Leitfaden zu Surface für den Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten

Dem Surface-Team sind neue Varianten spekulativer ausführungsseitiger Channelangriffe bekannt, die auch Surface-Produkte betreffen. Die Risikominderung für diese Sicherheitsanfälligkeiten erfordert ein Betriebssystemupdate und ein Surface-UEFI-Update, das neuen Microcode enthält. Weitere Informationen zu den Sicherheitsanfälligkeiten und zu den Risikominderungen finden Sie in der folgenden Sicherheitsempfehlung:

• Microsoft-Sicherheitsempfehlung ADV190013

Wir arbeiten mit unseren Partnern zusammen, um Updates für die folgenden Surface-Produkte zu liefern, sobald wir sicher sind, dass die Updates unsere Qualitätsanforderungen erfüllen:

• Surface 3 – Update vom 11. Juli 2019

• Surface Pro 3 – Update vom 11. Juli 2019

• Surface Pro 4 – Update vom 27. Juni 2019

• Surface Book – Update vom 27. Juni 2019

• Surface Studio – Update vom 11. Juli 2019

• Surface Pro (5. Generation) – Update vom 27. Juni 2019

• Surface Laptop – Update vom 27. Juni 2019

• Surface Book 2 – Update vom 27. Juni 2019)

• Surface Pro 6 – Update vom 27. Juni 2019

• Surface Laptop 2 – Update vom 27. Juni 2019)

• Surface Studio 2 – Update vom 31. Juli 2019

• Surface GO WiFi

• Surface GO LTE

Zusätzlich zu dem neuen Microcode wird eine neue als „simultanes Multithreading (SMT)“ bezeichnete UEFI-Einstellung verfügbar sein, wenn das UEFI-Update installiert wird. Mithilfe dieser Einstellung kann der Benutzer Hyperthreading deaktivieren.

Hinweise

• Wenn Sie sich dafür entscheiden, Hyperthreading zu deaktivieren, sollten Sie die neue SMT-UEFI-Einstellung verwenden.

• Die Deaktivierung von SMT bietet zusätzlichen Schutz vor diesen neuen Sicherheitsanfälligkeiten und den zuvor veröffentlichten L1 Terminal Fault-Angriffen. Diese Methode wirkt sich jedoch auch auf die Leistung des Geräts aus.

• Bei Surface 3 und Surface Studio mit Intel Core i5 wird SMT nicht unterstützt. Deshalb gibt es bei diesen Geräten diese neue Einstellung nicht.

• Das UEFI-Konfigurationstool Microsoft Surface Enterprise Management Mode (SEMM), Version 2.43.139 oder höher, unterstützt die neue SMT-Einstellung. Die Tools können von dieser Webseite heruntergeladen werden. Laden Sie die folgenden erforderlichen Tools herunter:

  • SurfaceUEFI_Configurator_v2.43.139.0.msi

  • SurfaceUEFI_Manager_v2.43.139.0.msi

Informationsquellen

• CVE-2018-12126

• CVE-2018-12127

• CVE-2018-12130

• CVE-2019-11091

Dem Surface-Team ist ein neuer spekulativer ausführungsseitiger Channelangriff mit dem Namen L1 Terminal Fault (L1TF) bekannt, dem CVE-2018-3620 (OS und SMM) und CVE-2018-3646 (VMM) entsprechen. Betroffene Surface-Produkte sind die gleichen wie im Abschnitt „Im Mai 2018 veröffentlichte Sicherheitsanfälligkeiten“ dieses Artikels. Die Microcodeupdates, die das Risiko der im Mai 2018 gemeldeten Sicherheitsanfälligkeiten reduzieren, mindern auch das Risiko durch L1TF (CVE-2018-3646). Weitere Informationen zu der Sicherheitsanfälligkeit und zu den Risikominderungen finden Sie in der folgenden Sicherheitsempfehlung:

• Microsoft-Sicherheitsempfehlung ADV180018

Die Sicherheitsempfehlung schlägt vor, dass Kunden, die virtualisierungsbasierte Sicherheit (VBS) verwenden, die Sicherheitsfunktionen wie Credential Guard und Device Guard umfasst, Hyperthreading deaktivieren sollten, um das Risiko von L1TF vollständig zu eliminieren. Kunden können Hyperthreading derzeit nicht auf ihren Surface-Geräten deaktivieren. VBS-Funktionen sind standardmäßig auf Surface-Geräten deaktiviert. Das Surface-Team untersucht Optionen zum Deaktivieren von Hyperthreading.

Informationsquellen

• CVE-2018-3620

• CVE-2018-3646

Dem Surface-Team sind neue Varianten spekulativer ausführungsseitiger Channelangriffe bekannt geworden, die auch Surface-Produkte betreffen. Die Risikominderung für diese Sicherheitsanfälligkeiten erfordert UEFI-Updates, die Microcode verwenden. Weitere Informationen zu den Sicherheitsanfälligkeiten und zu den Risikominderungen finden Sie in den folgenden Sicherheitsempfehlungen:

• Microsoft-Sicherheitsempfehlung ADV180012

• Microsoft-Sicherheitsempfehlung ADV180013

Wir arbeiten mit unseren Partnern zusammen, um Updates für die folgenden Surface-Produkte zu liefern, sobald wir sicher sind, dass die Updates unsere Qualitätsanforderungen erfüllen:

• Surface Book 2 – (Update vom 1. August 2018)

• Surface Book – (Update vom 21. August 2018)

• Surface Laptop – (Update vom 25. Juli 2018)

• Surface Studio - Update vom 1. Oktober 2018

• Surface Pro 4 - Update vom 25. Juli 2018

• Surface Pro 3 - Update vom 7. August 2018

• Surface Pro Modell 1796 und Surface Pro mit Advanced LTE Modell 1807 – (Update vom 26. Juli 2018)

Informationsquellen

• CVE-2018-3640

• CVE-2018-3639

Dem Surface-Team ist eine neue öffentlich gemeldete Klasse von Sicherheitsanfälligkeiten bekannt, die „spekulative ausführungsseitige Channelangriffe“ (Speculative Execution Side-Channel Attacks) umfassen und viele moderne Prozessoren und Betriebssysteme umfassen, u.a. Intel, AMD und ARM betreffen. Weitere Informationen zu den Sicherheitsanfälligkeiten und zu den Risikominderungen finden Sie in der folgenden Sicherheitsempfehlung:

Microsoft-Sicherheitsempfehlung ADV180002

Weitere Informationen zu Windows-Softwareupdates finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:

• 4073757 Schützen Ihrer Windows-Geräte vor Spectre und Meltdown

• 4073119 Leitfaden für IT-Experten zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows-Clients

Zusätzlich zur Installation der Sicherheitsupdates vom 3. Januar für Windows-Betriebssysteme hat Surface über Windows Update und das Download Center UEFI-Updates für die folgenden Geräte veröffentlicht:

• Surface Book 2 – (Updateverlauf)

• Surface Book – (Updateverlauf)

• Surface Laptop – (Updateverlauf)

• Surface Studio – (Updateverlauf)

• Surface Pro 4 – (Updateverlauf)

• Surface Pro 3 – (Updateverlauf)

• Surface 3 – (Updateverlauf)

• Surface Pro Modell 1796 und Surface Pro mit Advanced LTE Modell 1807- (Updateverlauf)

Diese Updates sind für Geräte mit Windows 10 Creators Update (Build 15063) und neueren Versionen verfügbar.

Informationsquellen

• CVE-2017-5753

• CVE-2017-5715

• CVE-2017-5754