|
Datum ändern |
Beschreibung ändern |
|
19. Juli 2023 |
|
|
8. August 2023 |
|
|
9. August 2023 |
|
|
9. April 2024 |
|
|
16. April 2024 |
|
Zusammenfassung
Dieser Artikel enthält Anleitungen für eine neue Klasse von siliconbasierten microarchitektonischen Sicherheitsanfälligkeiten und Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen, die viele moderne Prozessoren und Betriebssysteme betreffen. Dazu gehören Intel, AMD und ARM. Spezifische Details zu diesen auf Silizium basierenden Sicherheitslücken finden Sie in den folgenden ADVs (Sicherheitsberatungen) und CVEs (Gemeinsame Schwachstellen und Expositionen):
-
ADV180012 | Microsoft-Leitfaden für Speculative Speicherumgehung
-
ADV180013 | Microsoft-Leitfaden für Rogue System Register Read
-
ADV180018 | Microsoft-Leitfaden zur Risikominderung von L1TF-Varianten
-
ADV220002 | Microsoft-Leitfaden zu Intel Processor MMIO Stale Data-Sicherheitsanfälligkeiten
Wichtig: Dieses Problem betrifft auch andere Betriebssysteme wie etwa Android, Chrome, iOS und macOS. Deshalb raten wir Kunden, sich Informationen von den entsprechenden Herstellern einzuholen.
Wir haben mehrere Updates veröffentlicht, um diese Schwachstellen zu minimieren. Darüber hinaus haben wir Schutzmaßnahmen für unsere Clouddienste ergriffen. Einzelheiten entnehmen Sie den folgenden Abschnitten.
Microsoft hat aktuell keine Hinweise darauf, dass diese Sicherheitsanfälligkeiten zu Angriffen auf Kunden genutzt wurden. Wir arbeiten zum Schutz der Kunden eng mit Branchenpartnern wie Prozessorchipherstellern, Hardware-OEMs und App-Anbietern zusammen. Für den umfassenden Schutz sind Firmware (Microcode)- und Softwareupdates erforderlich. Dies beinhaltet Microcode von Geräte-OEMs und in manchen Fällen Updates für Antivirensoftware.
Dieser Artikel betrifft folgende Sicherheitsanfälligkeiten:
Windows Update stellt auch Maßnahmen für Internet Explorer und Edge bereit. Wir werden Risikominderungen für diese Klasse von Sicherheitsanfälligkeiten weiter verbessern.
Weitere Informationen zu dieser Klasse von Sicherheitsanfälligkeiten finden Sie unter:
Sicherheitsrisiken
Am 14. Mai 2019 hat Intel Informationen über eine neue Unterklasse von spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten veröffentlicht, die als Microarchitectural Data Sampling bezeichnet werden. Diese Sicherheitsanfälligkeiten werden in den folgenden CVEs behoben:
-
CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)
-
CVE-2018-12127 | Microarchitectural Fill Buffer Data Sampling (MFBDS)
-
CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)
Wichtig: Diese Probleme wirken sich auf andere Betriebssysteme wie Android, Chrome, iOS und MacOS aus. Wir empfehlen Ihnen, sich von diesen jeweiligen Anbietern beraten zu lassen.
Microsoft hat Updates veröffentlicht, um das Risiko durch diese Sicherheitsanfälligkeiten zu mindern. Für den umfassenden Schutz sind Firmware (Microcode)- und Softwareupdates erforderlich. Dies beinhaltet möglicherweise Microcode von Geräte-OEMs. Unter Umständen kann durch die Installation dieser Updates die Leistung beeinträchtigt werden. Darüber hinaus haben wir Maßnahmen zum Schutz unserer Cloud Services ergriffen. Es wird dringend empfohlen, diese Updates bereitzustellen.
Weitere Informationen zu diesem Problem finden Sie in der folgenden Sicherheitsempfehlung, und bestimmen Sie anhand der szenariobasierten Anweisungen die erforderlichen Aktionen zur Reduzierung des Risikos durch diese Sicherheitsbedrohung:
-
Windows-Leitfaden zum Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen
Hinweis: Wir empfehlen , alle neuesten Updates von Windows Update zu installieren, bevor Sie Microcodeupdates installieren.
Am 6. August 2019 hat Intel Details zu einer Sicherheitsanfälligkeit im Windows-Kernel bezüglich der Veröffentlichung von Informationen bekanntgegeben. Diese Sicherheitsanfälligkeit ist eine Variante der spekulativen ausführungsseitigen Kanaösicherheitsanfälligkeit in Spectre Variante 1 und wird unter CVE-2019-1125 gelistet.
Am 9. Juli 2019 haben wir Sicherheitsupdates für das Windows-Betriebssystem veröffentlicht, um das Risiko aufgrund dieses Problems zu reduzieren. Beachten Sie, dass wir die Veröffentlichung dieser Risikominderung bis zur koordinierten Branchenveröffentlichung am Dienstag, den 6. August 2019, zurückgehalten haben.
Kunden, die Windows Update aktiviert haben und die am 9. Juli 2019 veröffentlichten Sicherheitsupdates angewendet haben, sind automatisch geschützt. Es ist keine weitere Konfiguration erforderlich.
Hinweis: Für diese Sicherheitsanfälligkeit ist kein Microcodeupdate von Ihrem Gerätehersteller (OEM) erforderlich.
Weitere Informationen zu dieser Sicherheitsanfälligkeit und zu entsprechenden Updates finden Sie im Leitfaden für Sicherheitsupdates von Microsoft:
Am 12. November 2019 hat Intel eine technische Empfehlung zur Sicherheitsanfälligkeit bezüglich asynchronen Transaktionsabbrüchen von Intel Transactional Synchronization Extensions (Intel TSX) veröffentlicht, die CVE-2019-11135 zugewiesen ist. Microsoft hat Updates veröffentlicht, um das Risiko durch diese Sicherheitsanfälligkeit zu mindern. Standardmäßig sind die Betriebssystemschutzfunktionen für Windows Client-Betriebssystemeditionen aktiviert.
Am 14. Juni 2022 haben wir den ADV220002 | Microsoft-Leitfaden zu Intel Processor MMIO Stale Data-Sicherheitsanfälligkeiten veröffentlicht. Die Sicherheitsrisiken werden in den folgenden CVEs zugewiesen:
Empfohlene Maßnahmen
Sie sollten die folgenden Maßnahmen ergreifen, um sich vor diesen Sicherheitsanfälligkeiten zu schützen:
-
Wenden Sie alle verfügbaren Updates für Windows-Betriebssysteme an, einschließlich der monatlichen Windows-Sicherheitsupdates.
-
Wenden Sie das entsprechende vom Gerätehersteller bereitgestellte Firmware (Microcode)-Update an.
-
Bewerten Sie das Risiko für Ihre Umgebung basierend auf den Informationen, die in den Microsoft-Sicherheitsempfehlungen bereitgestellt werden: ADV180002, ADV180012, ADV190013, und ADV220002, zusätzlich zu den Informationen in diesem Artikel.
-
Ergreifen Sie die erforderlichen Maßnahmen, indem Sie die in diesem Artikel bereitgestellten Empfehlungen und Registrierungsschlüsselinformationen verwenden.
Hinweis: Surface-Kunden erhalten ein Microcodeupdate über Windows Update. Eine Liste der neuesten verfügbaren Firmware (Microcode)-Updates für Surface-Geräte finden Sie unter KB4073065.
Am 12. Juli 2022 haben wir CVE-2022-23825 | AMD CPU Branch Type Confusion veröffentlicht, was beschreibt, dass Aliase im Branch Predictor dazu führen können, dass bestimmte AMD-Prozessoren den falschen Branchtyp vorhersagen. Dieses Problem kann möglicherweise zur Offenlegung von Informationen führen.
Um sich vor dieser Schwachstelle zu schützen, empfehlen wir, Windows-Updates zu installieren, die am oder nach Juli 2022 datiert sind, und dann Maßnahmen zu ergreifen, die von CVE-2022-23825 und Registrierungsschlüssel-Informationen erforderlich sind, die in diesem Wissensdatenbank-Artikel bereitgestellt werden.
Weitere Informationen finden Sie im AMD-SB-1037-Sicherheitsbulletin.
Am 8. August 2023 haben wir CVE-2023-20569 | AMD CPU Return Address Predictor (auch bekannt als Inception) veröffentlicht, was einen neuen spekulativen Seitenkanalangriff beschreibt, die zu spekulativer Ausführung an einer vom Angreifer kontrollierten Adresse führen kann. Dieses Problem betrifft bestimmte AMD-Prozessoren und kann möglicherweise zur Offenlegung von Informationen führen.
Zum Schutz vor dieser Sicherheitsanfälligkeit empfiehlt es sich, Windows-Updates zu installieren, die am oder nach August 2023 datiert sind, und dann Maßnahmen zu ergreifen, die von CVE-2023-20569 und Registrierungsschlüssel-Informationen erforderlich sind, die in diesem Wissensdatenbank-Artikel bereitgestellt werden.
Weitere Informationen finden Sie im AMD-SB-7005 Security Bulletin.
Am 9. April 2024 haben wir CVE-2022-0001 | Intel Branch History Injection veröffentlicht. Darin wird Branch History Injection (BHI), eine spezielle Form von Intra-Mode-BTI, beschrieben. Diese Sicherheitslücke tritt auf, wenn ein Angreifer den Verzweigungsverlauf manipulieren kann, bevor er vom Benutzer- in den Supervisor-Modus (oder vom VMX non-root/guest in den Root-Modus) wechselt. Diese Manipulation könnte dazu führen, dass ein Prädiktor für indirekte Verzweigungen einen bestimmten Prädiktoreintrag für eine indirekte Verzweigung auswählt und ein Offenlegungsgadget am vorhergesagten Ziel vorübergehend ausgeführt wird. Dies kann möglich sein, weil der relevante Verzweigungsverlauf Verzweigungen enthalten kann, die in früheren Sicherheitskontexten und insbesondere in anderen Prädiktormodi vorgenommen wurden.
Risikominderungseinstellungen für Windows-Clients
Sicherheitsempfehlungen (ADVs) und CVEsliefern Informationen über das Risiko, das von diesen Schwachstellen ausgeht und helfen Ihnen dabei, den Standardstatus von Abhilfemaßnahmen für Windows-Client-Systeme zu ermitteln. Die folgende Tabelle fasst den erforderlichen CPU-Microcode und den Standardzustand der Risikominderungen für Windows-Clients zusammen.
|
CVE |
CPU-Microcode/Firmware erforderlich? |
Standardzustand der Risikominderung |
|---|---|---|
|
CVE-2017-5753 |
Nein |
Standardmäßig aktiviert (keine Option zum Deaktivieren) Weitere Informationen finden Sie unter ADV180002. |
|
CVE-2017-5715 |
Ja |
Standardmäßig aktiviert. Benutzer mit AMD-basierten Systemen finden in FAQ Nr. 15 und Benutzer mit ARM-Prozessoren in FAQ Nr. 20 unter ADV180002 weitere Hinweise zu zusätzlichen Maßnahmen und in diesem KB-Artikel Informationen zu den entsprechenden Registrierungsschlüsseleinstellungen. Hinweis Standardmäßig ist Retpoline für Geräte aktiviert, auf denen Windows 10 Version 1809 oder höher ausgeführt wird, wenn Spectre Variante 2 (CVE-2017-5715) aktiviert ist. Weitere Informationen zu „Retpoline“ finden Sie im Blogbeitrag Mitigating Spectre variant 2 with Retpoline on Windows. |
|
CVE-2017-5754 |
Nein |
Standardmäßig aktiviert Weitere Informationen finden Sie unter ADV180002. |
|
CVE-2018-3639 |
Intel: Ja |
Intel und AMD: Standardmäßig deaktiviert. Siehe ADV180012 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen. ARM: Standardmäßig ohne Option zum Deaktivieren aktiviert. |
|
CVE-2019-11091 |
Intel: Ja |
Standardmäßig aktiviert. Weitere Informationen und die entsprechenden Registrierungsschlüsseleinstellungen finden Sie in ADV190013. |
|
CVE-2018-12126 |
Intel: Ja |
Standardmäßig aktiviert. Weitere Informationen und die entsprechenden Registrierungsschlüsseleinstellungen finden Sie in ADV190013. |
|
CVE-2018-12127 |
Intel: Ja |
Standardmäßig aktiviert. Weitere Informationen und die entsprechenden Registrierungsschlüsseleinstellungen finden Sie in ADV190013. |
|
CVE-2018-12130 |
Intel: Ja |
Standardmäßig aktiviert. Weitere Informationen und die entsprechenden Registrierungsschlüsseleinstellungen finden Sie in ADV190013. |
|
CVE-2019-11135 |
Intel: Ja |
Standardmäßig aktiviert. Weitere Informationen und die entsprechenden Registrierungsschlüsseleinstellungen finden Sie unter CVE-2019-11135-. |
|
CVE-2022-21123 (Teil von MMIO ADV220002) |
Intel: Ja |
Windows 10, Version 1809 und höher: Standardmäßig aktiviert. Unter CVE-2022-21123 finden Sie weitere Informationen und die entsprechenden Registrierungsschlüssel-Einstellungen. |
|
CVE-2022-21125 (Teil von MMIO ADV220002) |
Intel: Ja |
Windows 10, Version 1809 und höher: Standardmäßig aktiviert. Weitere Informationen finden Sie unter CVE-2022-21125. |
|
CVE-2022-21127 (Teil von MMIO ADV220002) |
Intel: Ja |
Windows 10, Version 1809 und höher: Standardmäßig aktiviert. Weitere Informationen finden Sie unter CVE-2022-21127. |
|
CVE-2022-21166 (Teil von MMIO ADV220002) |
Intel: Ja |
Windows 10, Version 1809 und höher: Standardmäßig aktiviert. Weitere Informationen finden Sie unter CVE-2022-21166. |
|
CVE-2022-23825 (AMD CPU Branchtypverwechslung) |
AMD: Nein |
Unter CVE-2022-23825 finden Sie weitere Informationen und die entsprechenden Registrierungsschlüsseleinstellungen. |
|
CVE-2023-20569
|
AMD: Ja |
Unter CVE-2023-20569 finden Sie weitere Informationen und die entsprechenden Registrierungsschlüssel-Einstellungen. |
|
Intel: Nein |
Standardmäßig deaktiviert. Unter CVE-2022-0001 finden Sie weitere Informationen und die entsprechenden Registrierungsschlüssel-Einstellungen. |
Hinweis: Die Aktivierung von Risikominderungen, die standardmäßig deaktiviert sind, kann sich auf die Geräteleistung auswirken. Die tatsächliche Leistungsauswirkung hängt von mehreren Faktoren ab, wie beispielsweise vom jeweiligen Chipsatz im Gerät und den ausgeführten Workloads.
Registrierungseinstellungen
Wir stellen die folgenden Registrierungsinformationen bereit, um Risikominderungen zu aktivieren, die nicht standardmäßig aktiviert sind, wie in Sicherheitsempfehlungen (ADVs) und CVEs dokumentiert. Darüber hinaus stellen wir Registrierungsschlüssel-Einstellungen für Benutzer bereit, die die Risikominderungen deaktivieren möchten, wenn sie für Windows-Clients gelten.
Wichtig: Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zur Sicherung und Wiederherstellung der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows
Wichtig: Retpoline ist auf Windows 10, Version 1809 Geräten standardmäßig aktiviert, wenn Spectre, Variante 2 (CVE-2017-5715) aktiviert ist. Durch Aktivieren von „Retpoline“ unter der neuesten Version von Windows 10 kann die Leistung auf Geräten, auf denen Windows 10, Version 1809, ausgeführt wird, für Spectre Variante 2 insbesondere bei älteren Prozessoren verbessert werden.
|
So aktivieren Sie Standardrisikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. So deaktivieren Sie Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown) reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f hinzufügen reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. |
Hinweis: Der Wert 3 für FeatureSettingsOverrideMask ist sowohl zum Aktivieren als auch Deaktivieren der Einstellungen korrekt. (Weitere Informationen zu Registrierungsschlüsseln finden Sie unter „Häufig gestellte Fragen“.)
|
So deaktivieren Sie Risikominderungen für CVE-2017-5715 (Spectre Variante 2) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. So aktivieren Sie Standardrisikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. |
Der Schutz zwischen Benutzer und Kernel für CVE-2017-5715 ist für AMD- und ARM-CPUs standardmäßig deaktiviert. Sie müssen die Risikominderung aktivieren, um zusätzlichen Schutz für CVE-2017-5715 zu erhalten. Weitere Informationen finden Sie unter FAQ Nr. 15 in ADV180002 für AMD-Prozessoren und FAQ Nr. 20 in ADV180002 für ARM-Prozessoren.
|
Aktivieren des Schutzes zwischen Benutzer und Kernel für AMD- und ARM-Prozessoren sowie anderer Schutzmaßnahmen für CVE-2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. |
|
So aktivieren Sie Risikominderungen für CVE-2018-3639 (Speculative Store Bypass), Standardrisikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. Hinweis: AMD-Prozessoren sind nicht anfällig für CVE-2017-5754 (Meltdown). Dieser Registrierungsschlüssel wird in Systemen mit AMD-Prozessoren verwendet, um Standardrisikominderungen für CVE-2017-5715 für AMD-Prozessoren und die Risikominderung für CVE-2018-3639 zu aktivieren. So deaktivieren Sie Risikominderungen für CVE-2018-3639 (Speculative Store Bypass) *und* Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. |
Standardmäßig ist der Benutzer-zu-Kernel-Schutz für CVE-2017-5715 für AMD-Prozessoren deaktiviert. Kunden müssen die Risikominderung aktivieren, um zusätzlichen Schutz für CVE-2017-5715 zu erhalten. Weitere Informationen finden Sie in den FAQ Nr. 15 in ADV180002.
|
Aktivieren des Schutzes zwischen Benutzer und Kernel für AMD-Prozessoren sowie anderer Schutzmaßnahmen für CVE-2017-5715 und Schutzmaßnahmen für CVE-2018-3639 (Speculative Store Bypass): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. |
|
Aktivieren von Risikominderungen für die Sicherheitsanfälligkeit in Intel Transactional Synchronization Extensions (Intel TSX) bezüglich asynchronen Transaktionsabbrüchen (CVE-2019-11135) und Microarchitectural Data Sampling (CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) zusammen mit Spectre [CVE-2017-5753 & CVE-2017-5715] und Meltdown [CVE-2017-5754] Varianten, einschließlich Deaktivierung der spekulativen Speicherumgehung (SSBD) [CVE-2018-3639] sowie L1-Terminalfehler (L1TF) [CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646], ohne Hyperthreading zu deaktivieren: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert. Starten Sie das Gerät neu, damit die Änderungen wirksam werden. So aktivieren Sie Risikominderungen für die Sicherheitsanfälligkeit in Intel Transactional Synchronization Extensions (Intel TSX) bezüglich asynchronen Abbruchs von Transaktionen (CVE-2019-11135) und Microarchitectural Data Sampling (CVE-2019-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) zusammen mit Spectre -Varianten (CVE-2017-5753 & CVE-2017-5715) und Meltdown (CVE-2017-5754), einschließlich Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) sowie L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646) mit deaktiviertem Hyperthreading: reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f hinzufügen reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle Virtual Machines vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert. Starten Sie das Gerät neu, damit die Änderungen wirksam werden. So deaktivieren Sie Risikominderungen für die Sicherheitsanfälligkeit bezüglich asynchronen Abbruchs von Transaktionen von Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) und Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127, CVE-2018-12130 ) zusammen mit Spectre -Varianten (CVE-2017-5753 & CVE-2017-5715) und Meltdown (CVE-2017-5754), einschließlich Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) sowie L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646): reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f hinzufügen reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. |
So aktivieren Sie die Risikominderung für CVE-2022-23825 auf AMD-Prozessoren :
reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f hinzufügen
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Um vollständig geschützt zu sein, müssen Kunden möglicherweise auch Hyperthreading deaktivieren (auch als gleichzeitiges Multithreading (Simultaneous Multi Threading, SMT) bezeichnet). Anleitungen zum Schutz von Windows-Geräten finden Sie unter KB4073757 .
So aktivieren Sie die Entschärfung für CVE-2023-20569 auf AMD-Prozessoren:
reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f hinzufügen
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
So aktivieren Sie den Risikominderungsmechanismus für CVE-2022-0001 auf Intel-Prozessoren:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Aktivieren mehrerer Risikominderungen
Um mehrere Risikominderungen zu aktivieren, müssen Sie den REG_DWORD-Wert jeder Risikominderung zusammen hinzufügen.
Beispiel:
|
Risikominderung für Sicherheitsanfälligkeit bezüglich asynchronem Transaktionsabbruch, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) und L1 Terminal Fault (L1TF) mit deaktiviertem Hyperthreading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
|
HINWEIS 8264 (in Dezimal) = 0x2048 (in Hexadezimal) Um BHI zusammen mit anderen vorhandenen Einstellungen zu aktivieren, müssen Sie bitweises OR mit dem aktuellen Wert 8.388.608 (0x800000) verwenden. 0x800000 ODER 0x2048(8264 dezimal) und wird zu 8.396.872 (0x802048). Identisch mit FeatureSettingsOverrideMask. |
|
|
Risikominderung für CVE-2022-0001 auf Intel-Prozessoren |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
|
Kombinierte Risikominderung |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
|
Risikominderung für Sicherheitsanfälligkeit bezüglich asynchronem Transaktionsabbruch, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) und L1 Terminal Fault (L1TF) mit deaktiviertem Hyperthreading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
|
Risikominderung für CVE-2022-0001 auf Intel-Prozessoren |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
|
Kombinierte Risikominderung |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000006 /f |
Überprüfen, ob der Schutz aktiviert ist
Um zu überprüfen, ob Der Schutz aktiviert ist, haben wir ein PowerShell-Skript veröffentlicht, das Sie auf Ihren Geräten ausführen können. Installieren Sie das Skript, und führen Sie es mithilfe einer der folgenden Methoden aus.
|
Installieren des PowerShell-Moduls: PS> Install-Module SpeculationControl Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden: PS> # Aktuelle Ausführungsrichtlinie speichern, um sie zurücksetzen zu können PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Ausführungsrichtlinie in den Originalzustand zurückversetzen PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
Installieren des PowerShell-Moduls über das Technet ScriptCenter: Navigieren Sie zu https://aka.ms/SpeculationControlPS Laden Sie die Datei „SpeculationControl.zip“ in einen lokalen Ordner herunter. Extrahieren Sie den Inhalt der Datei in einen lokalen Ordner, wie z. B. „C:\ADV180002“. Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden: Starten Sie PowerShell. Anschließend müssen Sie (unter Verwendung des vorherigen Beispiels) die folgenden Befehle kopieren und ausführen: PS> # Aktuelle Ausführungsrichtlinie speichern, um sie zurücksetzen zu können PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Ausführungsrichtlinie in den Originalzustand zurückversetzen PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Eine ausführliche Erläuterung der Ausgabe des PowerShell-Skripts finden Sie unter KB4074629.
Häufig gestellte Fragen
Der Microcode wird über ein Firmwareupdate bereitgestellt. Erkundigen Sie sich bei den Herstellern Ihrer CPU (Chipsatz) und Ihres Geräts nach der Verfügbarkeit entsprechender Firmware-Sicherheitsupdates für Ihr spezifisches Gerät, einschließlich Intels Microcode Revision-Anleitung.
Die Behebung einer Sicherheitsanfälligkeit bei Hardware mithilfe eines Softwareupdates stellt eine erhebliche Herausforderung dar. Risikominderungen für ältere Betriebssysteme können außerdem umfangreiche Änderungen bei der Architektur erforderlich machen. Wir arbeiten mit den betroffenen Prozessorchipherstellern zusammen, um die beste Methode zum Bereitstellen von Risikominderungen zu ermitteln, die in künftigen Updates enthalten sind.
Updates für Microsoft Surface-Geräte werden Kunden über Windows Update zusammen mit den Updates für Windows-Betriebssysteme bereitgestellt. Eine Liste der verfügbaren Firmware (Microcode)-Updates für Surface-Geräte finden Sie in KB4073065.
Wenn Ihr Gerät nicht von Microsoft ist, wenden Sie Firmware des Geräteherstellers an. Wenden Sie sich an den OEM-Gerätehersteller, um weitere Informationen zu erhalten.
Microsoft hat im Februar und März 2018 zusätzliche Schutzmaßnahmen für einige x86-basierte Systeme veröffentlicht. Weitere Informationen finden Sie unter KB4073757 und in der Microsoft-Sicherheitsempfehlung ADV180002.
Updates für Windows 10 für HoloLens stehen HoloLens-Kunden über Windows Update zur Verfügung.
Nach der Installation des Windows-Sicherheitsupdates vom Februar 2018 müssen HoloLens-Kunden keine zusätzlichen Schritte ausführen, um die Firmware ihrer Geräte zu aktualisieren. Diese Risikominderungen werden auch in allen zukünftigen Versionen von Windows 10 für HoloLens enthalten sein.
Nein. Reine Sicherheitsupdates sind nicht kumulativ. In Abhängigkeit von der ausgeführten Betriebssystemversion müssen Sie alle monatlichen reinen Sicherheitsupdates installieren, um vor diesen Sicherheitsanfälligkeiten geschützt zu sein. Wenn Sie beispielsweise Windows 7 für 32-Bit-Systeme auf einer betroffenen Intel-CPU ausführen, müssen Sie alle reinen Sicherheitsupdates installieren. Wir empfehlen, diese reinen Sicherheitsupdates in der Reihenfolge ihrer Veröffentlichung zu installieren.
Hinweis In einer früheren Version dieser FAQ wurde fälschlicherweise darauf hingewiesen, dass das reine Sicherheitsupdate vom Februar die im Januar veröffentlichten Sicherheitsfixes beinhaltet. Dies ist nicht der Fall.
Nein. Das Sicherheitsupdate 4078130 war ein spezieller Fix, um unvorhersehbares Systemverhalten, Leistungsprobleme und/oder unerwartete Neustarts nach der Installation von Microcode zu verhindern. Durch Anwenden der Sicherheitsupdates vom Februar unter Windows-Clientbetriebssystemen werden alle drei Risikominderungen aktiviert.
Intel hat kürzlich angekündigt, dass die Überprüfung abgeschlossen ist und mit der Veröffentlichung von Microcode für neuere CPU-Plattformen begonnen wurde. Microsoft stellt von Intel validierte Microcodeupdates im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection“) zur Verfügung. KB4093836 listet bestimmte Wissensdatenbank-Artikel nach Windows-Version auf. Jeder KB-Artikel enthält die verfügbaren Microcodeupdates von Intel nach CPU.
Dieses Problem wurde in KB4093118 behoben.
AMD hat kürzlich bekanntgegeben, dass das Unternehmen mit der Veröffentlichung von Microcode für neuere CPU-Plattformen im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection“) begonnen hat. Weitere Informationen finden Sie unter AMD-Sicherheitsupdates und AMD Whitepaper: Architektur-Anleitungen zu Indirect Branch Control. Verfügbar sind diese über den OEM-Firmwarechannel.
Wir stellen von Intel validierte Microcode-Updates im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection“) zur Verfügung. Um die neuesten Microcodeupdates von Intel über Windows Update zu beziehen, müssen Kunden Microcode von Intel auf Geräten unter einem Windows 10-Betriebssystem installieren, bevor sie ein Upgrade auf Windows 10 April 2018 Update (Version 1803) durchführen können.
Das Microcodeupdate ist auch direkt über den Microsoft Update-Katalog verfügbar, falls es vor dem Upgrade des Betriebssystems nicht auf dem Gerät installiert wurde. Microcode von Intel ist über Windows Update, WSUS oder den Microsoft Update-Katalog verfügbar. Weitere Informationen und Downloadanweisungen finden Sie unter KB4100347.
Weitere Informationen finden Sie in den folgenden Ressourcen:
Weitere Informationen finden Sie in den Abschnitten „Empfohlene Maßnahmen“ und „Häufig gestellte Fragen (FAQ)“ in ADV180012 | Leitfaden von Microsoft für Speculative Store Bypass.
Zur Überprüfung des Status von SSBD wurde das PowerShell-Skript „Get-SpeculationControlSettings“ aktualisiert, um betroffene Prozessoren, den Status der SSBD-Betriebssystemupdates und den Status des Prozessormicrocodes soweit zutreffend zu erkennen. Weitere Informationen und Informationen zum Abrufen des PowerShell-Skripts finden Sie unter KB4074629.
Am 13. Juni 2018 wurde eine zusätzliche Sicherheitsanfälligkeit im Zusammenhang mit spekulativen ausführungsseitigen Channelangriffen gemeldet, die als Lazy FP State Restore bezeichnet und unter CVE-2018-3665 gelistet wird. Für „Lazy FP State Restore“ sind keine Konfigurationseinstellungen (Registrierung) erforderlich.
Weitere Informationen zu dieser Sicherheitsanfälligkeit und zu empfohlenen Maßnahmen finden Sie in der Sicherheitsempfehlung ADV180016 | Leitfaden von Microsoft für „Lazy FP State Restore“.
Hinweis: Für „Lazy FP State Restore“ sind keine Konfigurationseinstellungen (Registrierung) erforderlich.
Bounds Check Bypass Store (BCBS) wurde am 10. Juli 2018 veröffentlicht und unter CVE-2018-3693 gelistet. Wir betrachten BCBS als zur selben Klasse von Sicherheitsanfälligkeiten gehörig wie Bounds Check Bypass (Variante 1). Uns sind derzeit keine BCBS-Instanzen in unserer Software bekannt. Wir untersuchen diese Klasse von Sicherheitsanfälligkeit jedoch weiter und werden gemeinsam mit Branchenpartnern bei Bedarf Risikominderungen veröffentlichen. Wir bitten Forscher auch weiterhin darum, relevante Ergebnisse an das Bounty-Programm für spekulative ausführungsseitige Channelangriffe von Microsoft zu senden, einschließlich etwaiger ausnutzbarer BCBS-Instanzen. Softwareentwicklern wird der für BCBS aktualisierte Entwicklerleitfaden unter folgender Adresse empfohlen: https://aka.ms/sescdevguide.
Am 14. August 2018 wurde L1-Terminalfehler (L1TF) angekündigt und mehreren CVEs zugewiesen. Mithilfe von spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten kann der Inhalt des Arbeitsspeichers über eine Vertrauensstellung hinaus ausgelesen werden, was zur Veröffentlichung von Informationen führen kann. Es gibt mehrere Angriffsvektoren, mit deren Hilfe ein Angreifer die Sicherheitsanfälligkeiten in Abhängigkeit von der konfigurierten Umgebung auslösen kann. L1TF betrifft Intel® Core®-Prozessoren und Intel® Xeon®-Prozessoren.
Weitere Informationen zu dieser Sicherheitsanfälligkeit und eine detaillierte Ansicht der betroffenen Szenarien, einschließlich des Ansatzes von Microsoft zur Risikominderung von L1TF finden Sie in den folgenden Ressourcen:
Kunden, die 64-Bit-ARM-Prozessoren verwenden, sollten sich an den Geräte-OEM wegen Firmwaresupport wenden, da für Schutzmaßnahmen für ARM64-Betriebssysteme, die das Risiko von CVE-2017-5715 – Branch Target Injection (Spectre Variante 2) mindern, das neueste Firmwareupdate von Geräte-OEMs erforderlich ist, damit sie wirksam sind.
Weitere Informationen finden Sie in den folgenden Sicherheitsempfehlungen:
Weitere Informationen finden Sie in den folgenden Sicherheitsempfehlungen:
Weitere Anleitungen finden Sie im Windows-Leitfaden zum Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen
Weitere Informationen finden Sie unter Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows
Eine Anleitung zu Azure finden Sie in diesem Artikel: Leitfaden zur Minderung von Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen in Azure.
Weitere Informationen zur Retpoline-Aktivierung finden Sie in unserem Blogbeitrag: Risikominderungen für Spectre Variante 2 mit Retpoline unter Windows.
Ausführliche Informationen zu dieser Sicherheitsanfälligkeit finden Sie im Microsoft-Sicherheitshandbuch: CVE-2019-1125 | Windows-Kernelsicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen.
Uns ist kein Fall bekannt, dass diese Sicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen unsere Cloud Service-Infrastruktur beeinträchtigt.
Sobald wir dieses Problem festgestellt hatten, arbeiteten wir schnell an dessen Behebung und an der Veröffentlichung eines Updates. Wir sind fest von starken Partnerschaften mit Forschern und Branchenpartnern überzeugt, um die Sicherheit der Kunden zu optimieren. Deshalb haben wir erst am Dienstag, den 6. August, im Rahmen der koordinierten Veröffentlichungspraktiken für Sicherheitsanfälligkeiten Details veröffentlicht.
Weitere Informationen finden Sie unter Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows.
Weitere Informationen finden Sie unter Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows.
Weitere Informationen finden Sie unter Anweisungen zum Deaktivieren von Intel® Transactional Synchronization Extensions (Intel® TSX).
Verweise
Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.
