Zusammenfassung
Dieser Artikel wird aktualisiert, sobald zusätzliche Informationen verfügbar sind. Sie sollten deshalb regelmäßig hier nachschauen, ob es Updates und neue häufig gestellte Fragen (FAQ) gibt.
Microsoft ist eine neue öffentlich gemeldete Klasse von Sicherheitsanfälligkeiten bekannt, die als „spekulative ausführungsseitige Channelangriffe“ (Speculative Execution Side-Channel Attacks) bezeichnet werden und viele moderne Prozessoren wie etwa von Intel, AMD, VIA und ARM betreffen.
Hinweis Dieses Problem betrifft auch andere Betriebssysteme wie etwa Android, Chrome, iOS und macOS. Deshalb raten wir Kunden, sich Informationen von den entsprechenden Herstellern einzuholen.
Wir haben mehrere Updates veröffentlicht, um diese Schwachstellen zu minimieren. Darüber hinaus haben wir Schutzmaßnahmen für unsere Clouddienste ergriffen. Einzelheiten entnehmen Sie den folgenden Abschnitten.
Microsoft hat aktuell keine Hinweise darauf, dass diese Sicherheitsanfälligkeiten zu Angriffen auf Kunden genutzt wurden. Wir arbeiten zum Schutz der Kunden eng mit Branchenpartnern wie Prozessorchipherstellern, Hardware-OEMs und App-Anbietern zusammen. Für den umfassenden Schutz sind Firmware (Microcode)- und Softwareupdates erforderlich. Dies beinhaltet Microcode von Geräte-OEMs und in manchen Fällen Updates für Antivirensoftware.
Dieser Artikel betrifft folgende Sicherheitsanfälligkeiten:
Windows Update stellt auch Maßnahmen für Internet Explorer und Edge bereit. Wir werden Risikominderungen für diese Klasse von Sicherheitsanfälligkeiten weiter verbessern.
Weitere Informationen zu dieser Klasse von Sicherheitsanfälligkeiten finden Sie unter
AKTUALISIERT AM 14. Mai 2019 Am 14. Mai 2019 veröffentlichte Intel Informationen zu einer neuen Unterklasse spekulativer Ausführungs-Channelsicherheitsanfälligkeit, die als Microarchitectural Data Sampling bekannt ist. Ihnen wurden die folgenden CVEs zugewiesen:
-
CVE-2018-11091 – „Microarchitectural Data Sampling Uncacheable Memory (MDSUM)“
-
CVE-2018-12126 – „Microarchitectural Store Buffer Data Sampling (MSBDS)“
-
CVE-2018-12127 – „Microarchitectural Fill Buffer Data Sampling (MFBDS)“
-
CVE-2018-12130 – „Microarchitectural Load Port Data Sampling (MLPDS)“
Hoch Diese Probleme betreffen andere Systeme wie etwa Android, Chrome, iOS und macOS. Wir raten Kunden, sich Informationen von den entsprechenden Herstellern einzuholen.
Microsoft hat Updates veröffentlicht, um das Risiko durch diese Sicherheitsanfälligkeiten zu mindern. Für den umfassenden Schutz sind Firmware (Microcode)- und Softwareupdates erforderlich. Dies beinhaltet möglicherweise Microcode von Geräte-OEMs. Unter Umständen kann durch die Installation dieser Updates die Leistung beeinträchtigt werden. Darüber hinaus haben wir Maßnahmen zum Schutz unserer Cloud Services ergriffen. Es wird dringend empfohlen, diese Updates bereitzustellen.
Weitere Informationen zu diesem Problem finden Sie in der folgenden Sicherheitsempfehlung, und bestimmen Sie anhand der szenariobasierten Anweisungen die erforderlichen Aktionen zur Reduzierung des Risikos durch diese Sicherheitsbedrohung:
Hinweis Es wird empfohlen, alle aktuellen Updates über Windows Update zu installieren, bevor Sie Microcodeupdates installieren.
A KTUALISIERT AM 6. AUGUST 2019 Am 6. August 2019 veröffentlichte Intel Details zu einer Sicherheitsanfälligkeit im Windows-Kernel bezüglich der Veröffentlichung von Informationen. Diese Sicherheitsanfälligkeit ist eine Variante der spekulativen ausführungsseitigen Channelsicherheitsanfälligkeit Spectre Variante 1 und wird unter CVE-2019-1125 gelistet.
Am 9. Juli 2019 haben wir Sicherheitsupdates für das Windows-Betriebssystem veröffentlicht, um das Risiko aufgrund dieses Problems zu reduzieren. Beachten Sie, dass wir die Veröffentlichung dieser Risikominderung bis zur koordinierten Branchenveröffentlichung am Dienstag, den 6. August 2019, zurückgehalten haben.
Kunden, die Windows Update aktiviert haben und die am 9. Juli 2019 veröffentlichten Sicherheitsupdates angewendet haben, sind automatisch geschützt. Es ist keine weitere Konfiguration erforderlich.
Hinweis Beachten Sie, dass für diese Sicherheitsanfälligkeit kein Microcodeupdate von Ihrem Gerätehersteller (OEM) erforderlich ist.
Weitere Informationen zu dieser Sicherheitsanfälligkeit und zu entsprechenden Updates finden Sie im Leitfaden für Sicherheitsupdates von Microsoft:
AKTUALISIERT AM 12. NOVEMBER 2019 Am 12. November 2019 hat Intel eine technische Empfehlung zur Sicherheitsanfälligkeit bezüglich des Abbruchs asynchroner Transaktionen im Zusammenhang mit Intel® Transactional Synchronization Extensions (Intel® TSX) veröffentlicht, der CVE-2019-11135 zugewiesen wurde. Microsoft hat Updates veröffentlicht, um das Risiko durch diese Sicherheitsanfälligkeit zu mindern, und die Schutzmaßnahmen des Betriebssystems sind für Windows-Client-Betriebssystemeditionen standardmäßig aktiviert.
Empfohlene Maßnahmen
Kunden müssen folgende Maßnahmen zum Schutz gegen die Sicherheitsanfälligkeiten ergreifen:
-
Wenden Sie alle verfügbaren Updates für Windows-Betriebssysteme an, einschließlich der monatlichen Windows-Sicherheitsupdates.
-
Wenden Sie das entsprechende vom Gerätehersteller bereitgestellte Firmware (Microcode)-Update an.
-
Analysieren Sie das Risiko für Ihre Umgebung anhand der Informationen in den Microsoft-Sicherheitsempfehlungen ADV180002, ADV180012, ADV190013 und in diesem Knowledge Base-Artikel.
-
Führen Sie entsprechende Schritte anhand der Sicherheitsempfehlungen und Registrierungsschlüsselinformationen in diesem Knowledge Base-Artikel aus.
Hinweis Surface-Kunden erhalten ein Microcode-Update über Windows Update. Eine Liste der neuesten verfügbaren Firmware (Microcode)-Updates für Surface-Geräte finden Sie unter KB 4073065.
Risikominderungseinstellungen für Windows-Clients
In den Sicherheitsempfehlungen ADV180002, ADV180012 und ADV190013 finden Sie Informationen zu den Risiken dieser Sicherheitsanfälligkeiten und zum Standardzustand der Risikominderungen für Windows-Clientsysteme. Die folgende Tabelle fasst den erforderlichen CPU-Microcode und den Standardzustand der Risikominderungen für Windows-Clients zusammen.
|
CVE |
CPU-Microcode/Firmware erforderlich? |
Standardzustand der Risikominderung |
|---|---|---|
|
CVE-2017-5753 |
Nein |
Standardmäßig aktiviert (keine Option zum Deaktivieren) Weitere Informationen finden Sie unter ADV180002. |
|
CVE-2017-5715 |
Ja |
Standardmäßig aktiviert. Benutzer mit AMD-basierten Systemen finden in FAQ Nr. 15 und Benutzer mit ARM-Prozessoren in FAQ Nr. 20 unter ADV180002 weitere Hinweise zu zusätzlichen Maßnahmen und in diesem KB-Artikel Informationen zu den entsprechenden Registrierungsschlüsseleinstellungen. Hinweis „Retpoline“ ist standardmäßig für Geräte aktiviert, auf denen Windows 10 1809 oder höher ausgeführt wird, wenn Spectre Variante 2 (CVE-2017-5715) aktiviert ist. Weitere Informationen zu „Retpoline“ finden Sie im BlogbeitragMitigating Spectre variant 2 with Retpoline on Windows. |
|
CVE-2017-5754 |
Nein |
Standardmäßig aktiviert Weitere Informationen finden Sie unter ADV180002. |
|
CVE-2018-3639 |
Intel: Ja |
Intel und AMD: Standardmäßig deaktiviert. Siehe ADV180012 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen. ARM: Standardmäßig aktiviert (keine Option zum Deaktivieren). |
|
CVE-2018-11091 |
Intel: Ja |
Standardmäßig aktiviert. Siehe ADV190013 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen. |
|
CVE-2018-12126 |
Intel: Ja |
Standardmäßig aktiviert. Siehe ADV190013 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen. |
|
CVE-2018-12127 |
Intel: Ja |
Standardmäßig aktiviert. Siehe ADV190013 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen. |
|
CVE-2018-12130 |
Intel: Ja |
Standardmäßig aktiviert. Siehe ADV190013 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen. |
|
CVE-2019-11135 |
Intel: Ja |
Standardmäßig aktiviert. Siehe CVE-2019-11135 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen. |
Hinweis Das Aktivieren von standardmäßig deaktivierten Risikominderungen kann die Leistung beeinträchtigen. Die tatsächliche Leistungsauswirkung hängt von mehreren Faktoren ab, wie beispielsweise vom jeweiligen Chipsatz im Gerät und den ausgeführten Workloads.
Registrierungseinstellungen
Mit den folgenden Registrierungsinformationen können Sie Risikominderungen aktivieren, die standardmäßig nicht aktiviert sind. Beachten Sie dazu die Sicherheitsempfehlungen ADV180002 und ADV180012. Außerdem finden Sie hier Registrierungsschlüsseleinstellungen, mit denen Sie die Risikominderungen im Zusammenhang mit CVE-2017-5715 und CVE-2017-5754 für Windows-Clients deaktivieren können.
Wichtig Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zur Sicherung und Wiederherstellung der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows
Verwalten von Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)
Wichtiger Hinweis„Retpoline“ ist auf Geräten unter Windows 10, Version 1809, standardmäßig aktiviert, wenn Spectre Variante 2 (CVE-2017-5715) aktiviert ist. Durch Aktivieren von „Retpoline“ unter der neuesten Version von Windows 10 kann die Leistung auf Geräten, auf denen Windows 10, Version 1809, ausgeführt wird, für Spectre Variante 2 insbesondere bei älteren Prozessoren verbessert werden.
|
So aktivieren Sie Standardrisikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie den Computer neu, damit die Änderungen wirksam werden. So deaktivieren Sie Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie den Computer neu, damit die Änderungen wirksam werden. |
Hinweis: Der Wert 3 für FeatureSettingsOverrideMask ist sowohl zum Aktivieren als auch Deaktivieren der Einstellungen korrekt. (Weitere Informationen zu Registrierungsschlüsseln finden Sie unter „Häufig gestellte Fragen“.)
Verwalten der Risikominderung für CVE-2017-5715 (Spectre Variante 2)
|
So deaktivieren Sie Risikominderungen für CVE-2017-5715 (Spectre Variante 2) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie den Computer neu, damit die Änderungen wirksam werden. So aktivieren Sie Standardrisikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie den Computer neu, damit die Änderungen wirksam werden. |
Nur AMD- und ARM-Prozessoren: Aktivieren der vollständigen Risikominderung für CVE-2017-5715 (Spectre Variante 2)
Der Schutz zwischen Benutzer und Kernel für CVE-2017-5715 ist für AMD- und ARM-CPUs standardmäßig deaktiviert. Kunden müssen die Risikominderung aktivieren, um zusätzlichen Schutz für CVE-2017-5715 zu erhalten. Weitere Informationen finden Sie unter FAQ Nr. 15 in ADV180002 für AMD-Prozessoren und FAQ Nr. 20 in ADV180002 für ARM-Prozessoren.
|
Aktivieren des Schutzes zwischen Benutzer und Kernel für AMD- und ARM-Prozessoren sowie anderer Schutzmaßnahmen für CVE-2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie den Computer neu, damit die Änderungen wirksam werden. |
Verwalten von Risikominderungen für CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)
|
So aktivieren Sie Risikominderungen für CVE-2018-3639 (Speculative Store Bypass), Standardrisikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie den Computer neu, damit die Änderungen wirksam werden. Hinweis: AMD-Prozessoren sind nicht anfällig für CVE-2017-5754 (Meltdown). Dieser Registrierungsschlüssel wird in Systemen mit AMD-Prozessoren verwendet, um Standardrisikominderungen für CVE-2017-5715 für AMD-Prozessoren und die Risikominderung für CVE-2018-3639 zu aktivieren. So deaktivieren Sie Risikominderungen für CVE-2018-3639 (Speculative Store Bypass) *und* Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie den Computer neu, damit die Änderungen wirksam werden. |
Nur AMD-Prozessoren: Aktivieren der vollständigen Risikominderung für CVE-2017-5715 (Spectre Variante 2) und CVE-2018-3639 (Speculative Store Bypass)
Der Schutz zwischen Benutzer und Kernel für CVE-2017-5715 ist für AMD-Prozessoren standardmäßig deaktiviert. Kunden müssen die Risikominderung aktivieren, um zusätzlichen Schutz für CVE-2017-5715 zu erhalten. Weitere Informationen finden Sie in FAQ Nr. 15 unter ADV180002.
|
Aktivieren des Schutzes zwischen Benutzer und Kernel für AMD-Prozessoren sowie anderer Schutzmaßnahmen für CVE-2017-5715 und Schutzmaßnahmen für CVE-2018-3639 (Speculative Store Bypass): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie den Computer neu, damit die Änderungen wirksam werden. |
Verwalten der Sicherheitsanfälligkeit bezüglich des Abbruchs asynchroner Transaktionen im Zusammenhang mit Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) und von Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) zusammen mit den Varianten von Spectre (CVE-2017-5753 & CVE-2017-5715) und Meltdown (CVE-2017-5754), einschließlich Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) sowie L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646)
|
So aktivieren Sie Risikominderungen für die Sicherheitsanfälligkeit bezüglich des Abbruchs asynchroner Transaktionen im Zusammenhang mit Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) und für Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) zusammen mit den Varianten von Spectre (CVE-2017-5753 & CVE-2017-5715) und Meltdown (CVE-2017-5754), einschließlich Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) sowie L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646), ohne Hyperthreading zu deaktivieren: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert. Starten Sie den Computer neu, damit die Änderungen wirksam werden. So aktivieren Sie Risikominderungen für die Sicherheitsanfälligkeit bezüglich des Abbruchs asynchroner Transaktionen im Zusammenhang mit Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) und für Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) zusammen mit den Varianten von Spectre (CVE-2017-5753 & CVE-2017-5715) und Meltdown (CVE-2017-5754), einschließlich Store Bypass Disable (SSBD) (CVE-2018-3639) sowie L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646) mit deaktiviertem Hyperthreading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert. Starten Sie den Computer neu, damit die Änderungen wirksam werden. So deaktivieren Sie Risikominderungen für die Sicherheitsanfälligkeit bezüglich des Abbruchs asynchroner Transaktionen im Zusammenhang mit Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) und für Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) zusammen mit den Varianten von Spectre (CVE-2017-5753 & CVE-2017-5715) und Meltdown (CVE-2017-5754), einschließlich Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) sowie L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie den Computer neu, damit die Änderungen wirksam werden. |
Sicherstellen, dass Schutzmaßnahmen aktiviert sind
Microsoft hat ein PowerShell-Skript veröffentlicht, das Kunden auf ihren Systemen ausführen können, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden. Führen Sie die folgenden Befehle aus, um das Skript zu installieren und auszuführen.
|
PowerShell-Überprüfung mithilfe des PowerShell-Katalogs (Windows Server 2016 oder WMF 5.0/5.1) |
|
Installieren des PowerShell-Moduls: PS> Install-Module SpeculationControl Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden: PS> # Aktuelle Ausführungsrichtlinie speichern, um sie zurücksetzen zu können PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Ausführungsrichtlinie in den Originalzustand zurückversetzen PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
PowerShell-Überprüfung mithilfe eines Technet-Downloads (ältere Betriebssystemversionen und ältere WMF-Versionen) |
|
Installieren des PowerShell-Moduls über das Technet ScriptCenter: Navigieren Sie zu https://aka.ms/SpeculationControlPS Laden Sie die Datei „SpeculationControl.zip“ in einen lokalen Ordner herunter. Extrahieren Sie den Inhalt der Datei in einen lokalen Ordner, wie z. B. „C:\ADV180002“. Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden: Starten Sie PowerShell. Anschließend müssen Sie (unter Verwendung des vorherigen Beispiels) die folgenden Befehle kopieren und ausführen: PS> # Aktuelle Ausführungsrichtlinie speichern, um sie zurücksetzen zu können PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Ausführungsrichtlinie in den Originalzustand zurückversetzen PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Eine ausführliche Beschreibung der Ausgabe des PowerShell-Skripts finden Sie im Knowledge Base-Artikel 4074629.
Häufig gestellte Fragen
Wie kann ich feststellen, ob ich die richtige Version des CPU-Microcodes habe?
Der Microcode wird über ein Firmwareupdate bereitgestellt. Erkundigen Sie sich beim Hersteller der CPU (Chipsatz) bzw. des Geräts nach der Verfügbarkeit von Firmwaresicherheitsupdates für das jeweilige Gerät. Weitere Informationen finden Sie unter Intel – Microcode Revision Guidance.
Mein Betriebssystem ist nicht aufgeführt. Wann wird ein Fix dafür veröffentlicht?
Die Behebung einer Sicherheitsanfälligkeit bei Hardware mithilfe eines Softwareupdates stellt eine erhebliche Herausforderung dar. Risikominderungen für ältere Betriebssysteme können außerdem umfangreiche Änderungen bei der Architektur erforderlich machen. Wir arbeiten mit den betroffenen Prozessorchipherstellern zusammen, um die beste Methode zum Bereitstellen von Risikominderungen zu ermitteln, die in künftigen Updates enthalten sind.
Wo finde ich Firmware- oder Hardwareupdates für Surface?
Updates für Microsoft Surface-Geräte werden Kunden über Windows Update zusammen mit den Updates für Windows-Betriebssysteme bereitgestellt. Eine Liste der verfügbaren Firmware (Microcode)-Updates für Surface-Geräte finden Sie unter KB 4073065.
Wenn Ihr Gerät nicht von Microsoft ist, wenden Sie Firmware des Geräteherstellers an. Wenden Sie sich an den OEM-Gerätehersteller, um weitere Informationen zu erhalten.
Ich verwende eine x86-Architektur, aber mir wird kein Update angeboten. Wird es eines geben?
Microsoft hat im Februar und März 2018 zusätzliche Schutzmaßnahmen für einige x86-basierte Systeme veröffentlicht. Weitere Informationen finden Sie unter KB 4073757 und in der Microsoft-Sicherheitsempfehlung ADV180002.
Wo finde ich Betriebssystem- und Firmware (Microcode)-Updates für Microsoft HoloLens?
Updates für Windows 10 für HoloLens stehen HoloLens-Kunden über Windows Update zur Verfügung.
Nach der Installation des Windows-Sicherheitsupdates vom Februar 2018 müssen HoloLens-Kunden keine zusätzlichen Schritte ausführen, um die Firmware ihrer Geräte zu aktualisieren. Diese Risikominderungen werden auch in allen zukünftigen Versionen von Windows 10 für HoloLens enthalten sein.
Ich habe die reinen Sicherheitsupdates von 2018 nicht installiert. Wenn ich die neuesten reinen Sicherheitsupdates von 2018 installiere, bin ich dann vor den beschriebenen Sicherheitsanfälligkeiten geschützt?
Nein. Reine Sicherheitsupdates sind nicht kumulativ. In Abhängigkeit von der ausgeführten Betriebssystemversion müssen Sie alle monatlichen reinen Sicherheitsupdates installieren, um vor diesen Sicherheitsanfälligkeiten geschützt zu sein. Wenn Sie beispielsweise Windows 7 für 32-Bit-Systeme auf einer betroffenen Intel-CPU ausführen, müssen Sie alle reinen Sicherheitsupdates installieren. Wir empfehlen, diese reinen Sicherheitsupdates in der Reihenfolge ihrer Veröffentlichung zu installieren.
Hinweis: In einer früheren Version dieser FAQ wurde fälschlicherweise darauf hingewiesen, dass das reine Sicherheitsupdate vom Februar die im Januar veröffentlichten Sicherheitsfixes beinhaltet. Dies ist nicht der Fall.
Wenn ich alle entsprechenden Sicherheitsupdates vom Februar anwende, wird dann der Schutz für CVE-2017-5715 deaktiviert, so wie dies beim Sicherheitsupdate 4078130 der Fall war?
Nein. Das Sicherheitsupdate 4078130 war ein spezieller Fix, um unvorhersehbares Systemverhalten, Leistungsprobleme und/oder unerwartete Neustarts nach der Installation von Microcode zu verhindern. Durch Anwenden der Sicherheitsupdates vom Februar unter Windows-Clientbetriebssystemen werden alle drei Risikominderungen aktiviert.
Ich habe gehört, dass Intel Microcodeupdates veröffentlicht hat. Wo finde ich diese Updates?
Intel hat kürzlich angekündigt, dass die Überprüfung abgeschlossen ist und mit der Veröffentlichung von Microcode für neuere CPU-Plattformen begonnen wurde. Microsoft stellt von Intel validierte Microcodeupdates im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection“) zur Verfügung. Unter KB 4093836 finden Sie eine Liste mit Knowledge Base-Artikeln für die einzelnen Windows-Versionen. Jeder KB-Artikel enthält die verfügbaren Microcodeupdates von Intel nach CPU.
Bekanntes Problem: Bei manchen Benutzern können nach der Installation des Sicherheitsupdates vom 13. März 2018 (KB 4088875) Probleme mit der Netzwerkverbindung auftreten oder IP-Adresseinstellungen verloren gehen.
Dieses Problem wurde in KB 4093118 behoben.
Ich habe gehört, dass AMD Microcodeupdates veröffentlicht hat. Wo kann ich diese Updates für mein System finden und installieren?
AMD hat kürzlich bekanntgegeben, dass das Unternehmen mit der Veröffentlichung von Microcode für neuere CPU-Plattformen im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection“) begonnen hat. Weitere Informationen finden Sie in den AMD-Sicherheitsupdates und im AMD-Whitepaper: Architecture Guidelines around Indirect Branch Control (Richtlinien zur Architektur bezüglich Indirect Branch Control). Verfügbar sind diese über den OEM-Firmwarechannel.
Ich führe Windows 10 April 2018 Update (Version 1803) aus. Ist Microcode von Intel für mein Gerät verfügbar? Wo finde ich diesen Microcode?
Wir stellen von Intel validierte Microcode-Updates im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection“) zur Verfügung. Um die neuesten Microcodeupdates von Intel über Windows Update zu beziehen, müssen Kunden Microcode von Intel auf Geräten unter einem Windows 10-Betriebssystem installieren, bevor sie ein Upgrade auf Windows 10 April 2018 Update (Version 1803) durchführen können.
Das Microcodeupdate ist auch direkt über den Microsoft Update-Katalog verfügbar, falls es vor dem Upgrade des Betriebssystems nicht auf dem Gerät installiert wurde. Microcode von Intel ist über Windows Update, WSUS oder den Microsoft Update-Katalog verfügbar. Weitere Informationen und Anweisungen zum Herunterladen finden Sie unter KB 4100347.
Wo finde ich Informationen zu den neuen spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten (Speculative Store Bypass – CVE-2018-3639 und Rogue System Register Read – CVE-2018-3640)?
Weitere Informationen finden Sie in den folgenden Ressourcen:
Wo finde ich weitere Informationen zur Unterstützung von Windows für Speculative Store Bypass Disable (SSBD) in Intel-Prozessoren?
Weitere Informationen finden Sie in den Abschnitten „Empfohlene Maßnahmen“ und „Häufig gestellte Fragen (FAQ)“ in ADV180012 | Leitfaden von Microsoft für Speculative Store Bypass.
Wie überprüfe ich, ob SSBD aktiviert oder deaktiviert ist?
Zur Überprüfung des Status von SSBD wurde das PowerShell-Skript „Get-SpeculationControlSettings“ aktualisiert, um betroffene Prozessoren, den Status der SSBD-Betriebssystemupdates und den Status des Prozessormicrocodes soweit zutreffend zu erkennen. Weitere Informationen und das PowerShell-Skript zum Herunterladen finden Sie unter KB 4074629.
Ich habe gehört, dass „Lazy FP State Restore“ (CVE-2018-3665) angekündigt wurde. Wird Microsoft Risikominderungen dafür veröffentlichen?
Am 13. Juni 2018 wurde eine zusätzliche Sicherheitsanfälligkeit im Zusammenhang mit spekulativen ausführungsseitigen Channelangriffen gemeldet, die als Lazy FP State Restore bezeichnet und unter CVE-2018-3665 gelistet wird. Für „Lazy FP State Restore“ sind keine Konfigurationseinstellungen (Registrierung) erforderlich.
Weitere Informationen zu dieser Sicherheitsanfälligkeit und zu empfohlenen Maßnahmen finden Sie in der Sicherheitsempfehlung ADV180016 | Leitfaden von Microsoft für „Lazy FP State Restore“.
Hinweis: Für „Lazy FP State Restore“ sind keine Konfigurationseinstellungen (Registrierung) erforderlich.
Ich habe gehört, dass CVE-2018-3693 (Bounds Check Bypass Store) im Zusammenhang mit Spectre steht. Wird Microsoft Risikominderungen dafür veröffentlichen?
Bounds Check Bypass Store (BCBS) wurde am 10. Juli 2018 veröffentlicht und unter CVE-2018-3693 gelistet. Wir betrachten BCBS als zur selben Klasse von Sicherheitsanfälligkeiten gehörig wie Bounds Check Bypass (Variante 1). Uns sind derzeit keine BCBS-Instanzen in unserer Software bekannt. Wir untersuchen diese Klasse von Sicherheitsanfälligkeit jedoch weiter und werden gemeinsam mit Branchenpartnern bei Bedarf Risikominderungen veröffentlichen. Wir bitten Forscher auch weiterhin darum, relevante Ergebnisse an das Bounty-Programm für spekulative ausführungsseitige Channelangriffe von Microsoft zu senden, einschließlich etwaiger ausnutzbarer BCBS-Instanzen. Softwareentwicklern wird der für BCBS aktualisierte Entwicklerleitfaden unter folgender Adresse empfohlen: https://aka.ms/sescdevguide.
Ich habe gehört, dass L1 Terminal Fault (L1TF) veröffentlicht wurde. Wo finde ich weitere Informationen dazu und den entsprechenden Windows-Support?
Am 14. August 2018 wurde L1 Terminal Fault (L1TF) angekündigt und zu mehreren CVEs zugewiesen. Mithilfe von spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten kann der Inhalt des Arbeitsspeichers über eine Vertrauensstellung hinaus ausgelesen werden, was zur Veröffentlichung von Informationen führen kann. Es gibt mehrere Angriffsvektoren, mit deren Hilfe ein Angreifer die Sicherheitsanfälligkeiten in Abhängigkeit von der konfigurierten Umgebung auslösen kann. L1TF betrifft Intel® Core®-Prozessoren und Intel® Xeon®-Prozessoren.
Weitere Informationen zu dieser Sicherheitsanfälligkeit und eine detaillierte Ansicht der betroffenen Szenarien, einschließlich des Ansatzes von Microsoft zur Risikominderung von L1TF finden Sie in den folgenden Ressourcen:
Wo kann ich ARM64-Firmware finden und installieren, mit der das Risiko von CVE-2017-5715 – Branch Target Injection (Spectre Variante 2) gemindert wird?
Kunden, die 64-Bit-ARM-Prozessoren verwenden, sollten sich an den Geräte-OEM wegen Firmwaresupport wenden, da für Schutzmaßnahmen für ARM64-Betriebssysteme, die das Risiko von CVE-2017-5715 – Branch Target Injection (Spectre Variante 2) mindern, das neueste Firmwareupdate von Geräte-OEMs erforderlich ist, damit sie wirksam sind.
Wo finde ich Informationen zur Veröffentlichung von Intel bezüglich Microarchitectural Data Sampling (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127)?
Weitere Informationen finden Sie in den folgenden Sicherheitsempfehlungen:
Wo finde ich Informationen zur Veröffentlichung von Intel bezüglich Microarchitectural Data Sampling-Sicherheitsanfälligkeiten (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130)?
Weitere Informationen finden Sie in den folgenden Sicherheitsempfehlungen:
Wo finde ich die szenariobasierten Anweisungen, um die erforderlichen Aktionen zur Reduzierung des Risikos durch die Microarchitectural Data Sampling-Sicherheitsanfälligkeiten zu bestimmen?
Weitere Informationen finden Sie unter Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows.
Muss ich Hyperthreading für MDS auf meinem Gerät deaktivieren?
Weitere Informationen finden Sie unter Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows.
Wo finde ich Anweisungen für Azure?
Anweisungen für Azure finden Sie in diesem Artikel: Anweisungen für die Risikominderung von spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten in Azur.
Wo finde ich weitere Informationen zur Aktivierung von „Retpoline“ unter Windows 10, Version 1809?
Weitere Informationen zur Aktivierung von „Retpoline“ finden Sie in unserem Blogbeitrag Mitigating Spectre variant 2 with Retpoline on Windows.
Ich habe gehört, dass es eine Variante der spekulativen ausführungsseitigen Channelsicherheitsanfälligkeit Spectre Variante 1 gibt. Wo finde ich dazu weitere Informationen?
Details zu dieser Sicherheitsanfälligkeit finden Sie im Leitfaden für Sicherheitsupdates von Microsoft: CVE-2019-1125 | Sicherheitsanfälligkeit im Windows-Kernel bezüglich Veröffentlichung von Informationen.
Beeinträchtigt „CVE-2019-1125 | Sicherheitsanfälligkeit im Windows-Kernel bezüglich Veröffentlichung von Informationen“ Microsoft Cloud Services?
Uns ist kein Fall bekannt, dass diese Sicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen unsere Cloud Service-Infrastruktur beeinträchtigt.
Warum wurden die Details am 6. August 2019 veröffentlicht, obwohl Updates für „CVE-2019-1125 | Sicherheitsanfälligkeit im Windows-Kernel bezüglich Veröffentlichung von Informationen“ am 9. Juli 2019 veröffentlicht wurden?
Sobald wir dieses Problem festgestellt hatten, arbeiteten wir schnell an dessen Behebung und an der Veröffentlichung eines Updates. Wir sind fest von starken Partnerschaften mit Forschern und Branchenpartnern überzeugt, um die Sicherheit der Kunden zu optimieren. Deshalb haben wir erst am Dienstag, den 6. August, im Rahmen der koordinierten Veröffentlichungspraktiken für Sicherheitsanfälligkeiten Details veröffentlicht.
Wo finde ich die szenariobasierte Anleitungen zum Bestimmen der erforderlichen Maßnahmen, um das Risiko durch die Sicherheitsanfälligkeit bezüglich des Abbruchs asynchroner Transaktionen im Zusammenhang mit Intel® Transactional Synchronization Extensions (Intel® TSX) Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) zu verringern?
Weitere Informationen finden Sie unter Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows.
Muss ich wegen der Sicherheitsanfälligkeit bezüglich des Abbruchs asynchroner Transaktionen im Zusammenhang mit Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) Hyperthreading auf meinem Gerät deaktivieren?
Weitere Informationen finden Sie unter Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows.
Gibt es eine Möglichkeit, Intel® Transactional Synchronization Extensions (Intel® TSX) zu deaktivieren?
Weitere Informationen finden Sie unter Anweisungen zum Deaktivieren von Intel® Transactional Synchronization Extensions (Intel® TSX).
