Hinweis: Dieser Artikel wird aktualisiert, sobald zusätzliche Informationen verfügbar sind. Schauen Sie deshalb regelmäßig hier nach, ob es Updates und neue häufig gestellte Fragen (FAQ) gibt.
Zusammenfassung
Dieser Artikel enthält Anleitungen für eine neue Klasse von auf Silizium basierenden mikroarchitecturalen und spekulativen Ausführungsseitenkanal-Sicherheitslücken, die viele moderne Prozessoren und Betriebssysteme betreffen. Dazu gehören Intel, AMD und ARM. Spezifische Details zu diesen auf Silizium basierenden Sicherheitsrisiken finden Sie in den folgenden Sicherheitsempfehlungen und CVEs:
-
ADV180012 | Microsoft-Leitfaden zur Umgehung spekulativer Speicher
-
ADV180013 | Microsoft-Leitfaden zum Registrieren eines nicht autorisierten Systems lesen
-
ADV180016 | Microsoft-Leitfaden für verzögerte FP-Zustandswiederherstellung
-
ADV180018 | Microsoft-Leitfaden zur Entschärfung der L1TF-Variante
-
ADV220002 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities
Wichtig: Dieses Problem betrifft auch andere Betriebssysteme wie etwa Android, Chrome, iOS und macOS. Deshalb raten wir Kunden, sich Informationen von den entsprechenden Herstellern einzuholen.
Wir haben mehrere Updates veröffentlicht, um das Risiko durch diese Sicherheitsanfälligkeiten zu reduzieren. Darüber hinaus haben wir Schutzmaßnahmen für unsere Clouddienste ergriffen. Einzelheiten entnehmen Sie den folgenden Abschnitten.
Wir haben noch keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsrisiken für Angriffe auf Kunden verwendet wurden. Wir arbeiten eng mit Branchenpartnern wie Chipherstellern, Hardware-OEMs und Anwendungsanbietern zusammen, um Kunden zu schützen. Für den umfassenden Schutz sind Firmware (Microcode)- und Softwareupdates erforderlich. Dies beinhaltet Microcode von Geräte-OEMs und in manchen Fällen Updates für Antivirensoftware.
Dieser Artikel betrifft folgende Sicherheitsanfälligkeiten:
Windows Update stellt auch Maßnahmen für Internet Explorer und Edge bereit. Wir werden Risikominderungen für diese Klasse von Sicherheitsanfälligkeiten weiter verbessern.
Weitere Informationen zu dieser Klasse von Sicherheitsrisiken finden Sie in den folgenden Artikeln:
Schwachstellen
Am 14. Mai 2019 veröffentlichte Intel Informationen zu einer neuen Unterklasse von spekulativen Ausführungsseitenkanal-Sicherheitslücken, die als Microarchitectural Data Sampling bekannt sind. Diese Sicherheitsrisiken werden in den folgenden CVEs behoben:
-
CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)
-
CVE-2018-12127 | Microarchitectural Fill Buffer Data Sampling (MFBDS)
-
CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)
Wichtig: Diese Probleme wirken sich auf andere Betriebssysteme wie Android, Chrome, iOS und MacOS aus. Wir empfehlen Ihnen, sich von diesen jeweiligen Anbietern beraten zu lassen.
Wir haben Updates veröffentlicht, um diese Sicherheitsrisiken zu entschärfen. Für den umfassenden Schutz sind Firmware (Microcode)- und Softwareupdates erforderlich. Dies kann Microcode von Geräte-OEMs umfassen. In einigen Fällen wirkt sich die Installation dieser Updates auf die Leistung aus. Wir haben auch gehandelt, um unsere Clouddienste zu schützen. Es wird dringend empfohlen, diese Updates bereitzustellen.
Weitere Informationen zu diesem Problem finden Sie in der folgenden Sicherheitsempfehlung, und verwenden Sie den szenariobasierten Leitfaden, um aktionen zu bestimmen, die zum Mindern der Bedrohung erforderlich sind:
Hinweis: Es wird empfohlen, dass Sie alle neuesten Updates von Windows Update installieren, bevor Sie Microcodeupdates installieren.
Am 6. August 2019 hat Intel Details zu einem Windows-Kernel-Informationsrisiko veröffentlicht. Diese Sicherheitsanfälligkeit ist eine Variante des Spectre Variant 1-Sicherheitsrisikos für spekulative Ausführung im Seitenkanal und wurde CVE-2019-1125 zugewiesen.
Am 9. Juli 2019 haben wir Sicherheitsupdates für das Windows-Betriebssystem veröffentlicht, um dieses Problem zu beheben. Bitte beachten Sie, dass wir die öffentliche Dokumentation dieser Entschärfung bis zur koordinierten Branchenveröffentlichung am Dienstag, den 6. August 2019, zurückgehalten haben.
Kunden, die Windows Update aktiviert und die am 9. Juli 2019 veröffentlichten Sicherheitsupdates angewendet haben, werden automatisch geschützt. Es ist keine weitere Konfiguration erforderlich.
Hinweis: Für diese Sicherheitsanfälligkeit ist kein Microcodeupdate von Ihrem Gerätehersteller (OEM) erforderlich.
Weitere Informationen zu dieser Sicherheitsanfälligkeit und anwendbaren Updates finden Sie im Microsoft-Sicherheitsupdatehandbuch:
Am 12. November 2019 veröffentlichte Intel eine technische Empfehlung zu Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort-Sicherheitsrisiko, die CVE-2019-11135 zugewiesen ist. Wir haben Updates veröffentlicht, um dieses Sicherheitsrisiko zu beheben. Standardmäßig sind die Betriebssystemschutzfunktionen für Windows-Clientbetriebssystemeditionen aktiviert.
Am 14. Juni 2022 haben wir ADV220002 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities (Microsoft-Leitfaden zu Veralteten Daten von Intel Processor MMIO). Die Sicherheitsrisiken werden in den folgenden CVEs zugewiesen:
Empfohlene Maßnahmen
Sie sollten die folgenden Maßnahmen ergreifen, um sich vor diesen Sicherheitsrisiken zu schützen:
-
Wenden Sie alle verfügbaren Updates für Windows-Betriebssysteme an, einschließlich der monatlichen Windows-Sicherheitsupdates.
-
Wenden Sie das entsprechende vom Gerätehersteller bereitgestellte Firmware (Microcode)-Update an.
-
Bewerten Sie das Risiko für Ihre Umgebung basierend auf den Informationen, die in den Microsoft-Sicherheitsempfehlungen ADV180002, ADV180012, ADV190013 und ADV2220002bereitgestellt werden, zusätzlich zu den informationen in diesem Artikel.
-
Ergreifen Sie die erforderlichen Maßnahmen, indem Sie die Empfehlungen und Registrierungsschlüsselinformationen verwenden, die in diesem Artikel bereitgestellt werden.
Hinweis: Surface-Kunden erhalten ein Microcodeupdate über Windows Update. Eine Liste der neuesten verfügbaren Updates der Surface-Gerätefirmware (Microcode) finden Sie unter KB4073065.
Risikominderungseinstellungen für Windows-Clients
Die Sicherheitsempfehlungen ADV180002, ADV180012, ADV190013 und ADV2220002 enthalten Informationen zum Risiko dieser Sicherheitsrisiken und wie sie Ihnen helfen, den Standardstatus von Risikominderungen für Windows-Clientsysteme zu identifizieren. In der folgenden Tabelle werden die Anforderungen an CPU-Microcode und der Standardstatus der Risikominderungen auf Windows-Clients zusammengefasst.
|
CVE |
CPU-Microcode/Firmware erforderlich? |
Standardzustand der Risikominderung |
|---|---|---|
|
CVE-2017-5753 |
Nein |
Standardmäßig aktiviert (keine Option zum Deaktivieren) Weitere Informationen finden Sie unter ADV180002 . |
|
CVE-2017-5715 |
Ja |
Standardmäßig aktiviert. Benutzer von Systemen, die auf AMD-Prozessoren basieren, sollten häufig gestellte Fragen Nr. 15 lesen, und Benutzer von ARM-Prozessoren sollten häufig gestellte Fragen #20 auf ADV180002 lesen, um weitere Aktionen zu erhalten, und in diesem KB-Artikel finden Sie informationen zu anwendbaren Registrierungsschlüsseleinstellungen. Hinweis Standardmäßig ist Retpoline für Geräte mit Windows 10 Version 1809 oder höher aktiviert, wenn Spectre Variant 2 (CVE-2017-5715) aktiviert ist. Weitere Informationen zu Retpoline finden Sie in den Anleitungen im Blogbeitrag MitIgating Spectre Variante 2 mit Retpoline unter Windows . |
|
CVE-2017-5754 |
Nein |
Standardmäßig aktiviert Weitere Informationen finden Sie unter ADV180002 . |
|
CVE-2018-3639 |
Intel: Ja |
Intel und AMD: Standardmäßig deaktiviert. Weitere Informationen finden Sie unter ADV180012 und in diesem KB-Artikel für anwendbare Registrierungsschlüsseleinstellungen. ARM: Standardmäßig aktiviert (keine Option zum Deaktivieren). |
|
CVE-2019-11091 |
Intel: Ja |
Standardmäßig aktiviert. Weitere Informationen finden Sie unter ADV190013 und in diesem Artikel für anwendbare Registrierungsschlüsseleinstellungen. |
|
CVE-2018-12126 |
Intel: Ja |
Standardmäßig aktiviert. Weitere Informationen finden Sie unter ADV190013 und in diesem Artikel für anwendbare Registrierungsschlüsseleinstellungen. |
|
CVE-2018-12127 |
Intel: Ja |
Standardmäßig aktiviert. Weitere Informationen finden Sie unter ADV190013 und in diesem Artikel für anwendbare Registrierungsschlüsseleinstellungen. |
|
CVE-2018-12130 |
Intel: Ja |
Standardmäßig aktiviert. Weitere Informationen finden Sie unter ADV190013 und in diesem Artikel für anwendbare Registrierungsschlüsseleinstellungen. |
|
CVE-2019-11135 |
Intel: Ja |
Standardmäßig aktiviert. Weitere Informationen finden Sie unter CVE-2019-11135 und in diesem Artikel die entsprechenden Registrierungsschlüsseleinstellungen. |
|
CVE-2022-21123 (Teil von MMIO ADV220002) |
Intel: Ja |
Windows Server 2019, Windows Server 2022: Standardmäßig aktiviert. Weitere Informationen finden Sie unter CVE-2022-21123 und in diesem Artikel finden Sie entsprechende Registrierungsschlüsseleinstellungen. |
|
CVE-2022-21125 (Teil von MMIO ADV220002) |
Intel: Ja |
Windows Server 2019, Windows Server 2022: Standardmäßig aktiviert. Weitere Informationen finden Sie unter CVE-2022-21125 . |
|
CVE-2022-21127 (Teil von MMIO ADV220002) |
Intel: Ja |
Server 2019, Windows Server 2022: Standardmäßig aktiviert. Weitere Informationen finden Sie unter CVE-2022-21127 . |
|
CVE-2022-21166 (Teil von MMIO ADV220002) |
Intel: Ja |
Windows Server 2019, Windows Server 2022: Standardmäßig aktiviert. Weitere Informationen finden Sie unter CVE-2022-21166 . |
|
CVE-2022-23825 (AMD CPU Branch Type Confusion) |
AMD: Nein |
Weitere Informationen finden Sie unter CVE-2022-23825 und in diesem Artikel finden Sie entsprechende Registrierungsschlüsseleinstellungen. |
|
CVE-2022-23816 (AMD CPU Branch Type Confusion) |
AMD: Nein |
Weitere Informationen finden Sie unter CVE-2022-23816und in diesem Artikel finden Sie entsprechende Registrierungsschlüsseleinstellungen. |
Hinweis: Standardmäßig kann sich das Aktivieren von Entschärfungen, die deaktiviert sind, auf die Geräteleistung auswirken. Die tatsächliche Leistungsauswirkung hängt von mehreren Faktoren ab, wie beispielsweise vom jeweiligen Chipsatz im Gerät und den ausgeführten Workloads.
Registrierungseinstellungen
Wir stellen die folgenden Registrierungsinformationen bereit, um Risikominderungen zu ermöglichen, die standardmäßig nicht aktiviert sind, wie in den Sicherheitsempfehlungen ADV180002 und ADV180012 dokumentiert. Darüber hinaus stellen wir Registrierungsschlüsseleinstellungen für Benutzer bereit, die die Risikominderungen im Zusammenhang mit CVE-2017-5715 und CVE-2017-5754 für Windows-Clients deaktivieren möchten.
Wichtig: die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Ändern der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows
Wichtig: Standardmäßig ist Retpoline auf Windows 10, Version 1809 Geräten aktiviert, wenn Spectre, Variant 2 (CVE-2017-5715) aktiviert ist. Das Aktivieren von Retpoline auf der neuesten Version von Windows 10 kann die Leistung auf Geräten verbessern, auf denen Windows 10, Version 1809 für Spectre Variante 2 ausgeführt wird, insbesondere auf älteren Prozessoren.
|
So aktivieren Sie Standardrisikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. So deaktivieren Sie Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. |
Hinweis: Der Wert 3 ist für FeatureSettingsOverrideMask sowohl für die Einstellungen "enable" als auch "disable" genau. (Weitere Informationen zu Registrierungsschlüsseln finden Sie unter „Häufig gestellte Fragen“.)
|
So deaktivieren Sie Risikominderungen für CVE-2017-5715 (Spectre Variant 2) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. So aktivieren Sie Standardrisikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. |
Standardmäßig ist der Benutzer-zu-Kernel-Schutz für CVE-2017-5715 für AMD- und ARM-CPUs deaktiviert. Sie müssen die Risikominderung aktivieren, um zusätzliche Schutzmaßnahmen für CVE-2017-5715 zu erhalten. Weitere Informationen finden Sie unter HÄUFIG GESTELLTE FRAGEN #15 in ADV180002 für AMD-Prozessoren und häufig gestellte Fragen #20 in ADV180002 für ARM-Prozessoren.
|
Aktivieren des Schutzes zwischen Benutzer und Kernel für AMD- und ARM-Prozessoren sowie anderer Schutzmaßnahmen für CVE-2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. |
|
So aktivieren Sie Risikominderungen für CVE-2018-3639 (Speculative Store Bypass), Standardrisikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. Hinweis: AMD-Prozessoren sind nicht anfällig für CVE-2017-5754 (Meltdown). Dieser Registrierungsschlüssel wird in Systemen mit AMD-Prozessoren verwendet, um Standardrisikominderungen für CVE-2017-5715 für AMD-Prozessoren und die Risikominderung für CVE-2018-3639 zu aktivieren. So deaktivieren Sie Risikominderungen für CVE-2018-3639 (Speculative Store Bypass) *und* Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. |
Standardmäßig ist der Benutzer-zu-Kernel-Schutz für CVE-2017-5715 für AMD-Prozessoren deaktiviert. Kunden müssen die Risikominderung aktivieren, um zusätzliche Schutzmaßnahmen für CVE-2017-5715 zu erhalten. Weitere Informationen finden Sie unter HÄUFIG GESTELLTE FRAGEN #15 in ADV180002.
|
Aktivieren des Schutzes zwischen Benutzer und Kernel für AMD-Prozessoren sowie anderer Schutzmaßnahmen für CVE-2017-5715 und Schutzmaßnahmen für CVE-2018-3639 (Speculative Store Bypass): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. |
|
So aktivieren Sie Entschärfungen für die Sicherheitsanfälligkeit durch Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) und Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) zusammen mit Spectre Varianten (CVE-2017-5753 & CVE-2017-5715) und Meltdown (CVE-2017-5754), einschließlich Spec Deaktivieren der Speicherumgehung (SSBD) (CVE-2018-3639) sowie L1-Terminalfehler (L1TF) (CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646) ohne Deaktivierung von Hyperthreading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Wenn das Hyper-V-Feature installiert ist, fügen Sie die folgende Registrierungseinstellung hinzu: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert. Starten Sie das Gerät neu, damit die Änderungen wirksam werden. So aktivieren Sie Entschärfungen für die Sicherheitsanfälligkeit durch Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) und Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) zusammen mit Spectre Varianten (CVE-2017-5753 & CVE-2017-5715) und Meltdown (CVE-2017-5754), einschließlich Spec Deaktivieren der Speicherumgehung (SSBD) (CVE-2018-3639) sowie L1-Terminalfehler (L1TF) (CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646) mit deaktivierter Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Wenn das Hyper-V-Feature installiert ist, fügen Sie die folgende Registrierungseinstellung hinzu: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Vollständiges Herunterfahren aller Virtual Machines. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert. Starten Sie das Gerät neu, damit die Änderungen wirksam werden. So deaktivieren Sie Entschärfungen für das Sicherheitsrisiko "Asynchroner Transaktionsabbruch" (CVE-2019-11135) von Intel® Transactional Synchronization Extensions (Intel® TSX) und microarchitectural Data Sampling ( CVE-2019-1)1091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) zusammen mit Spectre Varianten (CVE-2017-5753 & CVE-2017-5715) und Meltdown (CVE-2017-5754), einschließlich Spec Deaktivieren der Speicherumgehung (SSBD) (CVE-2018-3639) sowie L1-Terminalfehler (L1TF) (CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Starten Sie das Gerät neu, damit die Änderungen wirksam werden. |
Aktivieren des Benutzer-zu-Kernel-Schutzes auf AMD-Prozessoren:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Um vollständig geschützt zu werden, müssen Kunden möglicherweise auch Hyper-Threading (auch als Gleichzeitiges Multithreading (SMT) bezeichnet) deaktivieren. Eine Anleitung zum Schutz von Windows-Geräten finden Sie unter KB4073757.
Überprüfen, ob Der Schutz aktiviert ist
Um zu überprüfen, ob Der Schutz aktiviert ist, haben wir ein PowerShell-Skript veröffentlicht, das Sie auf Ihren Geräten ausführen können. Installieren Sie das Skript, und führen Sie es mit einer der folgenden Methoden aus.
|
Installieren des PowerShell-Moduls: PS> Install-Module SpeculationControl Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden: PS> # Aktuelle Ausführungsrichtlinie speichern, um sie zurücksetzen zu können PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Ausführungsrichtlinie in den Originalzustand zurückversetzen PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
Installieren des PowerShell-Moduls über das Technet ScriptCenter: Wechseln Sie zu https://aka.ms/SpeculationControlPS Laden Sie die Datei „SpeculationControl.zip“ in einen lokalen Ordner herunter. Extrahieren Sie den Inhalt der Datei in einen lokalen Ordner, wie z. B. „C:\ADV180002“. Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden: Starten Sie PowerShell. Anschließend müssen Sie (unter Verwendung des vorherigen Beispiels) die folgenden Befehle kopieren und ausführen: PS> # Aktuelle Ausführungsrichtlinie speichern, um sie zurücksetzen zu können PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Ausführungsrichtlinie in den Originalzustand zurückversetzen PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Eine ausführliche Erläuterung der Ausgabe des PowerShell-Skripts finden Sie unter KB4074629.
Häufig gestellte Fragen
Der Microcode wird über ein Firmwareupdate bereitgestellt. Sie sollten sich bei Ihren CPU-Herstellern (Chipsatz) und den Geräteherstellern erkundigen, ob entsprechende Firmware-Sicherheitsupdates für ihr spezifisches Gerät verfügbar sind, einschließlich Intels Microcode Revision Guidance.
Die Behebung einer Sicherheitsanfälligkeit bei Hardware mithilfe eines Softwareupdates stellt eine erhebliche Herausforderung dar. Risikominderungen für ältere Betriebssysteme können außerdem umfangreiche Änderungen bei der Architektur erforderlich machen. Wir arbeiten mit den betroffenen Prozessorchipherstellern zusammen, um die beste Methode zum Bereitstellen von Risikominderungen zu ermitteln, die in künftigen Updates enthalten sind.
Aktualisierungen für Microsoft Surface-Geräte werden kundenseitig über Windows Update zusammen mit den Updates für das Windows-Betriebssystem bereitgestellt. Eine Liste der verfügbaren Updates für Surface-Gerätefirmware (Microcode) finden Sie unter KB4073065.
Wenn Ihr Gerät nicht von Microsoft ist, wenden Sie Firmware des Geräteherstellers an. Wenden Sie sich an den OEM-Gerätehersteller, um weitere Informationen zu erhalten.
Microsoft hat im Februar und März 2018 zusätzliche Schutzmaßnahmen für einige x86-basierte Systeme veröffentlicht. Weitere Informationen finden Sie unter KB4073757 und in der Microsoft-Sicherheitsempfehlung ADV180002.
Updates für Windows 10 für HoloLens stehen HoloLens-Kunden über Windows Update zur Verfügung.
Nach dem Anwenden des Windows-Sicherheit-Updates vom Februar 2018 müssen HoloLens-Kunden keine weiteren Maßnahmen ergreifen, um ihre Gerätefirmware zu aktualisieren. Diese Risikominderungen werden auch in allen zukünftigen Versionen von Windows 10 für HoloLens enthalten sein.
Nein. Reine Sicherheitsupdates sind nicht kumulativ. In Abhängigkeit von der ausgeführten Betriebssystemversion müssen Sie alle monatlichen reinen Sicherheitsupdates installieren, um vor diesen Sicherheitsanfälligkeiten geschützt zu sein. Wenn Sie beispielsweise Windows 7 für 32-Bit-Systeme auf einer betroffenen Intel-CPU ausführen, müssen Sie alle reinen Sicherheitsupdates installieren. Wir empfehlen, diese reinen Sicherheitsupdates in der Reihenfolge ihrer Veröffentlichung zu installieren.
Hinweis In einer früheren Version dieser häufig gestellten Fragen wurde fälschlicherweise angegeben, dass das Februar-Sicherheitsupdate die im Januar veröffentlichten Sicherheitsupdates enthält. Dies ist nicht der Fall.
Nein. Das Sicherheitsupdate 4078130 war ein spezieller Fix, um unvorhersehbares Systemverhalten, Leistungsprobleme und/oder unerwartete Neustarts nach der Installation von Microcode zu verhindern. Durch Anwenden der Sicherheitsupdates vom Februar unter Windows-Clientbetriebssystemen werden alle drei Risikominderungen aktiviert.
Intel gab kürzlich bekannt, dass sie ihre Überprüfungen abgeschlossen haben und mit der Veröffentlichung von Microcode für neuere CPU-Plattformen begonnen haben. Microsoft stellt von Intel validierte Microcodeupdates im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection“) zur Verfügung. KB4093836 listet bestimmte Knowledge Base-Artikel nach Windows-Version auf. Jeder KB-Artikel enthält die verfügbaren Microcodeupdates von Intel nach CPU.
Dieses Problem wurde in KB4093118 behoben.
AMD hat kürzlich angekündigt , Microcode für neuere CPU-Plattformen rund um Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") zu veröffentlichen. Weitere Informationen finden Sie im AMD Security Aktualisierungen und AMD Whitepaper: Architecture Guidelines around Indirect Branch Control.For more information to AMD Security Aktualisierungen and AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Verfügbar sind diese über den OEM-Firmwarechannel.
Wir stellen Intel validierte Microcode-Updates rund um Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection " ) zur Verfügung. Um die neuesten Microcodeupdates von Intel über Windows Update zu beziehen, müssen Kunden Microcode von Intel auf Geräten unter einem Windows 10-Betriebssystem installieren, bevor sie ein Upgrade auf Windows 10 April 2018 Update (Version 1803) durchführen können.
Das Microcodeupdate ist auch direkt über den Microsoft Update-Katalog verfügbar, falls es vor dem Upgrade des Betriebssystems nicht auf dem Gerät installiert wurde. Microcode von Intel ist über Windows Update, WSUS oder den Microsoft Update-Katalog verfügbar. Weitere Informationen und Downloadanweisungen finden Sie unter KB4100347.
Weitere Informationen finden Sie in den folgenden Ressourcen:
Weitere Informationen finden Sie in den Abschnitten "Empfohlene Aktionen" und "Häufig gestellte Fragen" in ADV180012 | Microsoft-Leitfaden für spekulative Speicherumgehung.
Um den Status von SSBD zu überprüfen, wurde das Get-SpeculationControlSettings PowerShell-Skript aktualisiert, um betroffene Prozessoren, den Status der SSBD-Betriebssystemupdates und ggf. den Status des Prozessor-Microcodes zu erkennen. Weitere Informationen und informationen zum Abrufen des PowerShell-Skripts finden Sie unter KB4074629.
Am 13. Juni 2018 wurde eine zusätzliche Sicherheitsanfälligkeit im Zusammenhang mit spekulativer Nebenkanalausführung angekündigt, die als Lazy FP State Restore bezeichnet wird und CVE-2018-3665 zugewiesen wurde. Für lazy Restore FP Restore sind keine Konfigurationseinstellungen (Registrierung) erforderlich.
Weitere Informationen zu diesem Sicherheitsrisiko und empfohlene Aktionen finden Sie unter Sicherheitsempfehlung ADV180016 | Microsoft-Leitfaden für verzögerte FP-Zustandswiederherstellung.
Hinweis: Für lazy Restore FP Restore sind keine Konfigurationseinstellungen (Registrierung) erforderlich.
Bounds Check Bypass Store (BCBS) wurde am 10. Juli 2018 veröffentlicht und CVE-2018-3693 zugewiesen. BCBS gehört zu derselben Klasse von Sicherheitsrisiken wie Bounds Check Bypass (Variante 1). Wir kennen derzeit keine BCBS-Instanzen in unserer Software, aber wir forschen weiterhin an dieser Sicherheitsrisikoklasse und werden mit Branchenpartnern zusammenarbeiten, um nach Bedarf Abhilfemaßnahmen zu veröffentlichen. Wir ermutigen die Forscher weiterhin, alle relevanten Ergebnisse an das Bounty-Programm für spekulative Execution Side Channel von Microsoft zu übermitteln, einschließlich aller ausnutzbaren Instanzen von BCBS. Softwareentwickler sollten den Entwicklerleitfaden lesen, der für BCBS auf https://aka.ms/sescdevguide aktualisiert wurde.
Am 14. August 2018 wurde L1 Terminal Fault (L1TF) angekündigt und mehreren CVEs zugewiesen. Diese neuen Sicherheitsrisiken für spekulative Ausführungsseitenkanäle können verwendet werden, um den Inhalt des Arbeitsspeichers über eine vertrauenswürdige Grenze hinweg zu lesen und, wenn sie ausgenutzt werden, zur Offenlegung von Informationen führen. Ein Angreifer kann die Sicherheitsrisiken je nach konfigurierter Umgebung über mehrere Vektoren auslösen. L1TF wirkt sich auf Intel® Core-Prozessoren® und Intel® Xeon-Prozessoren® aus.
Weitere Informationen zu dieser Sicherheitsanfälligkeit und eine detaillierte Ansicht der betroffenen Szenarien, einschließlich des Ansatzes von Microsoft zur Minderung von L1TF, finden Sie in den folgenden Ressourcen:
Kunden, die 64-Bit-ARM-Prozessoren verwenden, sollten sich an den Geräte-OEM wenden, um Firmwareunterstützung zu erfahren, da ARM64-Betriebssystemschutze, die CVE-2017-5715 | Die Branchzieleinschleusung (Spectre, Variante 2) erfordert, dass das neueste Firmwareupdate von Geräte-OEMs wirksam wird.
Weitere Informationen finden Sie in den folgenden Sicherheitsempfehlungen.
Weitere Informationen finden Sie in den folgenden Sicherheitsempfehlungen.
Weitere Anleitungen finden Sie im Windows-Leitfaden zum Schutz vor spekulativen Ausführungsseitenkanal-Sicherheitsrisiken.
Weitere Informationen finden Sie in der Anleitung unter Windows, um sich vor Sicherheitslücken im Seitenkanal vor spekulativer Ausführung zu schützen.
Azure-Anleitungen finden Sie in diesem Artikel: Leitfaden zum Beheben von Sicherheitsrisiken für spekulative Ausführung im Seitenkanal in Azure.
Weitere Informationen zur Aktivierung von Retpoline finden Sie in unserem Blogbeitrag: Mildernde Spectre-Variante 2 mit Retpoline unter Windows.
Ausführliche Informationen zu diesem Sicherheitsrisiko finden Sie im Microsoft-Sicherheitshandbuch: CVE-2019-1125 | Sicherheitsrisiko bei der Offenlegung von Informationen im Windows-Kernel.
Uns ist keine Instanz dieser Sicherheitslücke bekannt, die sich auf unsere Clouddienstinfrastruktur auswirkt.
Sobald wir auf dieses Problem aufmerksam wurden, haben wir schnell daran gearbeitet, es zu beheben und ein Update zu veröffentlichen. Wir glauben fest an enge Partnerschaften mit Forschern und Industriepartnern, um Kunden sicherer zu machen, und veröffentlichten details erst am Dienstag, den 6. August, im Einklang mit koordinierten Praktiken zur Offenlegung von Sicherheitsrisiken.
Weitere Anleitungen finden Sie in der Windows-Anleitung zum Schutz vor spekulativen Ausführungsseitenkanal-Sicherheitsrisiken.
Weitere Anleitungen finden Sie in der Windows-Anleitung zum Schutz vor spekulativen Ausführungsseitenkanal-Sicherheitsrisiken.
Weitere Anleitungen finden Sie unter Leitfaden zum Deaktivieren der Intel® TSX-Funktion (® Transactional Synchronization Extensions).
Informationsquellen
Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.
