KB4073119: Windows-klientvejledning til it-teknikere, der beskytter mod silicon-baserede mikroarkitektur- og speculative execution side-channel-sikkerhedsrisici

Den 14. maj 2019 offentliggjorde Intel oplysninger om en ny underklasse af speculative execution side-channel-sikkerhedsrisici, der er kendt som Microarchitectural Data Sampling. Disse sårbarheder er løst i følgende cv'er:

• CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

• CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)

• CVE-2018-12127 | Stikprøvetagning af mikroarkitekteringsbufferdata (MFBDS)

• CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)

Vi har udgivet opdateringer for at afhjælpe disse sårbarheder. For at få al tilgængelig beskyttelse kræves firmware (mikrokode) og softwareopdateringer. Dette kan omfatte mikrokode fra enheds-OEM'er. I nogle tilfælde vil det påvirke ydeevnen at installere disse opdateringer. Vi har også handlet for at sikre vores skytjenester. Vi anbefaler på det kraftigste, at du installerer disse opdateringer.

Du kan finde flere oplysninger om dette problem i følgende Security Advisory og bruge scenariebaseret vejledning til at bestemme de handlinger, der er nødvendige for at afhjælpe truslen:

• ADV190013 | Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities

• Vejledning i Windows for at beskytte mod "speculative execution side-channel-sikkerhedsrisici"

Den 6. august 2019 udgav Intel oplysninger om en sårbarhed i forbindelse med afsløring af Windows-kerneoplysninger. Denne sårbarhed er en variant af Spectre Variant 1 speculative execution side-channel-sårbarhed og er blevet tildelt CVE-2019-1125.

Den 9. juli 2019 udsendte vi sikkerhedsopdateringer til Windows-operativsystemet for at afhjælpe dette problem. Bemærk, at vi holdt tilbage med at dokumentere denne afhjælpning offentligt indtil den koordinerede brancheoffentliggørelse tirsdag d. 6. august 2019.

Kunder, der har Windows Update aktiveret og har anvendt de sikkerhedsopdateringer, der blev udgivet d. 9. juli 2019, beskyttes automatisk. Der er ingen yderligere konfiguration nødvendig.

Du kan finde flere oplysninger om denne sikkerhedsrisiko og relevante opdateringer i Microsoft Security Update Guide:

• CVE-2019-1125 | Sårbarhed i forbindelse med afsløring af Windows-kerneoplysninger

Den 12. november 2019 offentliggjorde Intel en teknisk vejledning vedrørende Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort-sårbarhed, der er tildelt CVE-2019-11135. Vi har udgivet opdateringer for at afhjælpe denne sårbarhed. Som standard er os-beskyttelsen aktiveret for klientudgaver af Windows.

Den 14. juni 2022 offentliggjorde vi ADV220002 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities. Sikkerhedsrisiciene er tildelt i følgende CVEs:

• CVE-2022-21123 | Læsning af delte bufferdata (SBDR)

• CVE-2022-21125 | Delt bufferdataprøvetagning (SBDS)

• CVE-2022-21127 | Særlig opdatering til registrering af bufferdataudtagning (SRBDS-opdatering)

• CVE-2022-21166 | Device Register Partial Write (DRPW)

Anbefalede handlinger

Du skal udføre følgende handlinger for at beskytte dig mod disse sårbarheder:

1. Anvend alle tilgængelige opdateringer til Windows-operativsystemet, herunder de månedlige Windows-sikkerhedsopdateringer.

2. Anvend den gældende firmwareopdatering (mikrokode), der leveres af enhedsproducenten.

3. Vurder risikoen for dit miljø ud fra oplysningerne i Microsofts sikkerhedsrådgivere ADV180002, ADV180012, ADV190013 og ADV220002ud over oplysningerne i denne artikel.

4. Benyt de råd og oplysninger om registreringsdatabasenøgler, der er angivet i denne artikel, til at udføre de nødvendige handlinger.

Den 12. juli 2022 offentliggjorde vi CVE-2022-23825 | Forvirring med AMD CPU-forgreningstype, der beskriver, at aliasser i grensforudsigelsen kan medføre, at visse AMD-processorer forudsiger den forkerte forgreningstype. Dette problem kan potentielt føre til afsløring af oplysninger.

For at beskytte mod denne sikkerhedsrisiko anbefaler vi, at du installerer Windows-opdateringer, der er dateret den eller efter juli 2022, og derefter udfører de handlinger, der kræves af CVE-2022-23825 og oplysninger om registreringsdatabasenøgler, der er angivet i denne videnbase artikel.

Du kan finde flere oplysninger i sikkerhedsbulletinEN AMD-SB-1037 .

Den 8. august 2023 offentliggjorde vi CVE-2023-20569 | AMD CPU Return Address Predictor (også kendt som Inception), som beskriver et nyt speculativt sidekanalangreb, der kan resultere i speculative execution på en hackerkontrolleret adresse. Dette problem påvirker visse AMD-processorer og kan potentielt føre til afsløring af oplysninger.

For at beskytte mod denne sikkerhedsrisiko anbefaler vi, at du installerer Windows-opdateringer, der er dateret den eller efter august 2023, og derefter udfører de handlinger, der kræves af CVE-2023-20569 og oplysninger om registreringsdatabasenøgler, der er angivet i denne videnbase artikel.

Du kan finde flere oplysninger i sikkerhedsbulletinEN AMD-SB-7005 .

Den 9. april 2024 offentliggjorde vi CVE-2022-0001 | Intel Branch History Injection , som beskriver BHI (Branch History Injection), som er en bestemt form for BTI i intratilstand. Denne sikkerhedsrisiko opstår, når en hacker kan manipulere forgreningshistorikken, før der skiftes fra bruger- til supervisortilstand (eller fra VMX-ikke-root/gæst til rodtilstand). Denne manipulation kan medføre, at en indirekte forgreningsforudsigelse vælger en bestemt forudsigelig post for en indirekte gren, og en afsløringsgadget på det forudsagte mål udføres forbigående. Dette kan være muligt, fordi den relevante grenshistorik kan indeholde grene, der er taget i tidligere sikkerhedskontekster, og især andre forudsigelige tilstande.

Bruger-til-kerne-beskyttelse for CVE-2017-5715 er som standard deaktiveret for AMD- og ARM-CPU'er. Du skal aktivere afhjælpningen for at modtage yderligere beskyttelse for CVE-2017-5715. Du kan få mere at vide under Ofte stillede spørgsmål #15 i ADV180002 til AMD-processorer og Ofte stillede spørgsmål #20 i ADV180002 til ARM-processorer.

Bruger-til-kerne-beskyttelse for CVE-2017-5715 er som standard deaktiveret for AMD-processorer. Kunderne skal aktivere afhjælpningen for at modtage yderligere beskyttelse for CVE-2017-5715.  Du kan få mere at vide under Ofte stillede spørgsmål nr. 15 i ADV180002.

Sådan aktiveres afhjælpning for CVE-2022-23825 på AMD-processorer :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Kunderne skal muligvis også deaktivere Hyper-Threading (også kaldet SMT – Samtidig multitrådning) for at være fuldt beskyttet. Se KB4073757for at få vejledning i at beskytte Windows-enheder. 

Sådan aktiveres afhjælpning for CVE-2023-20569 på AMD-processorer:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Sådan aktiveres afhjælpning for CVE-2022-0001 på Intel-processorer:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Du kan finde en detaljeret forklaring af outputtet af PowerShell-scriptet under KB4074629.

Mikrokoden leveres via en firmwareopdatering. Du bør kontakte dine CPU- (chipsæt) og enhedsproducenter om tilgængeligheden af gældende firmwaresikkerhedsopdateringer til deres specifikke enhed, herunder Intels Microcode Revision Guidance.

Løsning af en hardwaresårbarhed gennem en softwareopdatering er en stor udfordring. Desuden kræver afhjælpning af ældre operativsystemer omfattende arkitektoniske ændringer. Vi arbejder sammen med producenter af berørte chip for at finde ud af, hvordan vi bedst kan levere afhjælpninger, som kan leveres i fremtidige opdateringer.

Opdateringer til Microsoft Surface-enheder leveres til kunder via Windows Update sammen med opdateringerne til Windows-operativsystemet. Du kan få en liste over tilgængelige surface-enhedsfirmwareopdateringer (mikrokode) under KB4073065.

Hvis enheden ikke er fra Microsoft, kan du anvende firmware fra enhedsproducenten. Kontakt OEM-enhedsproducenten for at få flere oplysninger.

I februar og marts 2018 frigav Microsoft ekstra beskyttelse til nogle x86-baserede systemer. Du kan få mere at vide under KB4073757 og Microsoft Security Advisory-ADV180002.

Opdateringer til Windows 10 til HoloLens er tilgængelige for HoloLens-kunder via Windows Update.

Når holoLens-kunder har anvendt opdateringen for februar 2018 Windows Sikkerhed, behøver de ikke at foretage sig yderligere for at opdatere deres enhedsfirmware. Disse afhjælpninger medtages også i alle fremtidige versioner af Windows 10 til HoloLens.

Nej. Sikkerhedsopdateringer er ikke kumulative. Afhængigt af den version af operativsystemet, du kører, skal du installere hver eneste månedlige sikkerhedsopdateringer for at være beskyttet mod disse sårbarheder. Hvis du f.eks. kører Windows 7 til 32-bit systemer på en berørt Intel CPU, skal du installere alle sikkerhedsopdateringerne. Vi anbefaler, at du installerer disse sikkerhedsopdateringer i rækkefølge efter udgivelse.

Bemærk! En tidligere version af disse ofte stillede spørgsmål angav fejlagtigt, at sikkerhedsopdateringen for februar indeholdt de sikkerhedsrettelser, der blev udgivet i januar. Det gør det faktisk ikke.

Nej. Sikkerhedsopdatering 4078130 var en bestemt rettelse for at forhindre uforudsigelige systemadfærd, problemer med ydeevnen og/eller uventede genstart efter installation af mikrokode. Ved at anvende sikkerhedsopdateringerne fra februar på Windows-klientoperativsystemer kan alle tre afhjælpninger afhjælpes.

Intel meddelte for nylig, at de har fuldført deres valideringer og begyndte at frigive mikrokode til nyere CPU-platforme. Microsoft gør Intel-validerede mikrokodeopdateringer tilgængelige omkring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 viser specifikke Knowledge Base-artikler efter Windows-version. Hver enkelt specifik KB indeholder Intels tilgængelige mikrokodeopdateringer efter CPU.

Dette problem blev løst i KB4093118.

AMD meddelte for nylig, at de er begyndt at frigive mikrokode til nyere CPU-platforme omkring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Du kan finde flere oplysninger i AMD Security Opdateringer og AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Disse er tilgængelige fra OEM-firmwarekanalen.

Vi gør intel-validerede mikrokodeopdateringer tilgængelige omkring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection "). Kunderne skal have installeret Intel-mikrokode på enheder, der kører et Windows 10 operativsystem, før de opgraderer til Windows 10 April 2018-opdateringen (version 1803) for at få de seneste Intel-mikrokodeopdateringer via Windows Update.

Mikrokodeopdateringen er også tilgængelig direkte fra kataloget, hvis den ikke var installeret på enheden, før du opgraderede operativsystemet. Intel-mikrokode er tilgængelig via Windows Update, WSUS eller Microsoft Update-kataloget. Du kan finde flere oplysninger og downloadinstruktioner under KB4100347.

Du kan få mere at vide i følgende ressourcer:

• ADV180012 | Microsoft Guidance for Speculative Store Bypass for CVE-2018-3639

• ADV180013 | Microsoft Guidance for Rogue System Register Read for CVE-2018-3640 and KB4073065

• Microsoft Security Research and Defense Blog

• Udviklervejledning til Speculative Store Bypass

Du kan finde flere oplysninger i afsnittene "Anbefalede handlinger" og "Ofte stillede spørgsmål" i ADV180012 | Microsoft Guidance for Speculative Store Bypass.

For at bekræfte status for SSBD blev det Get-SpeculationControlSettings PowerShell-script opdateret for at registrere berørte processorer, status for opdateringer til SSBD-operativsystemet og processorens mikrokode, hvis det er relevant. Du kan finde flere oplysninger og hente PowerShell-scriptet under KB4074629.

Den 13. juni 2018 blev en ekstra sårbarhed, der involverede side-channel speculative execution, kendt som Lazy FP State Restore, annonceret og tildelt CVE-2018-3665. Ingen konfigurationsindstillinger (registreringsdatabase) er nødvendige for Lazy Restore FP Restore.

Du kan finde flere oplysninger om denne sårbarhed og anbefalede handlinger i Security Advisory ADV180016 | Microsoft Guidance for Lazy FP State Restore.

Bounds Check Bypass Store (BCBS) blev offentliggjort d. 10. juli 2018 og tildelt CVE-2018-3693. Vi anser BCBS for at tilhøre den samme klasse af sårbarheder som Bounds Check Bypass (Variant 1). Vi er i øjeblikket ikke opmærksomme på nogen forekomster af BCBS i vores software, men vi fortsætter med at undersøge denne sårbarhedsklasse og vil samarbejde med branchepartnere om at frigive afhjælpninger efter behov. Vi opfordrer fortsat forskere til at indsende relevante resultater til Microsofts Speculative Execution Side Channel-dusørprogram, herunder eventuelle udnyttelige forekomster af BCBS. Softwareudviklere bør gennemgå den udviklervejledning, der blev opdateret for BCBS på https://aka.ms/sescdevguide.

Den 14. august 2018 blev L1 Terminal Fault (L1TF) annonceret og tildelt flere CVEs. Disse nye "speculative execution side-channel"-sikkerhedsrisici kan bruges til at læse indholdet af hukommelse på tværs af en pålidelig grænse, og hvis de udnyttes, kan det føre til afsløring af oplysninger. En hacker kan udløse sårbarhederne via flere vektorer, afhængigt af det konfigurerede miljø. L1TF påvirker Intel® Core-processorer® og Intel® Xeon-processorer®.

Du kan finde flere oplysninger om denne sårbarhed og en detaljeret oversigt over berørte scenarier, herunder Microsofts tilgang til afhjælpning af L1TF, i følgende ressourcer:

• ADV180018 | Microsoft Guidance for at afhjælpe L1TF-variant

• Security Advisory Security Research-blog

• Servervejledning til L1-terminalfejl

Kunder, der bruger 64-bit ARM-processorer, bør kontakte enheds-OEM'en for at få firmwareunderstøttelse, fordi ARM64-operativsystembeskyttelse, der afhjælper CVE-2017-5715 | Branch-destinationsinjicering (Spectre, Variant 2) kræver, at den seneste firmwareopdatering fra enheds-OEM'er træder i kraft.

Du kan finde flere oplysninger i følgende sikkerhedsvejledninger 

• Intels Security Advisory

• ADV190013 | Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities

Du kan finde flere oplysninger i følgende sikkerhedsvejledninger

• Intels Security Advisory

• ADV190013 | Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities

Du kan finde yderligere vejledning i Windows-vejledning for at beskytte mod "speculative execution side-channel-sikkerhedsrisici"

Se vejledningen i Windows-vejledningen for at beskytte mod "speculative execution side-channel-sikkerhedsrisici"

Du kan finde vejledning til Azure i denne artikel: Vejledning til afhjælpning af speculative execution side-channel-sikkerhedsrisici i Azure.  

Du kan finde flere oplysninger om retpoline-aktivering i vores blogindlæg: Afhjælpning af Spectre variant 2 med Retpoline i Windows. 

Du kan finde flere oplysninger om denne sårbarhed i Microsofts sikkerhedsvejledning: CVE-2019-1125 | Sårbarhed i forbindelse med afsløring af Windows-kerneoplysninger.

Vi er ikke opmærksomme på nogen forekomst af denne sårbarhed i forbindelse med afsløring af oplysninger, der påvirker vores skytjenesteinfrastruktur.

Så snart vi blev opmærksomme på dette problem, arbejdede vi hurtigt på at løse det og udgive en opdatering. Vi tror på tætte partnerskaber med både forskere og branchepartnere for at gøre kunderne mere sikre og offentliggjorde ikke detaljer før tirsdag d. 6. august i overensstemmelse med koordineret offentliggørelse af sårbarheder.

Du kan finde yderligere vejledning i Windows-vejledning for at beskytte mod "speculative execution side-channel-sikkerhedsrisici".

Du kan finde yderligere vejledning i Windows-vejledning for at beskytte mod "speculative execution side-channel-sikkerhedsrisici".

Du kan finde yderligere vejledning i Vejledning til deaktivering af Intel® Transactional Synchronization Extensions (Intel® TSX)-funktionalitet.

Vi giver dig kontaktoplysninger fra tredjepart for at hjælpe dig med at finde teknisk support. Disse kontaktoplysninger kan ændres uden varsel. Vi garanterer ikke for nøjagtigheden af disse tredjepartskontaktoplysninger.