Zusammenfassung
Microsoft ist eine neue Sicherheitsanfälligkeit bezüglich spekulativer ausführungsseitiger Channelangriffe bekannt, die als L1 Terminal Fault (L1TF) bezeichnet wird und der wie in der nachfolgenden Tabelle beschrieben mehrere CVEs zugewiesen wurden. Diese Sicherheitsanfälligkeit betrifft Intel® Core®-Prozessoren und Intel® Xeon®-Prozessoren. Weitere Informationen finden Sie in der Sicherheitsempfehlung von Intel unter: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html.
Microsoft hat aktuell keine Hinweise darauf, dass diese Sicherheitsanfälligkeiten zu Angriffen auf Kunden genutzt wurden. Microsoft arbeitet auch weiterhin eng mit Branchenpartnern einschließlich Prozessorchipherstellern, Hardware-OEMs und App-Herstellern zusammen, um den Schutz der Kunden zu gewährleisten. Für den umfassenden Schutz sind Firmware (Microcode)- und Softwareupdates erforderlich. Dies beinhaltet Microcode von Geräte-OEMs und in manchen Fällen Updates für Antivirensoftware.
Diese Empfehlung betrifft folgende Sicherheitsrisiken:
|
CVE |
Name |
Anwendbarkeit |
|---|---|---|
|
L1 Terminal Fault |
Intel® Software Guard Extensions (SGX) |
|
|
L1 Terminal Fault |
Betriebssystem (OS), Systemmanagementmodus (SMM) |
|
|
L1 Terminal Fault |
Virtual Machine Manager (VMM) |
Weitere Informationen zu dieser Klasse von Sicherheitsanfälligkeiten finden Sie in ADV180018.
Übersicht
Mithilfe der folgenden Abschnitte können Sie Probleme bei Azure Stack-Umgebungen, die von den in der Microsoft-Sicherheitsempfehlung ADV180018 beschriebenen Sicherheitsanfälligkeiten betroffen sind, identifizieren, mindern und beheben.
Zur Behebung dieser Probleme arbeitet Microsoft gemeinsam mit der Hardwarebranche an der Entwicklung von Risikominderungen und Leitfäden.
Empfohlene Maßnahmen
Kunden von Azure Stack sollten wie folgt vorgehen, um die Azure Stack-Infrastruktur vor diesen Sicherheitsanfälligkeiten zu schützen:
-
Wenden Sie das Azure Stack 1808-Update an. In den Anmerkungen zum Azure Stack 1808-Update finden Sie Anweisungen zum Anwenden dieses Updates auf Ihr integriertes Azure Stack-System.
-
Installieren Sie Firmwareupdates Ihres Azure Stack-OEM-Herstellers. Informationen zum Herunterladen und Anwenden der Updates finden Sie auf der Website Ihres OEM-Herstellers.
Häufig gestellte Fragen (FAQ)
F1: Wie kann ich feststellen, ob mein Azure Stack von dieser Klasse von Sicherheitsanfälligkeiten betroffen ist?
A1: Alle integrierten Azure Stack-Systeme sind von der in der Microsoft-Sicherheitsempfehlung ADV180018 beschriebenen Klasse von Sicherheitsanfälligkeiten betroffen.
F2: Wo finde ich das Azure Stack-Update zum Beheben dieser Klasse von Sicherheitsanfälligkeiten?
A2: In den Anmerkungen zum Azure Stack 1808-Update finden Sie Anweisungen zum Herunterladen und Anwenden dieses Updates auf Ihr integriertes Azure Stack-System. Weitere Informationen zu Updates für Microsoft Azure Stack finden Sie unter http://aka.ms/azurestackupdate.
F3: Wo finde ich die Firmwareupdates für mein integriertes Azure Stack-System?
A3: Firmwareupdates sind OEM-spezifisch. Informationen zum Herunterladen und Anwenden der Updates finden Sie auf der Website Ihres OEM-Herstellers.
F4: Für mein integriertes Azure Stack-System wurde nicht das neueste Update (Version 1807) installiert. Was ist zu tun?
A4: Azure Stack-Updates sind sequenziell. Sie müssen alle vorherigen Updates anwenden, bevor Sie das Azure Stack 1808-Update anwenden können.
F5: Ich führe ein Azure Stack Development Kit (ASDK) aus. Ist es von dieser Klasse von Sicherheitsanfälligkeiten betroffen?
A5: Ja, es ist betroffen. Es wird empfohlen, die neueste ASDK-Version bereitzustellen. Informationen zum Herunterladen und Anwenden der Firmwareupdates finden Sie auf der Website Ihres OEM-Herstellers.
F6: Muss ich das Betriebssystem meiner virtuellen Computer aktualisieren, um meine Anwendungen von anderen Azure Stack-Mandanten zu isolieren?
A6 : Ein Betriebssystemupdate ist nicht erforderlich, um Ihre in Azure Stack ausgeführten Anwendungen von anderen Azure Stack-Mandanten zu isolieren. Es empfiehlt sich jedoch, dafür zu sorgen, dass die Software immer auf dem aktuellen Stand ist. Die neuesten Sicherheitsrollups für Windows enthalten Risikominderungen für mehrere spekulative ausführungsseitige Channelsicherheitsanfälligkeiten. Entsprechend wurden für Linux-Distributionen mehrere Updates zur Behebung dieser Sicherheitsanfälligkeiten veröffentlicht.
F7: Gibt es aufgrund dieser Risikominderung für ausführungsseitige Channelsicherheitsanfälligkeiten Leistungsbeeinträchtigungen?
A7: Wie in der Microsoft-Sicherheitsempfehlung ADV180018 beschrieben, hat Microsoft in Tests in Abhängigkeit von der Systemkonfiguration und den erforderlichen Risikominderungen eine gewisse Leistungsbeeinträchtigung durch diese Risikominderungen festgestellt. Das Azure Stack 1808-Update enthält alle von Microsoft empfohlenen Softwarekonfigurationsupdates, um potenzielle Leistungsbeeinträchtigungen zu mindern. Starten Sie Ihre in Azure Stack ausgeführten virtuellen Computer neu, falls Leistungsbeeinträchtigungen auftreten. Der Neustart muss über das Azure Stack-Portal oder die Azure CLI in Azure Stack ausgeführt werden, um wirksam zu sein.
