Datum ändern |
Beschreibung der Änderung |
---|---|
20. April 2023 |
|
8. August 2023 |
|
9. August 2023 |
|
9. April 2024 |
|
16. April 2024 |
|
Zusammenfassung
Dieser Artikel enthält Anleitungen für eine neue Klasse von siliconbasierten microarchitektonischen Sicherheitsanfälligkeiten und Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen, die viele moderne Prozessoren und Betriebssysteme betreffen. Dazu gehören Intel, AMD und ARM. Spezifische Details zu diesen auf Silizium basierenden Sicherheitslücken finden Sie in den folgenden ADVs (Sicherheitsberatungen) und CVEs (Gemeinsame Schwachstellen und Expositionen):
-
ADV180012 | Microsoft-Leitfaden für Speculative Speicherumgehung
-
ADV180013 | Microsoft-Leitfaden für Rogue System Register Read
-
ADV180018 | Microsoft-Leitfaden zur Risikominderung von L1TF-Varianten
-
ADV220002 | Microsoft-Leitfaden zu Intel Processor MMIO Stale Data-Sicherheitsanfälligkeiten
-
CVE-2022-23825 | AMD-CPU – Verwechslung der Verzweigungstypen
Wichtig: Diese Probleme betreffen auch andere Betriebssysteme wie Android, Chrome, iOS und MacOS. Wir empfehlen Kunden, sich von diesen Anbietern beraten zu lassen.
Wir haben mehrere Updates veröffentlicht, um diese Schwachstellen zu minimieren. Darüber hinaus haben wir Schutzmaßnahmen für unsere Clouddienste ergriffen. Einzelheiten entnehmen Sie den folgenden Abschnitten.
Wir haben noch keine Informationen erhalten, die darauf hinweisen, dass diese Schwachstellen zum Angriff auf Kunden verwendet wurden. Wir arbeiten zum Schutz der Kunden eng mit Branchenpartnern wie Prozessorchipherstellern, Hardware-OEMs und App-Anbietern zusammen. Für den umfassenden Schutz sind Firmware (Microcode)- und Softwareupdates erforderlich. Dies beinhaltet Microcode von Geräte-OEMs und in manchen Fällen Updates für Antivirensoftware.
Sicherheitsrisiken
In diesem Artikel werden die folgenden Sicherheitsanfälligkeiten bezüglich spekulativer Ausführung behandelt:
Windows Update stellt auch Maßnahmen für Internet Explorer und Edge bereit. Wir werden Risikominderungen für diese Klasse von Sicherheitsanfälligkeiten weiter verbessern.
Weitere Informationen zu dieser Klasse von Sicherheitsanfälligkeiten finden Sie unter
Am 14. Mai 2019 hat Intel Informationen über eine neue Unterklasse von Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen veröffentlicht, die als Microarchitectural Data Sampling bezeichnet und in ADV190013 | Microarchitectural Data Sampling dokumentiert sind. Ihnen wurden die folgenden CVEs zugewiesen:
-
CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)
-
CVE-2018-12127 | Microarchitectural Fill Buffer Data Sampling (MFBDS)
-
CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)
Wichtig: Diese Probleme betreffen andere Systeme wie etwa Android, Chrome, iOS und MacOS. Wir empfehlen Kunden, sich von diesen Anbietern beraten zu lassen.
Microsoft hat Updates veröffentlicht, um das Risiko durch diese Sicherheitsanfälligkeiten zu mindern. Für den umfassenden Schutz sind Firmware (Microcode)- und Softwareupdates erforderlich. Dies beinhaltet möglicherweise Microcode von Geräte-OEMs. Unter Umständen kann durch die Installation dieser Updates die Leistung beeinträchtigt werden. Darüber hinaus haben wir Maßnahmen zum Schutz unserer Cloud Services ergriffen. Es wird dringend empfohlen, diese Updates bereitzustellen.
Weitere Informationen zu diesem Problem finden Sie in der folgenden Sicherheitsempfehlung, und bestimmen Sie anhand der szenariobasierten Anweisungen die erforderlichen Aktionen zur Reduzierung des Risikos durch diese Sicherheitsbedrohung:
-
Windows-Leitfaden zum Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen
Hinweis: Wir empfehlen , alle neuesten Updates von Windows Update zu installieren, bevor Sie Microcodeupdates installieren.
Am 6. August 2019 hat Intel Details zu einer Sicherheitsanfälligkeit im Windows-Kernel bezüglich der Veröffentlichung von Informationen bekanntgegeben. Diese Verwundbarkeit ist eine Variante der spekulativen ausführungsseitigen Kanaösicherheitsanfälligkeit in Spectre Variante 1 und wird unter CVE-2019-1125 gelistet.
Am 9. Juli 2019 haben wir Sicherheitsupdates für das Windows-Betriebssystem veröffentlicht, um das Risiko aufgrund dieses Problems zu reduzieren. Beachten Sie, dass wir die Veröffentlichung dieser Risikominderung bis zur koordinierten Branchenveröffentlichung am Dienstag, den 6. August 2019, zurückgehalten haben.
Kunden, die Windows Update aktiviert haben und die am 9. Juli 2019 veröffentlichten Sicherheitsupdates angewendet haben, sind automatisch geschützt. Es ist keine weitere Konfiguration erforderlich.
Hinweis: Für diese Sicherheitsanfälligkeit ist kein Microcodeupdate von Ihrem Gerätehersteller (OEM) erforderlich.
Weitere Informationen zu dieser Sicherheitsanfälligkeit und zu entsprechenden Updates finden Sie im Leitfaden für Sicherheitsupdates von Microsoft:
Am 12. November 2019 hat Intel eine technische Empfehlung zur Sicherheitsanfälligkeit bezüglich asynchronen Transaktionsabbrüchen von Intel® Transactional Synchronization Extensions (Intel TSX) veröffentlicht, die CVE-2019-11135 zugewiesen ist. Microsoft hat Updates veröffentlicht, um diese Sicherheitsanfälligkeit zu verringern, und der Betriebssystemschutz ist für Windows Server 2019 standardmäßig aktiviert, aber für Windows Server 2016 und frühere Windows Server-Betriebssystemeditionen standardmäßig deaktiviert.
Am 14. Juni 2022 haben wir den ADV220002 | Microsoft-Leitfaden zu Intel Processor MMIO Stale Data-Sicherheitsanfälligkeiten veröffentlicht und diese CVEs zugewiesen:
Empfohlene Maßnahmen
Sie sollten die folgenden Maßnahmen ergreifen, um sich vor den Sicherheitsanfälligkeiten zu schützen:
-
Wenden Sie alle verfügbaren Updates für Windows-Betriebssysteme an, einschließlich der monatlichen Windows-Sicherheitsupdates.
-
Wenden Sie das entsprechende vom Gerätehersteller bereitgestellte Firmware (Microcode)-Update an.
-
Bewerten Sie das Risiko für Ihre Umgebung basierend auf den Informationen, die in den Microsoft-Sicherheitsempfehlungen bereitgestellt werden: ADV180002, ADV180012, ADV190013, und ADV220002, zusätzlich zu den Informationen in diesem Wissensdatenbank-Artikel.
-
Ergreifen Sie die erforderlichen Maßnahmen, indem Sie die Empfehlungen und Informationen zum Registrierungsschlüssel anwenden, die in diesem Wissensdatenbank-Artikel bereitgestellt werden.
Hinweis: Surface-Kunden erhalten ein Microcodeupdate über Windows Update. Eine Liste der neuesten Updates für Surface-Gerätefirmware (Microcode) finden Sie unter KB4073065.
Am 12. Juli 2022 haben wir CVE-2022-23825 | AMD-CPU – Verwechslung der Verzweigungstypen veröffentlicht. Diese beschreibt, dass Alias-Einträge im Verzweigungsprädiktor dazu führen können, dass bestimmte AMD-Prozessoren den falschen Verzweigungstyp vorhersagen. Dieses Problem kann möglicherweise zur Offenlegung von Informationen führen.
Zum Schutz vor dieser Sicherheitsanfälligkeit empfiehlt es sich, Windows-Updates zu installieren, die am oder nach Juli 2022 datiert sind, und dann Maßnahmen gemäß CVE-2022-23825 und Registrierungsschlüsselinformationen zu ergreifen, die in diesem Wissensdatenbank-Artikel bereitgestellt werden.
Weitere Informationen finden Sie im Sicherheitsbulletin AMD-SB-1037.
Am 8. August 2023 haben wir CVE-2023-20569 | Return Address Predictor (auch als Inception bezeichnet), der einen neuen spekulativen Seitenkanalangriff beschreibt, der zu spekulativer Ausführung an einer vom Angreifer gesteuerten Adresse führen kann. Dieses Problem betrifft bestimmte AMD-Prozessoren und kann möglicherweise zur Offenlegung von Informationen führen.
Zum Schutz vor dieser Sicherheitsanfälligkeit empfiehlt es sich, Windows-Updates zu installieren, die am oder nach August 2023 datiert sind, und dann Maßnahmen zu ergreifen, die von CVE-2023-20569 und Registrierungsschlüssel-Informationen erforderlich sind, die in diesem Wissensdatenbank-Artikel bereitgestellt werden.
Weitere Informationen finden Sie im Sicherheitsbulletin AMD-SB-7005.
Am 9. April 2024 haben wir CVE-2022-0001 | Intel Branch History Injection veröffentlicht. Darin wird Branch History Injection (BHI), eine spezielle Form von Intra-Mode-BTI, beschrieben. Diese Sicherheitslücke tritt auf, wenn ein Angreifer den Verzweigungsverlauf manipulieren kann, bevor er vom Benutzer- in den Supervisor-Modus (oder vom VMX non-root/guest in den Root-Modus) wechselt. Diese Manipulation könnte dazu führen, dass ein Prädiktor für indirekte Verzweigungen einen bestimmten Prädiktoreintrag für eine indirekte Verzweigung auswählt und ein Offenlegungsgadget am vorhergesagten Ziel vorübergehend ausgeführt wird. Dies kann möglich sein, weil der relevante Verzweigungsverlauf Verzweigungen enthalten kann, die in früheren Sicherheitskontexten und insbesondere in anderen Prädiktormodi vorgenommen wurden.
Risikominderungseinstellungen für Windows Server und Azure Stack HCI
Sicherheitswarnungen (ADVs) und CVEs liefern Informationen über das Risiko, das durch diese Sicherheitslücken entsteht, und bieten Informationen dazu. Sie helfen Ihnen auch, die Sicherheitsrisiken zu identifizieren und den Standardstatus von Risikominderungen für Windows Server-Systeme zu identifizieren. Die folgende Tabelle fasst den erforderlichen CPU-Microcode und den Standardzustand der Risikominderungen für Windows Server zusammen.
CVE |
CPU-Microcode/Firmware erforderlich? |
Standardzustand der Risikominderung |
---|---|---|
Nein |
Standardmäßig aktiviert (keine Option zum Deaktivieren) Weitere Informationen finden Sie unter ADV180002. |
|
Ja |
Standardmäßig deaktiviert. Weitere Informationen finden Sie in ADV180002 und in diesem Wissensdatenbank-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen. Hinweis "Retpoline" ist standardmäßig für Geräte mit Windows 10 1809 oder höher aktiviert, wenn Spectre Variante 2 (CVE-2017-5715) aktiviert ist. Weitere Informationen zu "Retpoline" finden Sie im Blogbeitrag zu Risikominderungen für Spectre Variante 2 mit Retpoline unter Windows . |
|
Nein |
Windows Server 2019, Windows Server 2022 und Azure Stack HCI: Standardmäßig aktiviert. Windows Server 2016 und früher: Standardmäßig deaktiviert.Weitere Informationen finden Sie unter ADV180002. |
|
Intel: Ja AMD: Nein |
Standardmäßig deaktiviert. Unter ADV180012 finden Sie weitere Informationen und die entsprechenden Registrierungsschlüsseleinstellungen. |
|
Intel: Ja |
Windows Server 2019, Windows Server 2022 und Azure Stack HCI: Standardmäßig aktiviert. Windows Server 2016 und früher: Standardmäßig deaktiviert.In ADV190013 finden Sie weitere Informationen und die entsprechenden Registrierungsschlüsseleinstellungen. |
|
Intel: Ja |
Windows Server 2019, Windows Server 2022 und Azure Stack HCI: Standardmäßig aktiviert. Windows Server 2016 und früher: Standardmäßig deaktiviert.In ADV190013 finden Sie weitere Informationen und die entsprechenden Registrierungsschlüsseleinstellungen. |
|
Intel: Ja |
Windows Server 2019, Windows Server 2022 und Azure Stack HCI: Standardmäßig aktiviert. Windows Server 2016 und früher: Standardmäßig deaktiviert.In ADV190013 finden Sie weitere Informationen und die entsprechenden Registrierungsschlüsseleinstellungen. |
|
Intel: Ja |
Windows Server 2019, Windows Server 2022 und Azure Stack HCI: Standardmäßig aktiviert. Windows Server 2016 und früher: Standardmäßig deaktiviert.In ADV190013 finden Sie weitere Informationen und die entsprechenden Registrierungsschlüsseleinstellungen. |
|
Intel: Ja |
Windows Server 2019, Windows Server 2022 und Azure Stack HCI: Standardmäßig aktiviert. Windows Server 2016 und früher: Standardmäßig deaktiviert.Unter CVE-2019-11135- finden Sie weitere Informationen und die entsprechenden Registrierungsschlüsseleinstellungen. |
|
CVE-2022-21123 (Teil von MMIO ADV220002) |
Intel: Ja |
Windows Server 2019, Windows Server 2022 und Azure Stack HCI: Standardmäßig aktiviert. Windows Server 2016 und früher: Standardmäßig deaktiviert.*Weitere Informationen finden Sie unter CVE-2022-21123. In diesem Artikel finden Sie entsprechende Registrierungsschlüsseleinstellungen. |
CVE-2022-21125 (Teil von MMIO ADV220002) |
Intel: Ja |
Windows Server 2019, Windows Server 2022 und Azure Stack HCI: Standardmäßig aktiviert. Windows Server 2016 und früher: Standardmäßig deaktiviert.*Unter CVE-2022-21125 finden Sie weitere Informationen und die entsprechenden Registrierungsschlüsseleinstellungen. |
CVE-2022-21127 (Teil von MMIO ADV220002) |
Intel: Ja |
Windows Server 2019, Windows Server 2022 und Azure Stack HCI: Standardmäßig aktiviert. Windows Server 2016 und früher: Standardmäßig deaktiviert.*Unter CVE-2022-21127 finden Sie weitere Informationen und die entsprechenden Registrierungsschlüsseleinstellungen. |
CVE-2022-21166 (Teil von MMIO ADV220002) |
Intel: Ja |
Windows Server 2019, Windows Server 2022 und Azure Stack HCI: Standardmäßig aktiviert. Windows Server 2016 und früher: Standardmäßig deaktiviert.*Unter CVE-2022-21166 finden Sie weitere Informationen und die entsprechenden Registrierungsschlüsseleinstellungen. |
CVE-2022-23825 (AMD-CPU – Verwechslung der Verzweigungstypen) |
AMD: Nein |
Unter CVE-2022-23825 finden Sie weitere Informationen und diesen Artikel für die entsprechenden Registrierungsschlüsseleinstellungen. |
CVE-2023-20569 (AMD CPU Return Address Predictor) |
AMD: Ja |
Unter CVE-2023-20569 finden Sie weitere Informationen und die entsprechenden Registrierungsschlüssel-Einstellungen. |
Intel: Nein |
Standardmäßig deaktiviert Unter CVE-2022-0001 finden Sie weitere Informationen und die entsprechenden Registrierungsschlüssel-Einstellungen. |
* Befolgen Sie die Anleitung zur Risikominderung für Meltdown unten.
Wenn Sie alle verfügbaren Schutzmaßnahmen gegen diese Sicherheitsanfälligkeiten erhalten möchten, müssen Sie Änderungen am Registrierungsschlüssel vornehmen, um diese standardmäßig deaktivierten Risikominderungen zu aktivieren.
Das Ergreifen dieser Maßnahmen kann sich auf die Leistung auswirken. Der Umfang der Leistungsauswirkungen hängt von mehreren Faktoren ab, wie beispielsweise vom jeweiligen Chipsatz in Ihrem physischen Host und den ausgeführten Workloads. Wir empfehlen, die Leistungseffekte für Ihre Umgebung zu bewerten und alle erforderlichen Anpassungen vorzunehmen.
Ihr Server ist einem gesteigerten Risiko ausgesetzt, wenn er in eine der folgenden Kategorien fällt:
-
Hyper-V-Hosts: Erfordert Schutz für VM-zu-VM- und VM-zu-Host-Angriffe.
-
Remotedesktopdienste-Hosts (RDSH): Erfordert Schutz vor Sitzung-zu-Sitzung- oder von Sitzung-zu-Host-Angriffen.
-
Physische Hosts oder virtuelle Computer, auf denen nicht vertrauenswürdiger Code ausgeführt wird, z. B. Container oder nicht vertrauenswürdige Erweiterungen für Datenbanken, nicht vertrauenswürdige Webinhalte oder Workloads, die Code aus externen Quellen ausführen. Diese Elemente benötigen Schutz vor Angriffen zwischen nicht vertrauenswürdigen Prozessen oder zwischen einem nicht vertrauenswürdigen Prozess und dem Kernel.
Verwenden Sie die folgenden Registrierungsschlüsseleinstellungen, um die Risikominderungen auf dem Server zu aktivieren, und starten Sie das Gerät neu, damit die Änderungen wirksam werden.
Hinweis: Die Aktivierung von Risikominderungen, die standardmäßig deaktiviert sind, kann sich auf die Leistung auswirken. Die tatsächliche Leistungsauswirkung hängt von mehreren Faktoren ab, wie beispielsweise vom jeweiligen Chipsatz im Gerät und den ausgeführten Workloads.
Registrierungseinstellungen
Wir stellen die folgenden Registrierungsinformationen zur Verfügung, um Schutzmaßnahmen zu aktivieren, die standardmäßig nicht aktiviert sind, wie in den Sicherheitshinweisen (ADVs) und CVEs dokumentiert. Darüber hinaus stellen wir Registrierungsschlüssel-Einstellungen für Benutzer bereit, die die Risikominderungen deaktivieren möchten, wenn sie für Windows-Clients gelten.
WICHTIG Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält Schritte zum Ändern der Registrierung. Durch Fehler beim Ändern der Registrierung können jedoch schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie daher vor dem Ändern der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zur Sicherung und Wiederherstellung der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
KB322756 Sichern und Wiederherstellen der Registrierung in Windows
WICHTIG Standardmäßig wird Retpoline wie folgt konfiguriert, wenn Spectre, Variante 2-Risikominderung (CVE-2017-5715) aktiviert ist:
– Retpoline-Entschärfung ist unter Windows 10, Version 1809 und höheren Windows-Versionen aktiviert.
– Die Retpoline-Risikominderung ist unter Windows Server 2019 und höheren Windows Server-Versionen deaktiviert.
Weitere Informationen zur Konfiguration von Retpoline finden Sie unter Risikominderungen für Spectre Variante 2 mit Retpoline unter Windows.
|
Hinweis: Das Festlegen von FeatureSettingsOverrideMask auf 3 ist sowohl für die Einstellungen "Aktivieren" als auch "Deaktivieren" korrekt. (Weitere Informationen zu Registrierungsschlüsseln finden Sie unter „FAQ“.)
So deaktivieren Sie Variante 2: (CVE-2017-5715 | Branch Target Injection)-Risikominderung: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. So aktivieren Sie Variante 2: (CVE-2017-5715 | Branch Target Injection)-Risikominderung: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. |
Der Schutz zwischen Benutzer und Kernel für CVE-2017-5715 ist für AMD-CPUs standardmäßig deaktiviert. Kunden müssen die Risikominderung aktivieren, um zusätzlichen Schutz für CVE-2017-5715 zu erhalten. Weitere Informationen finden Sie in FAQ Nr. 15 unter ADV180002.
Aktivieren des Schutzes zwischen Benutzer und Kernel auf AMD-Prozessoren zusammen mit anderen Schutzmaßnahmen für CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert. Starten Sie das Gerät neu, damit die Änderungen wirksam werden. |
So aktivieren Sie Risikominderungen für CVE-2018-3639(Speculative Store Bypass), CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert. Starten Sie das Gerät neu, damit die Änderungen wirksam werden. So deaktivieren Sie Risikominderungen für CVE-2018-3639 (Speculative Store Bypass) UND Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. |
Der Schutz zwischen Benutzer und Kernel für CVE-2017-5715 ist für AMD-Prozessoren standardmäßig deaktiviert. Kunden müssen die Risikominderung aktivieren, um zusätzlichen Schutz für CVE-2017-5715 zu erhalten. Weitere Informationen finden Sie in den FAQ Nr. 15 in ADV180002.
Aktivieren des Schutzes zwischen Benutzer und Kernel für AMD-Prozessoren sowie anderer Schutzmaßnahmen für CVE-2017-5715 und Schutzmaßnahmen für CVE-2018-3639 (Speculative Store Bypass): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert. Starten Sie das Gerät neu, damit die Änderungen wirksam werden. |
So aktivieren Sie Risikominderungen für die Sicherheitsanfälligkeit in Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) und Stichprobenerstellung für mikroarchitektonische Daten ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 ) CVE-2018-12130 ) zusammen mit Spectre [CVE-2017-5753 und CVE-2017-5715], Meltdown [CVE-2017-5754]-Varianten, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 und CVE-2022-21166) einschließlich Speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ] sowie L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646] ohne Deaktivierung von Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle Virtual Machines vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert. Starten Sie das Gerät neu, damit die Änderungen wirksam werden. So aktivieren Sie Risikominderungen für die Schwachstelle in Intel Transactional Synchronization Extensions (Intel TSX) bezüglich asynchronen Transaktionsabbrüchen (CVE-2019-11135) und Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) zusammen mit Spectre [ CVE-2017-5753 und CVE-2017-5715] und Meltdown [CVE-2017-5754]-Varianten, einschließlich Deaktivierung der spekulativen Speicherumgehung (SSBD) [CVE-2018-3639] sowie L1-Terminalfehler (L1TF) [CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646] mit deaktiviertem Hyperthreading: reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f hinzufügen reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert. Starten Sie das Gerät neu, damit die Änderungen wirksam werden. So deaktivieren Sie Risikominderungen für Intel Transactional Synchronization Extensions Sicherheitsanfälligkeit bezüglich asynchronen Abbruchs von Transaktionen von Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) und Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 ,CVE-2018-12127 , CVE-2018-12130) zusammen mit Spectre [CVE-2017-5753 und CVE-2017-5715] und Meltdown [CVE-2017-5754]-Varianten, einschließlich Deaktivierung der spekulativen Speicherumgehung (SSBD) [CVE-2018-3639] sowie L1-Terminalfehler (L1TF) [CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646]: reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f hinzufügen reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. |
So aktivieren Sie die Risikominderung für CVE-2022-23825- auf AMD-Prozessoren:
reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f hinzufügen
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Um vollständig geschützt zu sein, müssen Kunden möglicherweise auch Hyperthreading deaktivieren (auch als gleichzeitiges Multithreading (Simultaneous Multi Threading, SMT) bezeichnet). Anleitungen zum Schutz von Windows-Geräten finden Sie unter KB4073757.
So aktivieren Sie die Risikominderung für CVE-2023-20569- auf AMD-Prozessoren:
reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f hinzufügen
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
So aktivieren Sie die Risikominderung für CVE-2022-0001 auf Intel-Prozessoren:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Aktivieren mehrerer Risikominderungen
Um mehrere Risikominderungen zu aktivieren, müssen Sie den REG_DWORD-Wert jeder Risikominderung zusammen hinzufügen.
Beispiel:
Risikominderung für Sicherheitsanfälligkeit bezüglich asynchronem Transaktionsabbruch, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) und L1 Terminal Fault (L1TF) mit deaktiviertem Hyperthreading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
HINWEIS 8264 (in Dezimal) = 0x2048 (in Hexadezimal) Um BHI zusammen mit anderen vorhandenen Einstellungen zu aktivieren, müssen Sie bitweises OR mit dem aktuellen Wert 8.388.608 (0x800000) verwenden. 0x800000 ODER 0x2048(8264 dezimal) und wird zu 8.396.872 (0x802048). Identisch mit FeatureSettingsOverrideMask. |
|
Risikominderung für CVE-2022-0001 auf Intel-Prozessoren |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Kombinierte Risikominderung |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Risikominderung für Sicherheitsanfälligkeit bezüglich asynchronem Transaktionsabbruch, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) und L1 Terminal Fault (L1TF) mit deaktiviertem Hyperthreading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Risikominderung für CVE-2022-0001 auf Intel-Prozessoren |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Kombinierte Risikominderung |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Sicherstellen, dass Schutzmaßnahmen aktiviert sind
Um zu überprüfen, ob Der Schutz aktiviert ist, haben wir ein PowerShell-Skript veröffentlicht, das Sie auf Ihren Geräten ausführen können. Installieren Sie das Skript, und führen Sie es mithilfe einer der folgenden Methoden aus.
Installieren des PowerShell-Moduls: PS> Install-Module SpeculationControl Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Installieren des PowerShell-Moduls über das Technet ScriptCenter:
Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden: Starten Sie PowerShell, und verwenden Sie das obige Beispiel, um die folgenden Befehle zu kopieren und auszuführen: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Eine ausführliche Erläuterung der Ausgabe des PowerShell-Skripts finden Sie unter KB4074629.
Häufig gestellte Fragen
Um negative Auswirkungen auf die Geräte von Kunden zu vermeiden, wurden die im Januar und Februar 2018 veröffentlichten Windows-Sicherheitsupdates nicht allen Kunden angeboten. Weitere Informationen finden Sie unter KB407269.
Der Microcode wird über ein Firmwareupdate bereitgestellt. Informieren Sie sich beim OEM über die Firmwareversion mit dem richtigen Update für Ihren Computer.
Die Leistung dieser Maßnahmen wird durch mehrere Variablen beeinflusst, von der System-Version bis hin zu den ausgeführten Workloads. In einigen Systemen wird der Leistungseffekt minimal sein. In anderen er bedeutender sein.
Wir empfehlen Ihnen, den Leistungseffekt auf Ihren Systemen zu überprüfen, und gegebenenfalls Anpassungen vorzunehmen.
Lesen Sie den obigen Artikel zu virtuellen Computern, und kontaktieren Sie Ihren Dienstanbieter, um sicherzustellen, dass die Hosts, auf denen Ihre virtuellen Computer ausgeführt werden, angemessen geschützt sind.Leitfaden zum Beheben von Spekulativen Ausführungssicherheitsanfälligkeiten in Azure . Anleitungen zur Verwendung der Azure Updateverwaltung zum Beheben dieses Problems auf Gast-VMs finden Sie unter KB4077467.
Informationen zu virtuellen Windows Server-Computern, die in Azure ausgeführt werden, finden Sie unterDie für Windows Server-Containerimages für Windows Server 2016 und Windows 10, Version 1709, veröffentlichten Updates enthalten die Risikominderungen für diese Sicherheitsanfälligkeiten. Keine weiteren Konfigurationen sind notwendig.
Hinweis Sie müssen dennoch sicherstellen, dass der Host, auf dem diese Container ausgeführt werden, so konfiguriert ist, dass die entsprechenden Risikominderungen aktiviert sind.Nein, die Reihenfolge der Installation spielt keine Rolle.
Ja, Sie müssen nach der Aktualisierung der Firmware (Microcode) und dann nach dem Systemupdate neu starten.
Für die Registrierungsschlüssel gilt Folgendes:
FeatureSettingsOverride stellt eine Bitmap dar, die die Standardeinstellung außer Kraft setzt und bestimmt, welche Risikominderungen deaktiviert werden. Bit 0 steuert die Risikominderung für CVE-2017-5715. Bit 1 steuert die Risikominderung, die CVE-2017-5754 entspricht. Diese Bits werden auf 0 festgelegt, um die Risikominderung zu aktivieren, und auf 1, um die Risikominderung zu deaktivieren.
FeatureSettingsOverrideMask stellt eine Bitmapmaske dar, die in Verbindung mit FeatureSettingsOverride verwendet wird. In diesem Fall verwenden wir den Wert 3 (dargestellt als 11 im binären Zahlen- oder Basis-2-Zahlensystem), um die ersten beiden Bits anzugeben, die den verfügbaren Risikominderungen entsprechen. Dieser Registrierungsschlüssel wird auf 3 festgelegt, um die Risikominderungen zu aktivieren oder zu deaktivieren.
MinVmVersionForCpuBasedMitigations ist für Hyper-V-Hosts. Dieser Registrierungsschlüssel definiert die VM-Mindestversion, die für die Verwendung der aktualisierten Firmwarefunktionen nötig ist (CVE-2017-5715). Legen Sie diesen Wert auf 1.0 fest, um alle VM-Versionen abzudecken. Beachten Sie, dass dieser Registrierungswert für Nicht-Hyper-V-Hosts ignoriert wird (ohne Auswirkungen). Weitere Informationen finden Sie unter Virtuelle Gastcomputer vor CVE-2017-5715 schützen (Branchzielinjektion).
Ja, es gibt keine Nebenwirkungen, wenn diese Registrierungseinstellungen vor der Installation der entsprechenden Fixes vom Januar 2018 angewendet werden.
Eine ausführliche Beschreibung der Skriptausgabe finden Sie unter KB4074629: Grundlegendes zur SpeculationControl PowerShell-Skriptausgabe .
Ja, für Windows Server 2016-Hyper-V-Hosts, für die das Firmwareupdate noch nicht verfügbar ist, haben wir alternative Anweisungen veröffentlicht, mit denen das Risiko von Angriffen zwischen VMs sowie zwischen VMs und Hosts reduziert werden kann. Weitere Informationen finden Sie unter Alternativer Schutz für Windows Server 2016 Hyper-V-Hosts vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen.
Reine Sicherheitsupdates sind nicht kumulativ. Je nach Ihrer Betriebssystemversion müssen Sie unter Umständen mehrere Sicherheitsupdates installieren, um vollständig geschützt zu sein. Im Allgemeinen müssen Kunden die Updates vom Januar, Februar, März und April 2018 installieren. Systeme mit AMD-Prozessoren benötigen wie in der folgenden Tabelle beschrieben ein zusätzliches Update:
Betriebssystemversion |
Sicherheitsupdate |
Windows 8.1, Windows Server 2012 R2 |
KB4338815 – Monatliches Rollup |
KB4338824 – Nur Sicherheit |
|
Windows 7 SP1, Windows Server 2008 R2 SP1 oder Windows Server 2008 R2 SP1 (Server Core-Installation) |
KB4284826 – Monatliches Rollup |
KB4284867 – Nur Sicherheit |
|
Windows Server 2008 SP2 |
KB4340583 – Sicherheitsupdate |
Wir empfehlen, diese reinen Sicherheitsupdates in der Reihenfolge ihrer Veröffentlichung zu installieren.
Hinweis: In einer früheren Version dieser häufig gestellten Fragen wurde fälschlicherweise angegeben, dass das reine Sicherheitsupdate vom Februar die im Januar veröffentlichten Sicherheitsfixes enthielt. Dies ist nicht der Fall.
Nein. Das Sicherheitsupdate KB4078130 war ein spezifischer Fix, um unvorhersehbares Systemverhalten, Leistungsprobleme und unerwartete Neustarts nach der Installation von Microcode zu verhindern. Durch Anwenden der Sicherheitsupdates unter Windows-Clientbetriebssystemen werden alle drei Risikominderungen aktiviert. Unter Windows-Serverbetriebssystemen müssen Sie noch die Risikominderungen aktivieren, nachdem Sie entsprechende Tests durchgeführt haben. Weitere Informationen finden Sie unter KB4072698.
Dieses Problem wurde in KB4093118 behoben.
Im Februar 2018 hat Intel angekündigt, dass die Überprüfungen abgeschlossen und mit der Veröffentlichung von Microcode für neuere CPU-Plattformen begonnen wurde . Microsoft stellt von Intel überprüfte Microcodeupdates zur Verfügung, die Spectre Variante 2 betreffen (CVE-2017-5715 | Branch Target Injection). KB4093836 listet bestimmte Wissensdatenbank-Artikel nach Windows-Version auf. Jeder KB-Artikel enthält die verfügbaren Microcodeupdates von Intel nach CPU.
Intel meldete Probleme am 11. Januar 2018 im kürzlich veröffentlichten Microcode, der die Spectre Variante 2 (CVE-2017-5715 | Branch Target Injection) beheben sollte. Intel hat insbesondere festgestellt, dass dieser Microcode zu "häufigeren als erwarteten Neustarts und anderen unvorhersehbarem Systemverhalten" führen kann und dass diese Szenarien "Datenverlust oder -beschädigung" verursachen können.” Aus eigener Erfahrung wissen wir, dass Systeminstabilität in bestimmten Fällen Datenverlust oder Datenbeschädigung nach sich ziehen kann. Am 22. Januar hat Intel empfohlen, dass Kunden auf betroffenen Prozessoren die Bereitstellung der aktuellen Microcodeversion beenden, während Intel zusätzliche Tests für die aktualisierte Lösung durchführt. Wir wissen, dass Intel den möglichen Effekt der aktuellen Mikrocodeversion weiter untersucht. Wir empfehlen unseren Kunden, ihre Leitfaden laufend zu überprüfen, um ihre Entscheidungen zu treffen.
Während Intel neuen Microcode testet, aktualisiert und bereitstellt, stellen wir ein Out-of-Band-Update (OOB), KB4078130, zur Verfügung, das speziell nur die Risikominderung gegen CVE-2017-5715 deaktiviert. Unsere Tests haben ergeben, dass dieses Update das beschriebene Verhalten verhindert. Die vollständige Liste der Geräte finden Sie in der Anleitung zur Microcoderevision von Intel. Dieses Update betrifft Windows 7 Service Pack 1 (SP1), Windows 8.1 und alle Versionen von Windows 10 (Client und Server). Wenn Sie ein betroffenes Gerät ausführen, kann dieses Update angewendet werden, indem Sie es von der Microsoft Update-Katalogwebsite herunterladen. Durch Anwenden dieses Updates wird nur die Risikominderung für CVE-2017-5715 deaktiviert.
Derzeit sind keine Berichte bekannt, die darauf hinweisen, dass diese Spectre Variante 2 (CVE-2017-5715 | Branch Target Injection) verwendet wurde, um Kunden anzugreifen. Wir empfehlen, dass Windows-Benutzer ggf. die Risikominderung für CVE-2017-5715 erneut aktivieren, sobald Intel meldet, dass dieses unberechenbare Systemverhalten für Ihr Gerät behoben wurde.
Im Februar 2018 hat Intelangekündigt, dass die Überprüfungen abgeschlossen wurden und mit der Veröffentlichung von Microcode für neuere CPU-Plattformen begonnen wurde. Microsoft stellt von Intel validierte Microcodeupdates im Zusammenhang mit der Spectre Variante 2 zur Verfügung (CVE-2017-5715 | Branch Target Injection). KB4093836 listet bestimmte Wissensdatenbank-Artikel nach Windows-Version auf. Jeder KB-Artikel listet die verfügbaren Microcodeupdates von Intel nach CPU auf.
Weitere Informationen finden Sie unter AMD-Sicherheitsupdates und AMD Whitepaper: Architektur-Anleitungen zu Indirect Branch Control . Verfügbar sind diese über den OEM-Firmwarechannel.
Wir stellen Intel-validierte Microcodeupdates zur Verfügung, die Spectre Variant 2 betreffen (CVE-2017-5715 | Branch Target Injection). Um die neuesten Microcodeupdates von Intel über Windows Update zu beziehen, müssen Kunden Microcode von Intel auf Geräten unter einem Windows 10-Betriebssystem installieren, bevor sie ein Upgrade auf Windows 10 April 2018 Update (Version 1803) durchführen können.
Das Microcodeupdate ist auch direkt über den Microsoft Update-Katalog verfügbar, wenn es vor dem Upgrade des Systems nicht auf dem Gerät installiert wurde. Intel-Microcode ist über Windows Update, Windows Server Update Services (WSUS) oder den Microsoft Update-Katalog verfügbar. Weitere Informationen und Downloadanweisungen finden Sie unter KB4100347.
Weitere Informationen finden Sie in den folgenden Ressourcen:
Weitere Informationen finden Sie in den Abschnitten "Empfohlene Aktionen" und "Häufig gestellte Fragen" ADV180012 | Microsoft-Leitfaden für Speculative Speicherumgehung.
Zur Überprüfung des Status von SSBD wurde das PowerShell-Skript Get-SpeculationControlSettings aktualisiert, um betroffene Prozessoren, den Status der SSBD-Betriebssystemupdates und den Status des Prozessormicrocodes soweit zutreffend zu erkennen. Weitere Informationen und Informationen zum Abrufen des PowerShell-Skripts finden Sie unter KB4074629.
Am 13. Juni 2018 wurde eine zusätzliche Sicherheitsanfälligkeit angekündigt und CVE-2018-3665 zugewiesen, die eine spekulative Ausführung des Seitenkanals, bekannt als Lazy FP State Restore umfasst. Informationen zu dieser Sicherheitsanfälligkeit und empfohlenen Aktionen finden Sie in der Sicherheitsempfehlung ADV180016 | Microsoft-Leitfaden für Lazy FP State Restore .
Hinweis Für die verzögerte Wiederherstellung der FP-Wiederherstellung sind keine Konfigurationseinstellungen (Registrierung) erforderlich.
Bounds Check Bypass Store (BCBS) wurde am 10. Juli 2018 offengelegt und CVE-2018-3693 zugewiesen. Wir betrachten BCBS als zur selben Klasse von Sicherheitsanfälligkeiten gehörig wie Bounds Check Bypass (Variante 1). Derzeit sind uns keine Fälle von BCBS in unserer Software bekannt. Wir werden jedoch weiterhin diese Anfälligkeitsklasse erforschen und mit Industriepartnern zusammenarbeiten, um die erforderlichen Maßnahmen zu ergreifen. Wir empfehlen Experten, alle relevanten Ergebnisse an das Spekulative Ausführung des Seitenkanals-Bounty-Programm von Microsoft zu übermitteln, einschließlich aller ausnutzbaren Instanzen von BCBS. Softwareentwickler sollten den Entwicklerleitfaden, der für BCBS aktualisiert wurde, unter C++-Entwicklerleitfaden für Spekulativ Ausgeführte Seitenkanäle
Am 14. August 2018 wurde L1-Terminalfehler (L1TF) angekündigt und mehreren CVEs zugewiesen. Mithilfe von spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten kann der Inhalt des Arbeitsspeichers über eine Vertrauensstellung hinaus ausgelesen werden, was zur Veröffentlichung von Informationen führen kann. Es gibt mehrere Angriffsvektoren, mit deren Hilfe ein Angreifer die Sicherheitsanfälligkeiten in Abhängigkeit von der konfigurierten Umgebung auslösen kann. L1TF betrifft Intel® Core®-Prozessoren und Intel® Xeon®-Prozessoren.
Weitere Informationen zu dieser Sicherheitsanfälligkeit und eine detaillierte Ansicht der betroffenen Szenarien, einschließlich des Ansatzes von Microsoft zur Risikominderung von L1TF finden Sie in den folgenden Ressourcen:
Die erforderlichen Schritte zum Deaktivieren von HT hängen vom jeweiligen OEM ab. Sie sind jedoch in der Regel Bestandteil des BIOS- oder Firmwaresetups und der Konfigurationstools.
Kunden, die 64-Bit-ARM-Prozessoren verwenden, sollten sich an den Geräte-Originalgerätehersteller wenden, um Firmwareunterstützung zu erhalten, da der Schutz des ARM64-Betriebssystems CVE-2017-5715 | Branchzielinjektion (Spectre, Variante 2) das neueste Firmwareupdate von Geräte-Originalgeräteherstellern erfordert, um wirksam zu werden.
Weitere Informationen finden Sie in den folgenden Sicherheitsempfehlungen:
Weitere Anleitungen finden Sie im Windows-Leitfaden zum Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen
Weitere Anleitungen finden Sie im Windows-Leitfaden zum Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen
Eine Anleitung zu Azure finden Sie in diesem Artikel: Leitfaden zur Minderung von Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen in Azure.
Weitere Informationen zur Retpoline-Aktivierung finden Sie in unserem Blogbeitrag: Risikominderungen für Spectre Variante 2 mit Retpoline unter Windows .
Ausführliche Informationen zu dieser Sicherheitsanfälligkeit finden Sie im Microsoft-Sicherheitshandbuch: CVE-2019-1125 | Windows-Kernelsicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen.
Uns ist kein Fall bekannt, dass diese Sicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen unsere Cloud Service-Infrastruktur beeinträchtigt.
Sobald wir dieses Problem festgestellt hatten, arbeiteten wir schnell an dessen Behebung und an der Veröffentlichung eines Updates. Wir sind fest von starken Partnerschaften mit Forschern und Branchenpartnern überzeugt, um die Sicherheit der Kunden zu optimieren. Deshalb haben wir erst am Dienstag, den 6. August, im Rahmen der koordinierten Veröffentlichungspraktiken für Sicherheitsanfälligkeiten Details veröffentlicht.
Weitere Informationen finden Sie unter Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows.
Weitere Informationen finden Sie unter Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows.
Weitere Anleitungen finden Sie in Anleitung zum Deaktivieren von Intel Transactional Synchronization Extensions (Intel TSX)-Funktionen.
Verweise
Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.
Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.