Leitfaden zu Surface für den Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten

Einführung

Seit Januar 2018 hat das Surface-Team Firmware-Updates für eine neue Klasse von Hardwaresicherheitsanfälligkeiten veröffentlicht, die spekulative ausführungsseitige Channelangriffe beinhalten. Das Surface-Team hat keine Informationen erhalten, die darauf hinweisen, dass diese Sicherheitsanfälligkeiten bisher verwendet wurden, um Kunden anzugreifen, und das Team arbeitet eng mit dem Windows-Team und Branchenpartnern zusammen, um Kunden zu schützen. Für einen bestmöglichen Schutz sind sowohl Firmware- als auch Windows-Systemupdates erforderlich.

Zusammenfassung

Dem Surface-Team sind neue Varianten spekulativer ausführungsseitiger Channelangriffe bekannt, die auch Surface-Produkte betreffen. Die Risikominderung für diese Sicherheitsanfälligkeiten erfordert ein Betriebssystemupdate und ein Surface-UEFI-Update, das neuen Microcode enthält. Weitere Informationen zu den Sicherheitsanfälligkeiten und zu den Risikominderungen finden Sie in der folgenden Sicherheitsempfehlung:

Wir arbeiten mit unseren Partnern zusammen, um Updates für die folgenden Surface-Produkte zu liefern, sobald wir sicher sind, dass die Updates unsere Qualitätsanforderungen erfüllen:

Zusätzlich zu dem neuen Microcode wird eine neue als „simultanes Multithreading (SMT)“ bezeichnete UEFI-Einstellung verfügbar sein, wenn das UEFI-Update installiert wird. Mithilfe dieser Einstellung kann der Benutzer Hyperthreading deaktivieren.

Hinweise

  • Wenn Sie sich dafür entscheiden, Hyperthreading zu deaktivieren, sollten Sie die neue SMT-UEFI-Einstellung verwenden.

  • Die Deaktivierung von SMT bietet zusätzlichen Schutz vor diesen neuen Sicherheitsanfälligkeiten und den zuvor veröffentlichten L1 Terminal Fault-Angriffen. Diese Methode wirkt sich jedoch auch auf die Leistung des Geräts aus.

  • Bei Surface 3 und Surface Studio mit Intel Core i5 wird SMT nicht unterstützt. Deshalb gibt es bei diesen Geräten diese neue Einstellung nicht.

  • Das UEFI-Konfigurationstool Microsoft Surface Enterprise Management Mode (SEMM), Version 2.43.139 oder höher, unterstützt die neue SMT-Einstellung. Die Tools können von dieser Webseite heruntergeladen werden. Laden Sie die folgenden erforderlichen Tools herunter:

    • SurfaceUEFI_Configurator_v2.43.139.0.msi

    • SurfaceUEFI_Manager_v2.43.139.0.msi

Informationsquellen

Dem Surface-Team ist ein neuer spekulativer ausführungsseitiger Channelangriff mit dem Namen L1 Terminal Fault (L1TF) bekannt, dem CVE-2018-3620 (OS und SMM) und CVE-2018-3646 (VMM) entsprechen. Betroffene Surface-Produkte sind die gleichen wie im Abschnitt „Im Mai 2018 veröffentlichte Sicherheitsanfälligkeiten“ dieses Artikels. Die Microcodeupdates, die das Risiko der im Mai 2018 gemeldeten Sicherheitsanfälligkeiten reduzieren, mindern auch das Risiko durch L1TF (CVE-2018-3646). Weitere Informationen zu der Sicherheitsanfälligkeit und zu den Risikominderungen finden Sie in der folgenden Sicherheitsempfehlung:

Die Sicherheitsempfehlung schlägt vor, dass Kunden, die virtualisierungsbasierte Sicherheit (VBS) verwenden, die Sicherheitsfunktionen wie Credential Guard und Device Guard umfasst, Hyperthreading deaktivieren sollten, um das Risiko von L1TF vollständig zu eliminieren. Kunden können Hyperthreading derzeit nicht auf ihren Surface-Geräten deaktivieren. VBS-Funktionen sind standardmäßig auf Surface-Geräten deaktiviert. Das Surface-Team untersucht Optionen zum Deaktivieren von Hyperthreading.

Informationsquellen

Dem Surface-Team sind neue Varianten spekulativer ausführungsseitiger Channelangriffe bekannt geworden, die auch Surface-Produkte betreffen. Die Risikominderung für diese Sicherheitsanfälligkeiten erfordert UEFI-Updates, die Microcode verwenden. Weitere Informationen zu den Sicherheitsanfälligkeiten und zu den Risikominderungen finden Sie in den folgenden Sicherheitsempfehlungen:

Wir arbeiten mit unseren Partnern zusammen, um Updates für die folgenden Surface-Produkte zu liefern, sobald wir sicher sind, dass die Updates unsere Qualitätsanforderungen erfüllen:

Informationsquellen

Dem Surface-Team ist eine neue öffentlich gemeldete Klasse von Sicherheitsanfälligkeiten bekannt, die „spekulative ausführungsseitige Channelangriffe“ (Speculative Execution Side-Channel Attacks) umfassen und viele moderne Prozessoren und Betriebssysteme umfassen, u.a. Intel, AMD und ARM betreffen. Weitere Informationen zu den Sicherheitsanfälligkeiten und zu den Risikominderungen finden Sie in der folgenden Sicherheitsempfehlung:

Microsoft-Sicherheitsempfehlung ADV180002

Weitere Informationen zu Windows-Softwareupdates finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:

  • 4073757 Schützen Ihrer Windows-Geräte vor Spectre und Meltdown

  • 4073119 Leitfaden für IT-Experten zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows-Clients

Zusätzlich zur Installation der Sicherheitsupdates vom 3. Januar für Windows-Betriebssysteme hat Surface über Windows Update und das Download Center UEFI-Updates für die folgenden Geräte veröffentlicht:

Diese Updates sind für Geräte mit Windows 10 Creators Update (Build 15063) und neueren Versionen verfügbar.

Informationsquellen

Weitere Informationen

Surface Hub weist integrierte umfassende Sicherheitsstrategien auf. Weitere Informationen finden Sie im folgenden Thema auf der Windows IT Pro Center-Website:

Unterschiede zwischen Surface Hub und Windows 10 Enterprise

Aus diesem Grund sind wir der Meinung, dass Angriffe, die diese Sicherheitsanfälligkeiten ausnutzen, bei Surface Hub drastisch reduziert werden.

Das Surface-Team möchte sicherstellen, dass unsere Benutzer sicher und zuverlässig arbeiten können. Wir werden Geräte auch weiterhin überwachen und ggf. aktualisieren, um diese Sicherheitsanfälligkeiten zu beheben und für die Stabilität und Sicherheit der Geräte zu sorgen.

Benötigen Sie weitere Hilfe?

Ihre Office-Fähigkeiten erweitern
Schulungen erkunden
Neue Funktionen als Erster erhalten
Microsoft Insider beitreten

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×