KB4072698: Vejledning i Windows Server og Azure Stack HCI for at beskytte mod silicon-baserede mikroarkitektur- og speculative execution side-channel-sikkerhedsrisici

I denne artikel beskrives følgende speculative execution-sikkerhedsrisici:

• CVE-2017-5715 | Indskydning af forgreningsmål

• CVE-2017-5753 | Tilsidesættelse af grænsekontrol

• CVE-2017-5754 | Indlæsning af useriøse datacache

• CVE-2018-3639 | Speculative Store Bypass

Windows Update kan også afhjælpe Internet Explorer og Edge. Vi fortsætter med at forbedre disse afhjælpninger i forhold til denne klasse af sårbarheder.

Du kan få mere at vide om denne klasse af sårbarheder under

• ADV180002 | Vejledning til at afhjælpe "speculative execution side-channel-sikkerhedsrisici"

• ADV180012 | Microsoft-vejledning til Speculative Store Bypass

Den 14. maj 2019 offentliggjorde Intel oplysninger om en ny underklasse af speculative execution side-channel-sikkerhedsrisici kendt som Microarchitectural Data Sampling og dokumenteret i ADV190013 | Stikprøver af mikroarkitekturdata. De har fået tildelt følgende cv'er:

• CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

• CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)

• CVE-2018-12127 | Stikprøvetagning af mikroarkitekteringsbufferdata (MFBDS)

• CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)

Microsoft har udgivet opdateringer for at afhjælpe disse sårbarheder. For at få al tilgængelig beskyttelse kræves firmware (mikrokode) og softwareopdateringer. Dette kan omfatte mikrokode fra enheds-OEM'er. I nogle tilfælde vil det påvirke ydeevnen at installere disse opdateringer. Vi har også handlet for at sikre vores skytjenester. Vi anbefaler på det kraftigste, at du installerer disse opdateringer.

Du kan finde flere oplysninger om dette problem i følgende Security Advisory og bruge scenariebaseret vejledning til at bestemme de handlinger, der er nødvendige for at afhjælpe truslen:

• ADV190013 | Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities

• Vejledning i Windows for at beskytte mod "speculative execution side-channel-sikkerhedsrisici"

Den 6. august 2019 udgav Intel oplysninger om en sårbarhed i forbindelse med afsløring af Windows-kerneoplysninger. Denne sårbarhed er en variant af Spectre, Variant 1 speculative execution side-channel-sårbarhed og er blevet tildelt CVE-2019-1125.

Den 9. juli 2019 udsendte vi sikkerhedsopdateringer til Windows-operativsystemet for at afhjælpe dette problem. Bemærk, at vi holdt tilbage med at dokumentere denne afhjælpning offentligt indtil den koordinerede brancheoffentliggørelse tirsdag d. 6. august 2019.

Kunder, der har Windows Update aktiveret og har anvendt de sikkerhedsopdateringer, der blev udgivet d. 9. juli 2019, beskyttes automatisk. Der er ingen yderligere konfiguration nødvendig.

Du kan finde flere oplysninger om denne sikkerhedsrisiko og relevante opdateringer i Microsoft Security Update Guide:

• CVE-2019-1125 | Sårbarhed i forbindelse med afsløring af Windows-kerneoplysninger

Den 12. november 2019 offentliggjorde Intel en teknisk vejledning vedrørende Intel® Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort-sårbarhed, der er tildelt CVE-2019-11135. Microsoft har udgivet opdateringer for at afhjælpe denne sikkerhedsrisiko, og os-beskyttelsen er som standard aktiveret for Windows Server 2019, men deaktiveret som standard for Windows Server 2016 og tidligere versioner af Windows Server OS.

Den 14. juni 2022 offentliggjorde vi ADV220002 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities and assigned these CVEs: 

• CVE-2022-21123 | Læsning af delte bufferdata (SBDR)

• CVE-2022-21125 | Delt bufferdataprøvetagning (SBDS)

• CVE-2022-21127 | Særlig opdatering til registrering af bufferdataudtagning (SRBDS-opdatering)

• CVE-2022-21166 | Device Register Partial Write (DRPW)

Anbefalede handlinger

Du skal udføre følgende handlinger for at beskytte dig mod sårbarhederne:

1. Anvend alle tilgængelige opdateringer til Windows-operativsystemet, herunder de månedlige Windows-sikkerhedsopdateringer.

2. Anvend den gældende firmwareopdatering (mikrokode), der leveres af enhedsproducenten.

3. Vurder risikoen for dit miljø ud fra de oplysninger, der leveres i Microsoft Security Advisories: ADV180002, ADV180012, ADV190013 og ADV220002 ud over oplysningerne i denne artikel i videnbase.

4. Benyt de råd og oplysninger om registreringsdatabasenøgler, der er angivet i denne artikel om videnbase.

Den 12. juli 2022 offentliggjorde vi CVE-2022-23825 | Forvirring med AMD CPU-forgreningstype , der beskriver, at aliasser i grensforudsigelsen kan medføre, at visse AMD-processorer forudsiger den forkerte forgreningstype. Dette problem kan potentielt føre til afsløring af oplysninger.

For at beskytte mod denne sikkerhedsrisiko anbefaler vi, at du installerer Windows-opdateringer, der er dateret den eller efter juli 2022, og derefter udfører de handlinger, der kræves af CVE-2022-23825 og oplysninger om registreringsdatabasenøgler, der er angivet i denne videnbase artikel.

Du kan finde flere oplysninger i sikkerhedsbulletinEN AMD-SB-1037 .

Den 8. august 2023 offentliggjorde vi CVE-2023-20569 | Return Address Predictor (også kendt som Start), som beskriver et nyt speculative sidekanalangreb, der kan resultere i speculative execution på en hackerstyret adresse. Dette problem påvirker visse AMD-processorer og kan potentielt føre til afsløring af oplysninger.

For at beskytte mod denne sikkerhedsrisiko anbefaler vi, at du installerer Windows-opdateringer, der er dateret den eller efter august 2023, og derefter udfører de handlinger, der kræves af CVE-2023-20569 og oplysninger om registreringsdatabasenøgler, der er angivet i denne videnbase artikel.

Du kan finde flere oplysninger i sikkerhedsbulletinEN AMD-SB-7005 .

Den 9. april 2024 offentliggjorde vi CVE-2022-0001 | Intel Branch History Injection, som beskriver BHI (Branch History Injection), som er en bestemt form for BTI i intratilstand. Denne sikkerhedsrisiko opstår, når en hacker kan manipulere forgreningshistorikken, før der skiftes fra bruger- til supervisortilstand (eller fra VMX-ikke-root/gæst til rodtilstand). Denne manipulation kan medføre, at en indirekte forgreningsforudsigelse vælger en bestemt forudsigelig post for en indirekte gren, og en afsløringsgadget på det forudsagte mål udføres forbigående. Dette kan være muligt, fordi den relevante grenshistorik kan indeholde grene, der er taget i tidligere sikkerhedskontekster, og især andre forudsigelige tilstande.

Bruger-til-kerne-beskyttelse for CVE-2017-5715 er som standard deaktiveret for AMD CPU'er. Kunderne skal aktivere afhjælpningen for at modtage yderligere beskyttelse for CVE-2017-5715.  Du kan få mere at vide under Ofte stillede spørgsmål nr. 15 i ADV180002.

Bruger-til-kerne-beskyttelse for CVE-2017-5715 er som standard deaktiveret for AMD-processorer. Kunderne skal aktivere afhjælpningen for at modtage yderligere beskyttelse for CVE-2017-5715.  Du kan få mere at vide under Ofte stillede spørgsmål nr. 15 i ADV180002.

Sådan aktiveres afhjælpning for CVE-2022-23825 på AMD-processorer:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Kunderne skal muligvis også deaktivere Hyper-Threading (også kaldet SMT – Samtidig multitrådning) for at være fuldt beskyttet. Se KB4073757 for at få vejledning i at beskytte Windows-enheder.

Sådan aktiveres afhjælpning for CVE-2023-20569 på AMD-processorer:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Sådan aktiveres afhjælpning for CVE-2022-0001 på Intel-processorer :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Du kan finde en detaljeret forklaring af outputtet af PowerShell-scriptet under KB4074629 . 

For at undgå at påvirke kundeenheder negativt blev de Windows-sikkerhedsopdateringer, der blev udgivet i januar og februar 2018, ikke tilbudt til alle kunder. Du kan finde flere oplysninger i KB407269 .

Mikrokoden leveres via en firmwareopdatering. Kontakt din OEM om den firmwareversion, der har den relevante opdatering til computeren.

Der er flere variabler, der påvirker ydeevnen, lige fra systemversionen til de arbejdsbelastninger, der kører. For nogle systemer vil ydelseseffekten være ubetydelig. For andre vil det være betydeligt.

Vi anbefaler, at du vurderer effekterne på dine systemer og foretager justeringer efter behov.

Ud over den vejledning, der er i denne artikel om virtuelle maskiner, skal du kontakte din tjenesteudbyder for at sikre, at de værter, der kører dine virtuelle maskiner, er tilstrækkeligt beskyttede.

For virtuelle Windows Server-maskiner, der kører i Azure, skal du se Vejledning til afhjælpning af speculative execution side-channel-sikkerhedsrisici i Azure . Du kan få vejledning i at bruge Azure Update Management til at afhjælpe dette problem på virtuelle gæste-vm'er under KB4077467.

De opdateringer, der blev udgivet til Windows Server-objektbeholderafbildninger til Windows Server 2016 og Windows 10, version 1709, omfatter afhjælpninger af dette sæt sårbarheder. Der kræves ingen yderligere konfiguration.

Bemærk Du skal stadig sikre dig, at den vært, som disse objektbeholdere kører på, er konfigureret til at aktivere de relevante afhjælpninger.

Nej, installationsordren er ligegyldigt.

Ja, du skal genstarte efter firmwareopdateringen (mikrokode) og derefter igen efter systemopdateringen.

Her er detaljerne for registreringsdatabasenøglerne:

FeatureSettingsOverride repræsenterer en bitmap, der tilsidesætter standardindstillingen og styrer, hvilke afhjælpninger der deaktiveres. Bit 0 styrer den afhjælpning, der svarer til CVE-2017-5715. Bit 1 styrer den afhjælpning, der svarer til CVE-2017-5754. Bits er indstillet til 0 for at aktivere afhjælpningen og til 1 for at deaktivere afhjælpningen.

FeatureSettingsOverrideMask repræsenterer en bitmapmaske, der bruges sammen med FeatureSettingsOverride.  I denne situation bruger vi værdien 3 (repræsenteret som 11 i det binære tal eller det grundlæggende talsystem) til at angive de første to bit, der svarer til de tilgængelige afhjælpninger. Denne registreringsdatabasenøgle er indstillet til 3 begge for at aktivere eller deaktivere afhjælpningerne.

MinVmVersionForCpuBasedMitigations er for Hyper-V-værter. Denne registreringsdatabasenøgle definerer den minimumsversion af VM, der kræves, for at du kan bruge de opdaterede firmwarefunktioner (CVE-2017-5715). Indstil denne til 1.0 for at dække alle VM-versioner. Bemærk, at denne registreringsdatabaseværdi ignoreres (godartet) på ikke-Hyper-V-værter. Du kan finde flere oplysninger under Beskyttelse af virtuelle gæstemaskiner fra CVE-2017-5715 (indskydning af grenmål).

Ja, der er ingen bivirkninger, hvis disse indstillinger i registreringsdatabasen anvendes, før du installerer de rettelser, der er relateret til januar 2018.

Se en detaljeret beskrivelse af scriptoutputtet på KB4074629: Om SpeculationControl PowerShell-scriptoutput .

Ja, for Windows Server 2016 Hyper-V-værter, der endnu ikke har firmwareopdateringen tilgængelig, har vi udgivet en alternativ vejledning, der kan hjælpe med at reducere VM til VM eller VM til at hoste angreb. Se Alternativ beskyttelse af Windows Server 2016 Hyper-V-værter mod "speculative execution side-channel-sikkerhedsrisici" .

Opdateringer, der kun gælder sikkerhed, er ikke kumulative. Afhængigt af din version af operativsystemet skal du muligvis installere flere sikkerhedsopdateringer for at få fuld beskyttelse. Generelt skal kunderne installere opdateringerne for januar, februar, marts og april 2018. Systemer, der har AMD-processorer, skal have en ekstra opdatering, som vist i følgende tabel:

Vi anbefaler, at du installerer kun sikkerhedsopdateringerne i den rækkefølge, de udgives.

Nej. Sikkerhedsopdatering KB4078130 var en bestemt rettelse for at forhindre uforudsigelige systemadfærd, problemer med ydeevnen og uventede genstarter efter installation af mikrokode. Alle tre afhjælpninger kan afhjælpes ved at anvende sikkerhedsopdateringer på Windows-klientoperativsystemer. På Windows Server-operativsystemer skal du stadig aktivere afhjælpningerne, når du har udført korrekt test. Du kan få mere at vide under KB4072698.

Dette problem blev løst i KB4093118.

I februar 2018 meddelte Intel, at de havde fuldført deres valideringer og begyndte at udgive mikrokode til nyere CPU-platforme. Microsoft gør Intel-validerede mikrokodeopdateringer tilgængelige, der vedrører Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 viser specifikke videnbase artikler efter Windows-version. Hver specifik KB-artikel indeholder de tilgængelige Intel-mikrokodeopdateringer efter CPU.

Den 11. januar 2018 rapporterede Intel om problemer i den nyligt udgivne mikrokode, der skulle håndtere Spectre variant 2 (CVE-2017-5715 | Branch Target Injection). Intel bemærkede specifikt, at denne mikrokode kan forårsage "genstart, der er højere end forventet, og anden uforudsigelig systemfunktionsmåde", og at disse scenarier kan medføre "datatab eller beskadigelse." Vores erfaring er, at systemets ustabilitet kan medføre tab af data eller beskadigelse i nogle tilfælde. Den 22. januar anbefalede Intel, at kunder stopper med at installere den aktuelle mikrokodeversion på berørte processorer, mens Intel udfører yderligere test på den opdaterede løsning. Vi forstår, at Intel fortsætter med at undersøge den potentielle effekt af den aktuelle version af mikrokode. Vi opfordrer kunderne til løbende at gennemgå deres vejledning for at informere deres beslutninger.

Mens Intel tester, opdaterer og installerer ny mikrokode, gør vi en OOB-opdatering (out-of-band) tilgængelig , KB4078130, der specifikt kun deaktiverer afhjælpningen mod CVE-2017-5715. I vores test er denne opdatering blevet fundet for at forhindre den beskrevne funktionsmåde. Du kan finde en komplet liste over enheder i vejledningen til revision af mikrokode fra Intel. Denne opdatering dækker Windows 7 Service Pack 1 (SP1), Windows 8.1 og alle versioner af Windows 10, både klient og server. Hvis du kører en berørt enhed, kan denne opdatering anvendes ved at downloade den fra webstedet Microsoft Update-katalog. Anvendelse af denne nyttelast deaktiverer specifikt kun afhjælpningen mod CVE-2017-5715.

Fra og med dette tidspunkt er der ingen kendte rapporter, der indikerer, at denne Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection) er blevet brugt til at angribe kunder. Vi anbefaler, at Windows-brugere, når det er relevant, genaktiverer afhjælpningen mod CVE-2017-5715, når Intel rapporterer, at denne uforudsigelige systemfunktionsmåde er blevet løst for din enhed.

I februar 2018meddelte Intel, at de har fuldført deres valideringer og er begyndt at udgive mikrokode til nyere CPU-platforme. Microsoft gør Intel-validerede mikrokodeopdateringer, der er relateret til Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715) tilgængelige | Branch Target Injection). KB4093836 viser specifikke videnbase artikler efter Windows-version. KB-listen over tilgængelige Intel-mikrokodeopdateringer efter CPU.

Du kan få mere at vide under AMD Security Opdateringer og AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . Disse er tilgængelige fra OEM-firmwarekanalen.

Vi gør intel-validerede mikrokodeopdateringer tilgængelige, der vedrører Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). Kunderne skal have installeret Intel-mikrokode på enheder, der kører et Windows 10 operativsystem, før de opgraderer til Windows 10 April 2018-opdateringen (version 1803) for at få de seneste Intel-mikrokodeopdateringer via Windows Update.

Mikrokodeopdateringen er også tilgængelig direkte fra Microsoft Update-kataloget, hvis den ikke blev installeret på enheden, før du opgraderede systemet. Intel-mikrokode fås via Windows Update, Windows Server Update Services (WSUS) eller Microsoft Update-kataloget. Du kan finde flere oplysninger og downloadinstruktioner under KB4100347.

Du kan få mere at vide i følgende ressourcer:

• ADV180012 | Microsoft Guidance for Speculative Store Bypass for CVE-2018-3639

• ADV180013 | Microsoft Guidance for Rogue System Register Read for CVE-2018-3640 and KB 4073065 | Vejledning til Surface-kunder

• Microsoft Security Research and Defense Blog

• Udviklervejledning til Speculative Store Bypass

Se afsnittene "Anbefalede handlinger" og "Ofte stillede spørgsmål" i  ADV180012 | Microsoft Guidance for Speculative Store Bypass.

For at bekræfte status for SSBD er Scriptet Get-SpeculationControlSettings PowerShell blevet opdateret for at registrere berørte processorer, status for opdateringer til SSBD-operativsystemet og processorens mikrokode, hvis det er relevant. Du kan finde flere oplysninger og hente PowerShell-scriptet under KB4074629.

Den 13. juni 2018 blev en ekstra sårbarhed, der involverer side-channel speculative execution, kendt som Lazy FP State Restore, annonceret og tildelt CVE-2018-3665 . Du kan få oplysninger om denne sårbarhed og anbefalede handlinger i Security Advisory-ADV180016 | Microsoft Guidance for Lazy FP State Restore .

Bemærk! Der er ingen påkrævede konfigurationsindstillinger (registreringsdatabase) for Lazy Restore FP Restore.

Bounds Check Bypass Store (BCBS) blev offentliggjort d. 10. juli 2018 og tildelt CVE-2018-3693. Vi anser BCBS for at tilhøre den samme klasse af sårbarheder som Bounds Check Bypass (Variant 1). Vi er i øjeblikket ikke opmærksomme på nogen forekomster af BCBS i vores software. Vi undersøger dog fortsat denne sårbarhedsklasse og samarbejder med branchepartnere om at frigive afhjælpninger efter behov. Vi opfordrer forskere til at indsende relevante resultater til Microsoft Speculative Execution Side Channel-dusørprogrammet, herunder alle udnyttelige forekomster af BCBS. Softwareudviklere bør gennemgå de udviklervejledninger, der er blevet opdateret for BCBS på C++Developer Guidance for Speculative Execution Side Channels 

Den 14. august 2018 blev L1 Terminal Fault (L1TF) annonceret og tildelt flere CVEs. Disse nye "speculative execution side-channel"-sikkerhedsrisici kan bruges til at læse indholdet af hukommelsen på tværs af en pålidelig grænse, og hvis de udnyttes, kan det føre til afsløring af oplysninger. Der er flere vektorer, hvorved en hacker kan udløse sårbarhederne, afhængigt af det konfigurerede miljø. L1TF påvirker Intel® Core-processorer® og Intel® Xeon-processorer®.

Du kan finde flere oplysninger om denne sårbarhed og en detaljeret oversigt over berørte scenarier, herunder Microsofts tilgang til afhjælpning af L1TF, i følgende ressourcer:

• ADV180018 | Microsoft Guidance for at afhjælpe L1TF-variant

• Security Advisory Security Research-blog

• Servervejledning til L1-terminalfejl

Fremgangsmåden til at deaktivere Hyper-Threading er forskellig fra OEM til OEM, men er generelt en del af bios- eller firmwarekonfigurationsværktøjerne.

Kunder, der bruger 64-bit ARM-processorer, skal kontakte enheds-OEM'en for at få firmwaresupport, fordi ARM64-operativsystembeskyttelse, der afhjælper CVE-2017-5715 | Branch-destinationsinjicering (Spectre, Variant 2) kræver, at den seneste firmwareopdatering fra enheds-OEM'er træder i kraft.

Du kan finde flere oplysninger i følgende sikkerhedsvejledninger

• Intels Security Advisory

• ADV190013 | Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities

Du kan finde yderligere vejledning i Windows-vejledning for at beskytte mod "speculative execution side-channel-sikkerhedsrisici"

Se vejledningen i Windows-vejledningen for at beskytte mod "speculative execution side-channel-sikkerhedsrisici"

Du kan finde vejledning til Azure i denne artikel: Vejledning til afhjælpning af speculative execution side-channel-sikkerhedsrisici i Azure.

Du kan finde flere oplysninger om retpoline-aktivering i vores blogindlæg: Afhjælpning af Spectre variant 2 med Retpoline på Windows .

Du kan finde flere oplysninger om denne sårbarhed i Microsofts sikkerhedsvejledning: CVE-2019-1125 | Sårbarhed i forbindelse med afsløring af Windows-kerneoplysninger.

Vi er ikke opmærksomme på nogen forekomst af denne sårbarhed i forbindelse med afsløring af oplysninger, der påvirker vores skytjenesteinfrastruktur.

Så snart vi blev opmærksomme på dette problem, arbejdede vi hurtigt på at løse det og udgive en opdatering. Vi tror på tætte partnerskaber med både forskere og branchepartnere for at gøre kunderne mere sikre og offentliggjorde ikke detaljer før tirsdag d. 6. august i overensstemmelse med koordineret offentliggørelse af sårbarheder.

Du kan finde yderligere vejledning i Windows-vejledning for at beskytte mod "speculative execution side-channel-sikkerhedsrisici".

Du kan finde yderligere vejledning i Windows-vejledning for at beskytte mod "speculative execution side-channel-sikkerhedsrisici".

Du kan finde yderligere vejledning i Vejledning til deaktivering af Intel Transactional Synchronization Extensions (Intel TSX)-funktionalitet.

De tredjepartsprodukter, der beskrives i denne artikel, er produceret af firmaer, der er uafhængige af Microsoft. Vi giver ingen garanti, hverken underforstået eller på anden måde, for ydeevnen eller pålideligheden af disse produkter.

Vi giver dig kontaktoplysninger fra tredjepart for at hjælpe dig med at finde teknisk support. Disse kontaktoplysninger kan ændres uden varsel. Vi garanterer ikke for nøjagtigheden af disse tredjepartskontaktoplysninger.