Microsoft الظاهرية المستندة إلى الأمان (VBS) باستخدام هجوم قناه جانبيه. عند تمكين مؤشر الترابط التشعبي (HT) ، يتم اضعاف حدود الأمان المتوفرة من قبل كل من Hyper-v و VBS.

جدوله Hyper-v الاساسيه (المتوفرة بدءا من Windows Server 2016 و Windows 10 الإصدار 1607) يخفف ناقلات الهجوم L1TF و MDS ضد الاجهزه الظاهرية Hyper-v اثناء السماح باستمرار مؤشر الترابط التشعبي لتبقي ممكنة. وهذا يوفر الحد الأدنى من تاثير الأداء.

لا يخفف جدوله Hyper-v الاساسيه L1TF أو ناقلات الهجوم MDS ضد ميزات الأمان المحمية VBS. الثغرات الامنيه L1TF و MDS إدخال خطر ان السرية لاسرار VBS يمكن اختراقها عن طريق هجوم القناة الجانبية عندما يتم تمكين الترابط (HT) ، اضعاف حدود الأمان التي توفرها VBS. حتى مع هذا الخطر المتزايد ، VBS لا يزال يوفر فوائد أمنيه قيمه ويخفف مجموعه من الهجمات مع تمكين HT. التالي ، نوصي باستمرار استخدام VBS علي الانظمه التي تدعم HT. العملاء الذين يرغبون في القضاء علي المخاطر المحتملة لL1TF و MDS الثغرات الامنيه علي سريه VBS يجب النظر في تعطيل HT للتخفيف من هذه المخاطر الاضافيه.

العملاء الذين يرغبون في القضاء علي المخاطر التي تشكل الثغرات الامنيه L1TF و MDS ، سواء إلى سريه الإصدارات Hyper-v التي أقدم من Windows Server 2016 أو إلى قدرات الأمان VBS ، يجب ان تزن القرار والنظر في تعطيل HT تخفيف المخاطر. وبصفه عامه ، يمكن ان يستند هذا القرار إلى المبادئ التوجيهية التالية:

  • للحصول علي Windows 10 الإصدار 1607 ، Windows Server 2016 والانظمه الأحدث التي لا تعمل Hyper-v ولا تستخدم ميزات الأمان المحمية VBS ، يجب عدم تعطيل العملاء HT.

  • للحصول علي Windows 10 الإصدار 1607 ، Windows Server 2016 والانظمه الأحدث التي تقوم بتشغيل Hyper-v مع "جدوله الاساسيه" ، ولكن لا تستخدم ميزات الأمان المحمية VBS ، يجب عدم تعطيل العملاء HT.

  • للحصول علي Windows 10 الإصدار 1511 ، ونظام التشغيل Windows Server 2012 R2 والانظمه السابقة التي تقوم بتشغيل Hyper-v ، يجب علي العملاء النظر في تعطيل HT للتخفيف من المخاطر.

تختلف الخطوات المطلوبة لتعطيل HT من OEM إلى OEM. ومع ذلك ، فهي عاده ما تكون جزءا من BIOS أو اعداد البرامج الثابتة وأداات التكوين.

كما قدمت Microsoft القدرة علي تعطيل تقنيه الترابط التشعبي من خلال اعداد البرامج إذا كان من الصعب أو المستحيل تعطيل HT في BIOS أو اعداد البرامج الثابتة وأداات التكوين. اعداد البرنامج لتعطيل HT هو الثانوية لBIOS الخاص بك أو اعداد البرامج الثابتة ويتم تعطيل بشكل افتراضي (يعني HT سوف تتبع BIOS الخاص بك أو اعداد البرامج الثابتة). لمعرفه المزيد حول هذا الاعداد وكيفيه تعطيل HT باستخدامه ، راجع المقالة التالية:

4072698 توجيه ملقم Windows للحماية من الثغرات الامنيه الجانبية لتنفيذ المضاربة

عندما يكون ذلك ممكنا ، فمن المستحسن لتعطيل HT في BIOS الخاص بك أو البرامج الثابتة لضمان اقوي ان HT معطل.

ملاحظه: يؤدي تعطيل الترابط الزائد إلى تقليل أساسيات وحده المعالجة المركزية. هذا يمكن ان يكون لها تاثير علي الميزات التي تتطلب الحد الأدنى CPU النوى للعمل. علي سبيل المثال ، Windows Defender تطبيق الحرس (WDAG).

التخفيف (د)

تمكين جدوله Hyper-v الاساسيه وتعيين عدد مؤشرات ترابط الاجهزه VM لكل الاساسيه إلى 2

ملاحظه: تنطبق خطوات التخفيف هذه فقط علي Windows Server 2016 وإصدارات Windows 10 قبل الإصدار 1809. يتم تمكين جدوله الاساسيه بشكل افتراضي علي Windows Server 2019 و Windows 10 الإصدار 1809.

باستخدام جدوله الاساسيه عمليه مرحلتين يتطلب منك أولا تمكين جدوله علي المضيف Hyper-v ثم قم بتكوين كل VM للاستفادة منه عن طريق تعيين عدد مؤشرات ترابط الاجهزه الخاصة بهم لكل الاساسيه إلى اثنين (2).

جدوله Hyper-v الاساسيه التي تم تقديمها في Windows Server 2016 و Windows 10 الإصدار 1607 هو بديل جديد لمنطق جدوله الكلاسيكية. يوفر جدوله الاساسيه انخفاض تباين الأداء لأحمال العمل داخل VMs التي يتم تشغيلها علي مضيف Hyper-v تمكين HT.

للحصول علي شرح مفصل لبرنامج الجدولة الاساسيه Hyper-v والخطوات لتمكينه ، راجع المقالة التالية مركز Pro Windows IT:

فهم واستخدام أنواع جدوله فرط الحاجب الزائد-V

لتمكين جدوله Hyper-v الاساسيه علي Windows Server 2016 أو Windows 10 ، ادخل الأمر التالي:

bcdedit /set HypervisorSchedulerType core

بعد ذلك ، حدد ما إذا كان سيتم تكوين عدد مؤشر ترابط أجهزه VM معطي لكل أساسي إلى اثنين (2). إذا كشفت حقيقة ان المعالجات الظاهرية هي مؤشر ترابط إلى جهاز ظاهري ضيف ، يمكنك تمكين جدوله في نظام التشغيل VM ، وأيضا أحمال العمل VM ، لاستخدام HT في جدوله الاعمال الخاصة بهم. للقيام بذلك ، ادخل الأمر PowerShell التالية ، التي <vmname> هو اسم الجهاز الظاهري:

Set-VMProcessor -VMName <VMName> -HwThreadCountPerCore 2

هاء-التخفيف

تمكين عوامل تخفيف المشاكل الخاصة بالإرشادات CVE 2017-5715 و CVE 2017-5754 و CVE 2019-11135

ملاحظه: يتم تمكين عوامل التخفيف هذه بشكل افتراضي علي Windows Server 2019 وأنظمه تشغيل عميل Windows.

لتمكين عوامل تخفيف المشاكل الخاصة بالإرشادات CVE 2017-5715 ، CVE 2017-5754 ، و CVE 2019-11135 ، استخدم الإرشادات في المقالات التالية:

4072698 توجيه Windows Server للحماية من الثغرات الامنيه الجانبية لتنفيذ المضاربة

4073119 توجيه عميل Windows لمحترفي تكنولوجيا التشغيل للحماية من الثغرات الامنيه الجانبية لتنفيذ المضاربة

ملاحظه: تتضمن هذه عوامل التخفيف وتمكين تلقائيا التقليل بت اطار الصفحة الامنه ل Windows kernel وكذلك لعوامل التخفيف الموضحة في CVE 2018-3620. للحصول علي شرح مفصل من التخفيف بت اطار الصفحة الامنه ، راجع المقالة التالية "أبحاث الأمان" & مدونه الدفاع:

تحليل والتخفيف من الأعطال الطرفية L1 (L1TF)

إخلاء المسؤولية عن معلومات الجهات الخارجية

منتجات الجهات الأخرى المذكورة في هذه المقالة تم تصنيعها بواسطة شركات مستقلة عن Microsoft. ولذلك، لا تقدم Microsoft أي ضمان، سواء ضمنيًا أو صريحًا، بخصوص أداء تلك المنتجات أو كفاءتها.

اخلاء مسؤوليه جهة خارجيه

توفر Microsoft معلومات جهة الاتصال لجهة خارجيه لمساعدتك في العثور علي معلومات اضافيه حول هذا الموضوع. قد تتغير معلومات الاتصال هذه دون اشعار. لا تضمن Microsoft دقه معلومات جهة الاتصال التابعة لجهة خارجيه.

المراجع

إرشادات للتخفيف من الثغرات الامنيه الجانبية لتنفيذ المضاربة في Azure

هل تحتاج إلى مزيد من المساعدة؟

توسيع المهارات
استكشاف التدريب
الحصول على الميزات الجديدة أولاً
الانضمام إلى Microsoft Insider

هل كانت المعلومات مفيدة؟

ما مدى رضاك عن جودة الترجمة؟
ما الذي أثّر في تجربتك؟

نشكرك على ملاحظاتك!

×