Souhrn
Společnost Microsoft si je vědoma třídu nové veřejně známé chyby zabezpečení, které jsou známé jako "spekulativní provádění straně kanálu útoky." Tyto chyby ovlivňují mnoho moderní procesory a operační systémy. Jedná se o čipové sady Intel, AMD a ARM.
Dosud jsme neobdrželi žádné informace, které označují, že tyto chyby zabezpečení byly použity k útoku na zákazníky. Budeme i nadále úzce spolupracovat s partnery v průmyslu při ochraně zákazníků. Jedná se o čip tvůrci hardware výrobci OEM a výrobci aplikací. Chcete-li získat všechny dostupné ochrany, jsou požadovány aktualizace hardwaru nebo firmwaru a softwaru. To zahrnuje mikrokódu od výrobce OEM zařízení a v některých případech aktualizace antivirového softwaru. Vydali jsme několik aktualizací můžete zmírnit tyto chyby. Další informace o chyby zabezpečení naleznete v Microsoft Security Advisory ADV180002. Obecné pokyny naleznete také pokyny pro zmírnění spekulativní provádění straně kanálu chyby. Můžeme také přijaly opatření k zabezpečení našich služeb cloud. Naleznete v následujících částech Další informace.
Ohrožené verze Exchange Server.
Vzhledem k tomu, že se jedná o úroveň hardwarové útoky, které cílové systémy založenými na x64 a na x86 procesor, tento problém se týká všech podporovaných verzích Microsoft Exchange Server.
Doporučení
Následující tabulka popisuje doporučené akce pro zákazníky Exchange Server. Nejsou žádné konkrétní aktualizace Exchange, vyžadovaných aktuálně. Doporučujeme však zákazníci vždy spustit nejnovější kumulativní aktualizace pro Exchange Server a všechny potřebné aktualizace zabezpečení. Doporučujeme nasazení oprav vašeho ususal postupy k ověření nové binární soubory před zavedením do výrobní prostředí.
|
Scénář |
Popis |
Doporučení |
|
1 |
Úplné obnovení (bez virtuálních počítačů) je spuštěn Exchange Server a žádné jiné nedůvěryhodné aplikaci logiky (aplikační vrstva) je spuštěna ve stejném počítači bare metal.
|
Použije všechny aktualizace Exchange Server po ověření obvyklého předvýrobní testování a systém. Povolení jádra virtuální adresu stínování (KVAS) není vyžadováno (viz související oddíl dále v tomto článku). |
|
2 |
Exchange Server je spuštěn na virtuálním počítači v hostitelském prostředí veřejné (cloud). |
Pro Azure: Má Microsoft zaúčtovány informace o zmírnění úsilí Azure (podrobné informace naleznete v tématu KB 4073235 ). Pro ostatní poskytovatelé cloudu: odkazují na jejich pokyny. Doporučujeme nainstalovat všechny aktualizace operačního systému na guest virtuálního počítače (VM). Naleznete pokyny dále v tomto článku o povolení KVAS. |
|
3 |
Exchange Server je spuštěn na virtuálním počítači v privátní hostitelského prostředí. |
Naleznete v dokumentaci zabezpečení hypervisoru doporučené postupy zabezpečení. Pro Windows Server a Hyper-V naleznete v tématu KB 4072698 . Doporučujeme nainstalovat všechny aktualizace operačního systému na guest VM. Odkazují na pozdější pokyny v tomto článku o povolení KVAS. |
|
4 |
Exchange Server je spuštěn na fyzický nebo virtuální počítač a není izolován od ostatních aplikační logiky, která běží na stejném systému.
|
Doporučujeme nainstalovat všechny aktualizace operačního systému. Naleznete pokyny dále v tomto článku článku o povolení KVAS. |
Informační zpravodaj výkonu
Můžeme radit všem zákazníkům vyhodnotit výkon konkrétní prostředí při použití aktualizace.
Řešení poskytované společností Microsoft pro typy chyb zabezpečení, které jsou zmíněny v tomto článku bude používat softwarové mechanismy pro ochranu proti cross proces přístupu k datům. Můžeme radit všem zákazníkům nainstalovat aktualizované verze Exchange Server a Windows. To by měl mít minimální výkon efekt, založený na testování společností Microsoft Exchange pracovní vytížení.
Měření jsme z jádra virtuální adresu stínování (KVAS) vliv na různé pracovní vytížení. Zjistili jsme, že některé pracovní vytížení dochází k významnému poklesu výkonu. Exchange Server je jedním z těchto pracovních vytížení, významné snížení může dojít, pokud je povoleno KVAS. Očekává se, že servery, které ukazují vysoké využití procesoru nebo vysoké I/O zvyklosti ukazují největší vliv. Doporučujeme, abyste nejprve vyhodnotit vliv výkon povolení KVAS spuštěním testů v laboratoři, představující výrobní potřeby před nasazením do provozního prostředí. Efekt výkonu povolení KVAS je příliš vysoké, zvažte, zda uzavírací Exchange Server z nedůvěryhodného kódu, který běží na stejném systému je lepší řešení pro aplikaci.
Kromě KVAS, je podrobné informace o výkonu od vstřikování větev cíl zmírnění hardwarovou podporu (b-ISDN) zde. Server se systémem Exchange Server, který má jako IBC řešení nasazeno na něj setkat výrazný pokles výkonu, pokud je povoleno IBC.
Očekáváme, že dodavatelé hardwaru bude nabízet aktualizace svých produktů ve formuláři aktualizace mikrokódu. Naše zkušenosti s výměnou označuje, že aktualizace mikrokódu zvýší výkon přetažení. V rozsahu, které k tomu dojde je vysoce závislá na součásti a návrh systému, ve kterém jsou použity. Věříme, že žádné jediné řešení softwarové nebo hardwarové, stačí pouze tuto chybu zabezpečení řeší. Doporučujeme vyhodnotit výkon všech aktualizací na variabilitu v návrhu systému a výkonu před jejich umístěním do výroby. Tým serveru Exchange není plánování aktualizace kalkulačky velikosti používané zákazníky aktuálně zohlednit rozdíly výkonu. Výpočty podle tohoto nástroje se neberou v úvahu změny ve výkonu související opravy těchto problémů. Budeme nadále hodnotit tento nástroj a úpravy, které jsme přesvědčeni, že mohou být požadovány, na základě naší vlastní využití a který zákazníci.
Tato část bude aktualizován jako další informace jsou k dispozici.
Povolení virtuální adresy jádra stínový provoz
V mnoha prostředích, včetně fyzických systémů VMs ve veřejné a soukromé cloud prostředí a operačních systémů Windows je spuštěn Exchange Server. Bez ohledu na životní prostředí program je umístěn na fyzickém systému nebo virtuálního počítače. Toto prostředí, ať už fyzické nebo virtuální, je označován jako bezpečnostní hranice.
Veškerý kód uvnitř hranic má přístup ke všem datům v rámci těchto hranic, není nutná žádná akce. Pokud tomu tak není, na hranici se říká víceklientské. Chyb zabezpečení, které byly nalezeny umožňují jakýkoli kód, který běží v rámci jakéhokoli procesu v rámci těchto hranic pro čtení jiných dat v rámci těchto hranic. To platí i v rámci omezené oprávnění. Pokud jakýkoli proces v hranici je spuštěn nedůvěryhodný kód, tento proces by mohl tyto chyby zabezpečení použít číst data z jiných procesů.
K ochraně před nedůvěryhodným kódem v hranici víceklientské, proveďte některou z následujících akcí:
-
Odeberte nedůvěryhodný kód.
-
Zapněte KVAS chránit proti procesu procesu čtení. To bude mít vliv na výkon. Naleznete v předchozích částech tohoto článku podrobné informace.
Další informace o tom, jak povolit KVAS pro systém Windows naleznete v tématu KB 4072698.
Příklad scénáře (KVAS je důrazně doporučeno)
Scénář 1
Azure VM je spuštěna služba, kdy nedůvěryhodní uživatelé mohou odeslat kód jazyka JavaScript, který je spuštěn s omezenými oprávněními. Na stejném VM je Exchange Server spuštění a správě dat, které by neměly být přístupné tyto nedůvěryhodným uživatelům. V takovém případě je nutné KVAS nezískala mezi dvěma entitami.
Scénář 2
Fyzickém systému na prostor, který je hostitelem Exchange Server můžete spustit nedůvěryhodný třetí strany skripty a spustitelné soubory. Je nutné povolit KVAS chránit před prozrazením výměna dat skriptu nebo spustitelného souboru.
Poznámka: Pouze protože používá mechanismem rozšiřitelnosti v rámci Exchange Server, který neprovede automaticky nebezpečný. Tyto mechanismy lze bezpečně v rámci Exchange Server tak dlouho, dokud každá závislost je srozumitelné a důvěryhodné. Kromě toho existují další produkty, které jsou postaveny na Exchange Server, který může vyžadovat rozšíření mechanismy fungovat správně. Místo toho jako první akce zkontrolujte každý použít k určení, zda je kód chápat a důvěryhodné. Tento návod je určena k pomoci zákazníkům určit, zda mají povolení KVAS z důvodu větší vliv na výkon.
Povolení podpora hardwaru větev cíl vstřikování ke zmírnění (b-ISDN)
B-ISDN snižuje proti CVE 2017-5715, také známý jako jedna polovina Spectre nebo "varianta 2" na zpřístupnění GPZ.
Tyto pokyny pro povolení KVAS v systému Windows můžete také povolit IBC. B-ISDN však vyžaduje aktualizaci firmwaru od výrobce hardwaru. Kromě pokynů v KB 4072698 povolit ochranu v systému Windows mají zákazníci získat a nainstalovat aktualizace od výrobce hardwaru.
Scénáře příkladu (b-ISDN je důrazně doporučeno)
Scénář 1
V systému pro fyzické na prostor, který je hostitelem Exchange Server nedůvěryhodní uživatelé budou moci uložit a spustit libovolný kód v jazyce JavaScript. V tomto scénáři doporučujeme důrazně IBC k ochraně proti proces pro přístup k informacím.
V situacích, ve kterých IBC podpora hardwaru není k dispozici doporučujeme oddělit nedůvěryhodných procesy a důvěryhodném procesu na různé fyzické nebo virtuální počítače.
Mechanismy rozšíření Exchange Server nedůvěryhodných
Exchange Server obsahuje rozšíření funkcí a mechanismů. Mnohé z nich jsou založeny na rozhraní API, která neumožňují nedůvěryhodné spuštění kódu na serveru se systémem Exchange Server. Agenti dopravy a prostředí Exchange Management Shell mohou umožnit nedůvěryhodný kód spustit na serveru se systémem Exchange Server v určitých situacích. Ve všech případech s výjimkou zprostředkovatelé dopravy rozšiřující funkce vyžadovat ověření před jejich použitím. Doporučujeme použít rozšiřující funkce, které jsou omezeny na minimální sadu binárních souborů, pokud je to použitelné. Také doporučujeme, aby zákazníci omezit přístup k serveru, abyste se vyhnuli nutnosti libovolného kódu stejným systémem jako Exchange Server. Poradit můžeme určit, zda lze důvěřovat každý binární. By měla zakázat nebo odebrat důvěryhodný binární soubory. Také nezapomeňte, že rozhraní pro správu nejsou přístupné na Internetu.
Všechny produkty třetích stran popisované v tomto článku jsou vyráběny společnostmi nezávislými na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku, implicitně předpokládanou ani jinou týkající se výkonu nebo spolehlivosti těchto produktů.
