KB4072698: Указания за Windows Server и Azure Stack HCI за защита срещу микроархитектурни и спекулативни уязвимости в страничните канали при изпълнение

Тази статия обръща внимание на следните уязвимости при спекулативно изпълнение:

• CVE-2017-5715 | Branch Target Injection

• CVE-2017-5753 | Заобикаляне на проверка на границите

• CVE-2017-5754 | Неясно зареждане на кеша за данни

• CVE-2018-3639 | Спекулативно заобикаляне на магазина

актуализиране на Windows също така ще предостави смекчавания на последствията за Internet Explorer и Edge. Ще продължим да подобряваме тези предпазни мерки срещу този клас уязвимости.

За да научите повече за този клас уязвимости, вж.

• ADV180002 | Указания за намаляване на уязвимостите в страничен канал при спекулативно изпълнение

• ADV180012 | Указания на Microsoft за спекулативно заобикаляне на Store

На 14 май 2019 г. Intel публикува информация за нов подклас уязвимости в страничен канал при спекулативно изпълнение, известни като Извадка за микроархитектурни данни и документирана в ADV190013 | Извадка от микроархитектурни данни. На тях са присвоени следните CVEs:

• CVE-2019-11091 | Извадка за микроархитектурни данни неизтриваема памет (MDSUM)

• CVE-2018-12126 | Извадка за буферни данни за микроархитектурно хранилище (MSBDS)

• CVE-2018-12127 | Извадка за буфер за микроархитектурно запълване (MFBDS)

• CVE-2018-12130 | Вземане на извадки от данни за порт за микроархитектурно натоварване (MLPDS)

Microsoft издаде актуализации за намаляване на тези уязвимости. За да получите всички налични защити, са необходими фърмуер (микрокод) и софтуерни актуализации. Това може да включва микрокод от OEM на устройството. В някои случаи инсталирането на тези актуализации ще окаже влияние върху производителността. Също така предприехме действия за защита на нашите услуги в облака. Настоятелно ви препоръчваме да разположите тези актуализации.

За повече информация относно този проблем вижте следните съвети за защитата и използвайте указания, базирани на сценарии, за да определите действията, необходими за намаляване на заплахата:

• ADV190013 | Указания на Microsoft за намаляване на уязвимостите при извадка за микроархитектурни данни

• Указания на Windows за защита срещу уязвимостите в страничен канал при спекулативно изпълнение

На 6 август 2019 г. Intel издаде подробности за уязвимост при разкриване на информация за ядрото на Windows. Тази уязвимост е вариант на Spectre, уязвимост от спекулативно изпълнение на странични канали от вариант 1 и е присвоен CVE-2019-1125.

На 9 юли 2019 г. издадахме актуализации на защитата за операционната система Windows, за да облекчим този проблем. Моля, имайте предвид, че ние задържахме документирането на това смекчаване публично до координираното разкриване на информация в отрасъла във вторник, 6 август 2019 г.

Клиентите, които са актуализиране на Windows активирали и са приложили актуализациите на защитата, издадени на 9 юли 2019 г., са защитени автоматично. Не е необходима допълнителна конфигурация.

За повече информация относно тази уязвимост и приложимите актуализации вж. Справочник за актуализации на защитата на Microsoft:

• CVE-2019-1125 | Уязвимост при разкриване на информация за ядрото на Windows

На 12 ноември 2019 г. Intel публикува техническа препоръка относно уязвимостта за асинхронно прекъсване на транзакциите на Intel® TSX, която е присвоена на CVE-2019-11135. Microsoft пусна актуализации за намаляване на тази уязвимост и защитите на ОС са разрешени по подразбиране за Windows Server 2019, но са забранени по подразбиране за Windows Server 2016 и по-стари издания на ОС на Windows Server.

На 14 юни 2022 г. публикувахме ADV220002 | Указания на Microsoft за уязвимости в остарели данни на процесор Intel MMIO и присвоени на тези CVEs: 

• CVE-2022-21123 | Четене на данни за споделен буфер (SBDR)

• CVE-2022-21125 | Извадка от данни за споделен буфер (SBDS)

• CVE-2022-21127 | Актуализация за вземане на извадки за буферни данни на специален регистър (актуализация на SRBDS)

• CVE-2022-21166 | Частично записване в регистъра на устройствата (DRPW)

Препоръчани действия

Трябва да предприемете следните действия, за да помогнете за защитата срещу уязвимостите:

1. Приложете всички налични актуализации на операционната система Windows, включително месечните актуализации на защитата на Windows.

2. Приложете приложимата актуализация на фърмуера (микрокода), предоставена от производителя на устройството.

3. Оценете риска за вашата среда въз основа на информацията, която се предоставя в Съвети за защитата на Microsoft: ADV180002, ADV180012, ADV190013 и ADV220002, в допълнение към информацията, предоставена в тази база знания статия.

4. Предприемете необходимите действия, като използвате съветите и важната информация от системния регистър, които са предоставени в тази база знания статия.

На 12 юли 2022 г. публикувахме CVE-2022-23825 | Объркване на типа на ЦП на AMD , което описва, че псевдонимите в предсказването на клона могат да доведат до предсказване на грешен тип клон на определени AMD процесори. Този проблем може потенциално да доведе до разкриване на информация.

За да се защитите от тази уязвимост, препоръчваме да инсталирате актуализации на Windows, които са с дата до юли 2022 г., и след това да предприемете действия, както се изисква от CVE-2022-23825 и информация за ключ от системния регистър, предоставена в тази база знания статия.

За повече информация вижте бюлетина за защитата AMD-SB-1037 .

На 8 август 2023 г. публикувахме CVE-2023-20569 | Return Address Predictor (известен също като Изключение), който описва нова спекулативна атака в страничен канал, която може да доведе до спекулативно изпълнение на контролиран от хакер адрес. Този проблем засяга определени AMD процесори и може потенциално да доведе до разкриване на информация.

За да се защитите от тази уязвимост, ви препоръчваме да инсталирате актуализации на Windows, които са с дата или след август 2023 г., и след това да предприемете действия, както се изисква от CVE-2023-20569 и информация за ключ от системния регистър, предоставена в тази база знания статия.

За повече информация вижте бюлетина за защитата AMD-SB-7005 .

На 9 април 2024 г. публикувахме CVE-2022-0001 | Intel Branch History Injection, което описва branch History Injection (BHI), което е специфична форма на BTI в режим "интра режим". Тази уязвимост възниква, когато атакуващ може да манипулира хронологията на клона преди преминаване от потребител към режим на супервайзор (или от VMX режим, който не е корен/гост в коренен режим). Тази обработка може да доведе до избор на конкретен запис на прогнозиращ за непряк клон от предсказване, а притурка за разкриване при прогнозираната цел ще се изпълни временно. Това може да е възможно, тъй като съответната хронология на клона може да съдържа клонове, взети в предишни контексти на защитата, и по-специално други режими на прогнозиране.

По подразбиране защитата от потребител към ядро за CVE-2017-5715 е забранена за AMD процесори. Клиентите трябва да разрешат смекчаването, за да получат допълнителни защити за CVE-2017-5715.  За повече информация вижте ЧЗВ #15 в ADV180002.

По подразбиране защитата от потребител към ядро за CVE-2017-5715 е забранена за AMD процесори. Клиентите трябва да разрешат смекчаването, за да получат допълнителни защити за CVE-2017-5715.  За повече информация вижте ЧЗВ #15 в ADV180002.

За да разрешите смекчаването за CVE-2022-23825 на AMD процесори:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

За да бъдат напълно защитени, клиентите може също да трябва да забранят Hyper-Threading (известно още като едновременно много нишки (SMT)). Вижте KB4073757 за указания относно защитата на устройствата с Windows.

За да разрешите смекчаването за CVE-2023-20569 на AMD процесори:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

За да разрешите смекчаването за CVE-2022-0001 на процесори Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

За подробно обяснение на резултата от скрипта на PowerShell вижте KB4074629 . 

За да се избегне нежеланото въздействие върху клиентските устройства, актуализациите на защитата на Windows, издадени през януари и февруари 2018 г., не се предлагат на всички клиенти. За подробности вж. KB407269 .

Микрокодът се доставя чрез актуализация на фърмуера. Консултирайте се с вашия OEM за версията на фърмуера, която има подходящата актуализация за вашия компютър.

Има множество променливи, които влияят върху производителността, вариращи от версията на системата до работните натоварвания, които се изпълняват. При някои системи ефектът на производителността ще бъде незначителен. За другите ще бъде значителен.

Препоръчваме ви да оцените ефекта върху производителността на вашите системи и да направите необходимите корекции.

В допълнение към указанията, които са в тази статия относно виртуалните машини, трябва да се свържете с вашия доставчик на услуги, за да се уверите, че хостовете, които работят с вашите виртуални машини, са подходящо защитени.

За виртуални машини с Windows Server, които се изпълняват в Azure, вижте Указания за намаляване на уязвимостите в страничен канал при спекулативно изпълнение в Azure . За указания относно използването на azure Update Management за смекчаване на този проблем на гост виртуални машини вижте KB4077467.

Актуализациите, които са издадени за Windows Server контейнер изображения за Windows Server 2016 и Windows 10, версия 1709 включват предпазни мерки за този набор от уязвимости. Не се изисква допълнителна конфигурация.

Забележка Все пак трябва да се уверите, че хостът, на който се изпълняват тези контейнери, е конфигуриран да разреши подходящи предпазни мерки.

Не, поръчката за инсталиране няма значение.

Да, трябва да рестартирате след актуализацията на фърмуера (микрокода) и след това отново след актуализацията на системата.

Ето подробностите за ключовете от системния регистър:

FeatureSettingsOverride представлява растерно изображение, което замества настройката по подразбиране и контролира кои смекчавания ще бъдат забранени. Бит 0 контролира смекчаването, което съответства на CVE-2017-5715. Бит 1 контролира смекчаването, което съответства на CVE-2017-5754. Битовете са настроени на 0 , за да разрешите смекчаването и 1 , за да забраните смекчаването.

FeatureSettingsOverrideMask представлява растерна маска, която се използва заедно с FeatureSettingsOverride.  В тази ситуация използваме стойността 3 (представена като 11 в двоичното число или числовата система с основа 2), за да посочим първите два бита, които съответстват на наличните смекчавания. Този ключ от системния регистър е настроен на 3 , за да разрешите или забраните предпазните мерки.

MinVmVersionForCpuBasedMitigations е за Hyper-V хостове. Този ключ от системния регистър определя минималната версия на VM, която е необходима, за да използвате актуализираните възможности на фърмуера (CVE-2017-5715). Настройте го на 1.0 , за да обхваща всички версии на виртуална машина. Обърнете внимание, че тази стойност в системния регистър ще бъде игнорирана (на доброкачествена основа) на хостове, които не са Hyper-V. За повече подробности вижте Защита на гост виртуални машини от CVE-2017-5715 (branch target injection).

Да, няма странични ефекти, ако тези настройки на системния регистър са приложени преди инсталирането на корекции, свързани с януари 2018 г.

Вижте подробно описание на резултата от скрипта на KB4074629: Understanding SpeculationControl Резултат от скрипт на PowerShell .

Да, за хостове на Windows Server 2016 Hyper-V, които все още нямат налична актуализация на фърмуера, публикувахме алтернативни указания, които могат да ви помогнат да смекчите VM за VM или VM за хост атаки. Вижте Алтернативни защити за хостове на Windows Server 2016 Hyper-V срещу уязвимостите в страничен канал при спекулативно изпълнение .

Актуализациите само на защитата не са кумулативни. В зависимост от версията на операционната система може да се наложи да инсталирате няколко актуализации на защитата за пълна защита. По принцип клиентите ще трябва да инсталират актуализациите от януари, февруари, март и април 2018 г. Системи, които имат AMD процесори, се нуждаят от допълнителна актуализация, както е показано в следващата таблица:

Препоръчваме ви да инсталирате актуализациите само за защита в реда на издаване.

Не. Актуализацията на защитата KB4078130 беше конкретна корекция, за да предотврати непредсказуемо поведение на системата, проблеми с производителността и неочаквани рестартирания след инсталирането на микрокода. Прилагането на актуализациите на защитата на клиентски операционни системи На Windows позволява и трите смекчавания. В операционните системи Windows Server все още трябва да разрешите смекчаванията, след като направите правилното тестване. За повече информация вж. KB4072698.

Този проблем е разрешен в KB4093118.

През февруари 2018 г. Intel обяви , че са завършили своите проверки и са започнали да пускат микрокод за по-нови платформи на ЦП. Microsoft прави достъпни валидирани от Intel актуализации на микрокод, които се отнасят до Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 посочва конкретни статии за база знания по версия на Windows. Всяка конкретна статия от Базата знания съдържа наличните актуализации на микрокод на Intel от ЦП.

На 11 януари 2018  г. Intel съобщи за проблеми в наскоро издадения микрокод, който е предназначен за адресиране на Spectre вариант 2 (CVE-2017-5715 | Branch Target Injection). По-конкретно Intel отбеляза, че този микрокод може да доведе до "по-високи от очакваните рестартирания и друго непредсказуемо поведение на системата" и че тези сценарии може да причинят "загуба на данни или повреда.Нашият опит е, че нестабилността на системата може да доведе до загуба на данни или повреда при някои обстоятелства. На 22 януари Intel препоръча на клиентите да спрат да разполагат текущата версия на микрокода на засегнатите процесори, докато Intel извършва допълнително тестване на актуализираното решение. Разбираме, че Intel продължава да проучва потенциалния ефект на текущата версия на микрокода. Насърчаваме клиентите да преглеждат насоките си редовно, за да информират за решенията си.

Докато Intel тества, актуализира и разполага нов микрокод, ние предоставяме актуална (OOB) актуализация, KB4078130, която специално забранява само смекчаването на последствията срещу CVE-2017-5715. В нашите тестове е установено, че тази актуализация предотвратява описаното поведение. За пълния списък с устройства вижте указанията за редакция на микрокода от Intel. Тази актуализация се отнася за Windows 7 Service Pack 1 (SP1), Windows 8.1 и всички версии на Windows 10, както за клиенти, така и за сървъри. Ако работите със засегнато устройство, тази актуализация може да бъде приложена, като я изтеглите от уеб сайта Каталог на Microsoft Update. Прилагането на този полезен обем специално забранява само смекчаването срещу CVE-2017-5715.

Към момента няма известни отчети, които показват, че spectre variant 2 (CVE-2017-5715 | Branch Target Injection) се използва за атака на клиенти. Препоръчваме, когато е необходимо, потребителите на Windows да активират повторно смекчаването срещу CVE-2017-5715, когато Intel съобщи, че това непредсказуемо поведение на системата е отстранено за вашето устройство.

През февруари 2018 г. Intelобяви , че са завършили своите проверки и са започнали да пускат микрокод за по-нови платформи на ЦП. Microsoft прави достъпни валидирани от Intel актуализации на микрокод, които са свързани със Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 посочва конкретни статии за база знания по версия на Windows. Списъкът с KBs налични актуализации на микрокод на Intel от ЦП.

За повече информация вижте AMD защита Актуализации и AMD whitepaper: Architecture Guidelines around Indirect Branch Control. Те са достъпни от канала на фърмуера за OEM.

Предоставяме валидирани от Intel актуализации на микрокод, които се отнасят до Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). За да получат най-новите актуализации на микрокод на Intel чрез актуализиране на Windows, клиентите трябва да са инсталирали микрокод на Intel на устройства, работещи с операционна система Windows 10, преди да надстроят до актуализацията на Windows 10 април 2018 г. (версия 1803).

Актуализацията на микрокода също е налична директно от каталога на Microsoft Update, ако не е инсталирана на устройството преди надстройване на системата. Микрокодът на Intel е достъпен чрез актуализиране на Windows, Windows Server Update Services (WSUS) или каталога на Microsoft Update. За повече информация и инструкции за изтегляне вж. KB4100347.

За повече информация вижте следните ресурси:

• ADV180012 | Указания на Microsoft за спекулативно заобикаляне на Магазина за CVE-2018-3639

• ADV180013 | Указания на Microsoft за rogue System Register read for CVE-2018-3640 и KB 4073065 | Указания за клиенти на Surface

• Блог за изследване и защита на защитата на Microsoft

• Указания за разработчици за спекулативно заобикаляне на магазина

Вижте разделите "Препоръчителни действия" и "ЧЗВ" на  ADV180012 | Указания на Microsoft за спекулативно заобикаляне на Магазина.

За да проверите състоянието на SSBD, скриптът Get-SpeculationControlSettings PowerShell е актуализиран, за да открие засегнатите процесори, състоянието на актуализациите на операционната система SSBD и състоянието на микрокода на процесора, ако е приложимо. За повече информация и за да получите скрипта на PowerShell, вижте KB4074629.

На 13 юни 2018 г. беше обявена и възложена на CVE-2018-3665 допълнителна уязвимост, която включва спекулативно изпълнение в страничен канал, известно като възстановяване на състоянието на Lazy FP. За информация относно тази уязвимост и препоръчаните действия вижте съвети за защитата ADV180016 | Указания на Microsoft за възстановяване на състоянието на Lazy FP .

Забележка Няма задължителни настройки за конфигурация (системен регистър) за възстановяване на FP на Lazy.

Заобикаляне на границите на магазина (BCBS) е разкрито на 10 юли 2018 г. и е присвоено CVE-2018-3693. Смятаме, че BCBS принадлежи към същия клас уязвимости като заобикаляне на проверката за граници (вариант 1). В момента не сме наясно с никакви екземпляри на BCBS в нашия софтуер. Продължаваме обаче да проучваме този клас уязвимост и ще работим с партньори от отрасъла, за да издаваме смекчавания на последствията при нужда. Насърчаваме изследователите да подадат всички съответни констатации на програмата за оценка на страничен канал за спекулативно изпълнение, включително всички използваеми екземпляри на BCBS. Разработчиците на софтуер трябва да прегледат насоките за разработчици, които са актуализирани за BCBS при C++ указания за разработчици за спекулативни странични канали за изпълнение 

На 14 август 2018 г., L1 Terminal Fault (L1TF) беше обявена и присвоена няколко CVEs. Тези нови уязвимости на страничните канали при спекулативно изпълнение могат да се използват за четене на съдържанието на паметта в надеждна граница и ако бъдат използвани, могат да доведат до разкриване на информация. Има няколко вектора, чрез които атакуващият може да задейства уязвимостите в зависимост от конфигурираната среда. L1TF засяга процесори Intel® Core® и процесори Intel® Xeon®.

За повече информация относно тази уязвимост и подробен преглед на засегнатите сценарии, включително подхода на Microsoft за намаляване на L1TF, вижте следните ресурси:

• ADV180018 | Указания на Microsoft за предотвратяване на вариант L1TF

• Блог за изследване на защитата Security Advisory

• Указания за сървъра за терминална грешка L1

Стъпките за забраняване на Hyper-Threading се различават от OEM към OEM, но обикновено са част от BIOS или инструментите за настройка и конфигурация на фърмуера.

Клиентите, които използват 64-битови ARM процесори, трябва да се свържат с OEM устройството за поддръжка на фърмуера, тъй като защитите с ARM64 операционна система, които смекчават CVE-2017-5715 | Branch target injection (Spectre, Variant 2) изисква най-новата актуализация на фърмуера от OEM на устройството, за да влязат в сила.

За повече информация вижте следните съвети за защитата

• Intel's Security Advisory

• ADV190013 | Указания на Microsoft за намаляване на уязвимостите при извадка за микроархитектурни данни

Допълнителни указания могат да бъдат намерени в указанията на Windows за защита срещу уязвимостите в страничен канал при спекулативно изпълнение

Прегледайте указанията в указанията за Windows, които да ви помогнат да се защитите срещу уязвимостите в страничен канал при спекулативно изпълнение

За указания за Azure вижте тази статия: Указания за намаляване на уязвимостите в страничен канал при спекулативно изпълнение в Azure.

За повече информация относно разрешаването на Retpoline вижте нашата публикация в блога: Предотвратяване на Spectre variant 2 с Retpoline в Windows .

За подробности относно тази уязвимост вижте Ръководството за защита на Microsoft: CVE-2019-1125 | Уязвимост при разкриване на информация за ядрото на Windows.

Не сме наясно за нито един екземпляр на тази уязвимост при разкриване на информация, засягаща инфраструктурата на нашите услуги в облака.

Веднага щом разберем за този проблем, работихме бързо, за да го разрешим и да издадем актуализация. Твърдо вярваме в тясното партньорство с изследователи и партньори от отрасъла, за да направим клиентите по-защитени и не публикувахме подробности до вторник, 6 август, в съответствие с координираните практики за разкриване на уязвимости.

Допълнителни указания могат да бъдат намерени в указанията на Windows за защита срещу уязвимостите в страничен канал при спекулативно изпълнение.

Допълнителни указания могат да бъдат намерени в указанията на Windows за защита срещу уязвимостите в страничен канал при спекулативно изпълнение.

Допълнителни указания могат да бъдат намерени в Указания за забраняване на възможността за разширения за синхронизация на транзакции на Intel (Intel TSX).

Продуктите на трети лица, които са упоменати в тази статия, се произвеждат от фирми, които са независими от Microsoft. Не предоставяме никаква подразбираща се или друга гаранция относно производителността или надеждността на тези продукти.

Предоставяме информация за връзка с трети лица, за да Ви помогнем да намерите техническа поддръжка. Тази информация за връзка може да се промени без предизвестие. Не гарантираме точността на тази информация за връзка с трети лица.