Резюме
Microsoft е наясно с нов оповестена публично клас уязвимости, които са известни като "спекулативно изпълнение канал страна атаки." Тези уязвимости засягат много съвременните процесори и операционни системи. Това включва чипсети от Intel, AMD и ARM.
Ние още не са получили информация, показват, че тези уязвимости са били използвани за атаки на клиенти. Ние продължаваме да работят с индустриални партньори за защита на потребителите. Това включва чипове производители, OEM производители на хардуер и доставчиците на приложения. За да получите всички налични защита, хардуер или фърмуер и софтуерни актуализации са задължителни. Това включва микрокод от OEM устройство и в някои случаи актуализации Антивирусният софтуер. Ние са пуснали няколко актуализации за намаляване на тези уязвимости. Повече информация за уязвимости могат да бъдат намерени в Microsoft Security консултации ADV180002. За общи указания видите указания за ограничаване спекулативно изпълнение канал страна уязвимости. Ние също са взели да защитите нашите услуги за облак. Вижте следните раздели за повече подробности.
Засегнатите версии на Exchange Server
Тъй като те са хардуерно ниво атаки, които са насочени към x64- и x86 процесор системи, всички поддържани версии на Microsoft Exchange Server са засегнати от този проблем.
Препоръки
Следната таблица описва препоръчваните действия за потребители на Exchange Server. Няма конкретни Exchange актуализации, които са необходими в момента. Обаче ви препоръчваме клиентите винаги да стартирате Последната кумулативна актуализация на Exchange Server и всички необходими актуализации. Ви препоръчваме да инсталирате корекции с помощта на листа процедури за проверка на нови файлове, преди да ги разположите производствени среди.
|
Сценарий |
Описание |
Препоръки |
|
1 |
Exchange Server се изпълнява на върху метал (виртуални машини) и други ненадежден приложения логика (ниво на приложения) се изпълнява на един и същ bare метъл машина.
|
Приложете всички система и актуализации за Exchange Server след обичайните предварително производство проверка проверка. Разрешаване на ядрото виртуални за сянка на адрес (KVAS) не е необходимо (вж. сродни по-нататък в тази статия). |
|
2 |
Exchange Server се изпълнява на виртуална машина в публичните подслоняваща среда (облак). |
За фирмата: Microsoft е предоставена информация за намаляване на усилията за Azure (за подробна информация вижте KB 4073235 ). За други доставчици на облак: Вижте им указания. Вижте указания по-долу в тази статия за това дали да разрешите KVAS. |
|
3 |
Exchange Server се изпълнява на виртуална машина в частен хостинг среда. |
Вижте документацията на сигурността софтуер за управление на най-добрите практики за сигурност. Вижте KB 4072698 от Windows Server Hyper-V. Ние препоръчваме да инсталирате всички актуализации на операционната система на гост VM. Вижте ръководството, по-късно в тази статия за това дали да разрешите KVAS. |
|
4 |
Exchange Server се изпълнява на физическа или виртуална машина и не е изолирано от други приложения логика, която се изпълнява на системата.
|
Ние препоръчваме да инсталирате всички актуализации на операционната система. Вижте препоръките в тази статия статия дали да разрешите KVAS. |
Производителност на консултантски услуги
Съветваме всички клиенти, за да оценявате изпълнението на вашата конкретна среда, когато приложите актуализациите.
Решения, които са предвидени от Microsoft видове уязвимости, които се обсъждат тук ще използва софтуерно базиран механизми за защита срещу кръстосани процес достъп до данни. Съветваме всички клиенти, за да инсталирате актуализирани версии на Exchange Server и Windows. Това трябва да има минимален изпълнение ефект, въз основа на тестването на Microsoft на натоварвания на Exchange.
Ние са измерва ефектът на ядрото виртуален адрес сянка (KVAS) за различни натоварвания. Открихме, че някои натоварвания опит значително намаляване на производителността. Exchange Server е един от тези натоварвания, които могат да възникнат значителен спад, ако KVAS е разрешено. Сървъри, които показват голямо използване на CPU или начините на използване на висока входно-изходна се очаква да покажат най-голямата сила. Настоятелно препоръчваме да прецените първо изпълнение ефект даде възможност KVAS чрез провеждане на тестове в лаборатория, която отговаря на вашите нужди производство преди да разположите в производствена среда. Ако производителността ефект на разрешаване на KVAS е твърде високо, помислете дали изолиране Exchange Server от ненадежден код, който се изпълнява на системата е по-добра намаляване на приложението.
В допълнение към KVAS, подробна информация за производителността ефект от бранша целеви инжекция намаляване хардуерна поддръжка (IBC) тук. Сървър, на който се изпълнява Exchange Server и който има решение IBC, разположени в нея възникват значително намаляване на производителността, ако IBC е разрешена.
Очакваме, че доставчици на хардуер ще предлага актуализации за своите продукти под формата на микрокод актуализации. Нашият опит с Exchange показва микрокод актуализации ще се повиши капка изпълнение. Степен, в която това се случва, зависи от много компоненти и проектирането на системата, на които се прилагат. Ние смятаме, че едно решение, независимо дали софтуерни или хардуерни, е достатъчно за справяне с този вид уязвимост сам. Препоръчваме ви да се оценява изпълнението на всички актуализации, за да отчете промените в система за проектиране и изпълнение преди да ги поставите в производство. Екипът на Exchange не планира да актуализирате калкулатора на размера, който се използва от потребителите да отчете показателите в момента. Изчисленията, предоставена от този инструмент не отчита всички промени в изпълнението, свързани с корекции за тези проблеми. Ще продължим да оценявате този инструмент и корекциите, които смятаме, че може да е необходимо, въз основа на използване на нашите собствени и на клиенти.
Ние ще актуализира този раздел повече информация.
Разрешаване на ядрото виртуален адрес сянка
Exchange Server се изпълнява в много среди, включително системи за физически, виртуални машини в среда на публични и личен облак и операционните системи Windows. Независимо от околната среда програмата се намира на физическата система или VM. Тази среда, независимо дали физически или виртуални, се нарича сигурност граница.
Ако всички код в границите има достъп до всички данни в тази граница, не е необходимо. Ако това не е така, границата се смята за много клиент. Уязвимости, които позволяват всеки код, който се изпълнява във всеки процес на тази граница да прочетете други данни в тази граница. Това важи дори при намалена разрешения. Ако всеки процес в границите се изпълнява ненадежден код, този процес може да използва тези уязвимости да прочете данни от други процеси.
За предпазване от ненадежден код в няколко клиент граница, направете едно от следните неща:
-
Премахване на ненадежден код.
-
Включете KVAS за предпазване от процеса на процеса чете. Това ще се отрази изпълнение. Вижте раздела по-рано в тази статия за подробна информация.
За повече информация как да разрешите KVAS за Windows, вижте KB 4072698.
Примерни сценарии (KVAS настоятелно се препоръчва)
Сценарий 1
Azure VM изпълнява услуга, в която ненадежден потребителите могат да изпращат JavaScript код, който се управлява от с ограничени разрешения. На един и същ VM Exchange Server работи и управление на данните, които трябва да не са достъпни за тези потребители, ненадежден. В този случай KVAS е необходимо за защита от разкриване между два обекта.
Сценарий 2
Локална физическа система, която хоства Exchange Server може да работи ненадежден външни скриптове или изпълними файлове. Необходимо е да KVAS за защита от разкриване на обмен на данни към скрипт или изпълним.
Забележка Само защото се използва механизъм за разширяване на Exchange Server, които не се правят автоматично го опасни. Тези механизми може да се използва безопасно в Exchange Server, като всяка зависимост се разбира и надежден. Освен това има и други продукти, които са създадени в Exchange Server, които изискват разширяемост механизми да работят правилно. Вместо това, като на първото действие прегледайте всяка употреба, за да определите дали кодът се разбира и надеждни. Това ръководство е предоставена за клиентите определят дали те трябва да активирате KVAS поради по-големи показателите.
Разрешаване на клон целеви инжекция намаляване (IBC) хардуерна поддръжка
IBC спъва CVE 2017-5715, известна още като половината от призрака или "вариант 2" GPZ разкриване.
Тези инструкции за разрешаване на KVAS на Windows може да позволи IBC. IBC обаче изисква актуализация на фърмуера от производителя на хардуера. В допълнение към инструкциите в KB 4072698 за защита на Windows клиентите трябва да получите и инсталирате актуализации от производителя на хардуера си.
Например сценарий (IBC настоятелно се препоръчва)
Сценарий 1
В локалния физическа система, която се намира на Exchange Server ненадеждни потребители могат да качи и изпълни произволен код JavaScript. В този случай силно препоръчваме IBC за защита от разкриване на информация за процеса на процеса.
В ситуации, в които IBC хардуерна поддръжка не е наличен е препоръчително да се отдели ненадежден процеси и надежден процес на различен физически или виртуални машини.
Ненадежден Exchange Server разширяемост механизми
Exchange Server включва разширяване функциите и механизми. Много от тях са базирани приложения, които не позволяват ненадежден код на сървър с Exchange Server. Агенти за транспортиране и обвивката на Exchange за управление може да позволи ненадежден код на сървър с Exchange Server в определени ситуации. Във всички случаи, с изключение на агенти за транспортиране разширяемост функции изискват удостоверяване, преди те да бъдат използвани. Ние препоръчваме да използвате разширение функции, които са ограничени до минимален набор от файлове, когато е приложимо. Препоръчително е, че клиентите ограничава достъпа на сървъра да избегнете произволен код се изпълнява на същите системи като Exchange Server. Съветваме ви да се определи дали доверие всеки двоичен. Трябва да забраните или премахнете ненадежден двоични файлове. Вие трябва да сте сигурни, че интерфейси за управление не са изложени в интернет.
Други продукти, които се обсъждат в тази статия са произведени от фирми, независими от Microsoft. Microsoft не дава никакви гаранции, подразбиращи се или от друго естество, за производителността или надеждността на тези продукти.
