Σύνοψη
Η Microsoft έχει πληροφορηθεί νέα δημόσια κλάσης από θέματα ευπάθειας που είναι γνωστό ως "Εκτέλεση κερδοσκοπικές επιθέσεις πλευρά κανάλι". Αυτά τα θέματα ευπάθειας επηρεάζει πολλά σύγχρονα επεξεργαστές και λειτουργικά συστήματα. Αυτό περιλαμβάνει το chipset του από την Intel, AMD και ARM.
Δεν έχει ακόμη έχουμε τις πληροφορίες για να υποδείξει ότι αυτά τα θέματα ευπάθειας έχουν χρησιμοποιηθεί για επιθέσεις κατά πελατών. Θα συνεχίσουμε να εργαστείτε από κοινού με τους συνεργάτες του κλάδου για την προστασία των πελατών. Αυτό περιλαμβάνει chip κατασκευαστές OEM υλικού και προμηθευτές εφαρμογών. Για να λάβετε όλες τις διαθέσιμες προστασία, απαιτούνται ενημερωμένες εκδόσεις υλικού ή υλικολογισμικού και του λογισμικού. Περιλαμβάνεται μικροκώδικα από OEM της συσκευής και, σε ορισμένες περιπτώσεις, ενημερώνει με λογισμικό προστασίας από ιούς. Έχουμε εκδώσει αρκετές ενημερωμένες εκδόσεις για τη μείωση αυτών των θεμάτων ευπάθειας. Περισσότερες πληροφορίες σχετικά με τα θέματα ευπάθειας που βρίσκονται στο Microsoft Συμβουλευτικό δελτίο ασφαλείας ADV180002. Για γενικές οδηγίες, δείτε επίσης οδηγίες για θέματα ευπάθειας πλευρά κανάλι κερδοσκοπίας εκτέλεσης που αμβλύνουν τις επιπτώσεις. Εμείς επίσης έχουν λάβει την ενέργεια για να ασφαλίσετε μας υπηρεσίες νέφους. Ανατρέξτε στις ακόλουθες ενότητες για περισσότερες λεπτομέρειες.
Επηρεαζόμενες εκδόσεις του Exchange Server
Επειδή πρόκειται για επιθέσεων σε επίπεδο υλικού που στοχεύουν στα συστήματα βασίζονται σε x64 και x86 επεξεργαστή, επηρεάζονται όλες τις υποστηριζόμενες εκδόσεις του Microsoft Exchange Server από αυτό το θέμα.
Συστάσεις
Ο παρακάτω πίνακας περιγράφει τις προτεινόμενες ενέργειες για τους πελάτες του Exchange Server. Υπάρχουν συγκεκριμένες ενημερώσεις Exchange που απαιτούνται αυτήν τη στιγμή. Ωστόσο, συνιστούμε ότι οι πελάτες εκτελούν πάντα την πιο πρόσφατη αθροιστική ενημερωμένη έκδοση διακομιστή του Exchange και οι απαιτούμενες ενημερωμένες εκδόσεις ασφαλείας. Συνιστούμε να αναπτύξετε ενημερώσεις κώδικα με τη χρήση σας ususal διαδικασίες για την επικύρωση νέα δυαδικά αρχεία, πριν να αναπτύξετε σε περιβάλλοντα παραγωγής.
|
Το σενάριο |
Περιγραφή |
Συστάσεις |
|
1 |
Εκτέλεση του Exchange Server στον γυμνού μετάλλων (δεν υπάρχουν εικονικές μηχανές) και δεν υπάρχουν άλλα λογική εφαρμογής αξιόπιστη (επίπεδο εφαρμογής) εκτελείται στον ίδιο υπολογιστή γυμνού μετάλλων.
|
Εφαρμόστε όλες συστήματος και ενημερωμένων εκδόσεων του Exchange Server αφού δοκιμής σας συνήθως επικύρωσης πριν από την παραγωγή. Ενεργοποίηση πυρήνα εικονική διεύθυνση σκίαση (KVAS) δεν είναι απαραίτητα (ανατρέξτε στην ενότητα σχετικά αργότερα σε αυτό το άρθρο). |
|
2 |
Exchange Server εκτελείται σε ένα εικονικό μηχάνημα σε δημόσιο περιβάλλον φιλοξενίας (σύννεφο). |
Για Azure: Microsoft έχει καταχωρηθεί λεπτομέρειες σχετικά με τις προσπάθειες μετριασμού για Azure (βλέπε KB 4073235 για λεπτομέρειες). Για άλλες υπηρεσίες παροχής σύννεφο: αναφέρεται τους οδηγίες. Ανατρέξτε στην οδηγίες παρακάτω σε αυτό το άρθρο σχετικά με την ενεργοποίηση KVAS. |
|
3 |
Exchange Server εκτελείται σε ένα εικονικό μηχάνημα σε ένα ιδιωτικό περιβάλλον φιλοξενίας. |
Ανατρέξτε στην τεκμηρίωση ασφαλείας hypervisor για βέλτιστες πρακτικές ασφαλείας. Ανατρέξτε στην ενότητα KB 4072698 για Windows Server και Hyper-V. Συνιστάται η εγκατάσταση όλων των ενημερώσεων λειτουργικού Συστήματος από το guest VM. Ανατρέξτε αργότερα οδηγίες σε αυτό το άρθρο σχετικά με την ενεργοποίηση KVAS. |
|
4 |
Διακομιστής Exchange εκτελείται σε φυσική ή εικονική μηχανή και δεν είναι απομονωμένο από άλλο λογική της εφαρμογής που εκτελείται στο ίδιο σύστημα.
|
Συνιστούμε να εγκαταστήσετε όλες τις ενημερωμένες εκδόσεις λειτουργικού Συστήματος. Αφορούν τις οδηγίες παρακάτω στο άρθρο αυτό το άρθρο σχετικά με την ενεργοποίηση KVAS. |
Το συμβουλευτικό δελτίο επιδόσεων
Σας συμβουλεύουμε όλους τους πελάτες να αξιολογήσει την επίδοση των συγκεκριμένο περιβάλλον, όταν εφαρμόζετε ενημερώσεις.
Λύσεις που παρέχονται από τη Microsoft για τους τύπους θέματα ευπάθειας που περιγράφονται εδώ θα χρησιμοποιήσει τους μηχανισμούς που βασίζεται σε λογισμικό για προστασία έναντι των πλευρικών διαδικασία πρόσβασης σε δεδομένα. Σας συμβουλεύουμε όλους τους πελάτες να εγκαταστήσετε ενημερωμένες εκδόσεις του Exchange Server και Windows. Αυτό θα πρέπει να έχει ένα εφέ ελάχιστη απόδοση, που βασίζεται σε δοκιμή Microsoft Exchange φόρτους εργασίας.
Μας έχουν μετρηθεί το εφέ του πυρήνα εικονική διεύθυνση σκίαση (KVAS) σε διάφορους φόρτους εργασίας. Έχουμε διαπιστώσει ότι ορισμένες φόρτους εργασίας αντιμετωπίσετε σημαντική μείωση των επιδόσεων. Διακομιστής του Exchange είναι ένα από αυτά τα φορτία λειτουργίας που ενδέχεται να αντιμετωπίσετε μια σημαντική μείωση, εάν είναι ενεργοποιημένη η KVAS. Διακομιστές που παρουσιάζουν μεγάλη χρήση της CPU ή υψηλή μοτίβα χρήσης εισόδου/εξόδου που αναμένεται να εμφανίσει το μεγαλύτερο αποτέλεσμα. Σας συνιστούμε να εκτιμήσετε πρώτα το εφέ απόδοσης της ενεργοποίησης της KVAS με την εκτέλεση δοκιμών σε εργαστηριακή που αντιπροσωπεύει τις ανάγκες παραγωγής σας, πριν να αναπτύξετε σε περιβάλλον παραγωγής. Εάν το εφέ απόδοσης της ενεργοποίησης της KVAS είναι πολύ υψηλή, σκεφτείτε αν απομόνωση διακομιστή Exchange από μη αξιόπιστο κώδικα που εκτελείται στο ίδιο σύστημα είναι μια καλύτερη μετριασμού για την εφαρμογή.
Εκτός από το KVAS, είναι λεπτομερείς πληροφορίες σχετικά με τα αποτελέσματα των επιδόσεων από την υποστήριξη υλικού μετριασμού κλάδο προορισμού εγχύσεως (IBC) εδώ. Ένα διακομιστή που εκτελεί τον Exchange Server και να έχει μια λύση IBC που έχει αναπτυχθεί σε αυτόν ενδέχεται να αντιμετωπίσετε μια σημαντική μείωση των επιδόσεων, εάν είναι ενεργοποιημένη η IBC.
Προσδοκούμε ότι οι προμηθευτές υλικού θα προσφέρει ενημερωμένες εκδόσεις για τα προϊόντα τους με τη μορφή μικροκώδικα ενημερώσεις. Μας εμπειρία με το Exchange δηλώνει ότι μικροκώδικα ενημερώσεις θα αυξήσει την πτώση της απόδοσης. Στο βαθμό που αυτό συμβαίνει εξαρτάται ιδιαίτερα από τα στοιχεία και το σχεδιασμό του συστήματος στο οποίο εφαρμόζονται. Πιστεύουμε ότι δεν υπάρχει ενιαία λύση, είτε με βάση το λογισμικό είτε βασίζεται σε υλικό, είναι επαρκούν για την αντιμετώπιση της ευπάθειας μόνο αυτού του τύπου. Σας παροτρύνουμε να αξιολογήσετε την απόδοση όλων των ενημερωμένων εκδόσεων ώστε να αντισταθμιστεί η μεταβλητότητα στη σχεδίαση του συστήματος και τις επιδόσεις, πριν να τα τοποθετήσετε σε παραγωγή. Την ομάδα του Exchange δεν σκοπεύετε να ενημερώσετε την Αριθμομηχανή προσαρμογή μεγέθους που χρησιμοποιείται από τους πελάτες στην αντιμετώπιση των διαφορών επιδόσεις αυτήν τη στιγμή. Οι υπολογισμοί που παρέχεται από αυτό το εργαλείο δεν θα λαμβάνει υπόψη τις αλλαγές των επιδόσεων που σχετίζονται με τις ενημερώσεις κώδικα για τα ζητήματα αυτά. Θα συνεχίσουμε να αξιολογήσει αυτό το εργαλείο και τις προσαρμογές που πιστεύουμε ότι ενδέχεται να απαιτείται, με βάση τα δικά μας χρήσης και των πελατών.
Θα ενημερώσουμε αυτήν την ενότητα, όπως είναι διαθέσιμες περισσότερες πληροφορίες.
Ενεργοποίηση εικονική διεύθυνση πυρήνα με σκίαση
Διακομιστής Exchange εκτελείται σε πολλά περιβάλλοντα, συμπεριλαμβανομένων των φυσικών συστημάτων, VM στο σύννεφο δημόσιων και ιδιωτικών περιβάλλοντα και τα λειτουργικά συστήματα Windows. Ανεξάρτητα από το περιβάλλον, το πρόγραμμα βρίσκεται σε ένα φυσικό σύστημα ή μια εικονική Μηχανή. Αυτό το περιβάλλον, είτε φυσικό ή εικονικό, είναι γνωστό ως όριοασφαλείας.
Εάν όλος ο κώδικας μέσα στο όριο έχει πρόσβαση σε όλα τα δεδομένα σε αυτό το όριο, απαιτείται καμία ενέργεια. Εάν δεν συμβαίνει αυτό, τα όρια αυτά θεωρούνται πολλών μισθωτών. Τις ευπάθειες που έχουν εντοπιστεί καθιστούν δυνατή για οποιονδήποτε κώδικα που εκτελείται σε οποιαδήποτε διαδικασία μέσα σε αυτό το όριο για να διαβάσετε οποιαδήποτε άλλα δεδομένα μέσα σε αυτό το όριο. Αυτό ισχύει ακόμη και υπό μειωμένη δικαιώματα. Εάν λειτουργεί με οποιαδήποτε διαδικασία στο όριο της μη αξιόπιστο κώδικα, η διαδικασία σύνδεσης να χρησιμοποιήσετε αυτά τα θέματα ευπάθειας να διαβάσει δεδομένα από άλλες διεργασίες.
Για την προστασία από μη αξιόπιστο κώδικα σε ένα όριο πολλών μισθωτών, κάντε ένα από τα ακόλουθα:
-
Καταργήστε τη μη αξιόπιστο κωδικό.
-
Ενεργοποίηση KVAS για την προστασία από διαδικασία σε διαδικασία αναγνώσεων. Αυτό θα έχει επίδραση απόδοσης. Δείτε τις προηγούμενες ενότητες αυτού του άρθρου για λεπτομέρειες.
Για περισσότερες πληροφορίες σχετικά με τον τρόπο ενεργοποίησης της KVAS για Windows, ανατρέξτε στο θέμα KB 4072698.
Παραδείγματα σεναρίων (KVAS συνιστάται)
Σενάριο 1
Εικονική μηχανή Azure εκτελείται μια υπηρεσία με την οποία μη αξιόπιστοι χρήστες να υποβάλουν κώδικα JavaScript που εκτελείται από με περιορισμένα δικαιώματα. Σχετικά με το ίδιο VM, Exchange Server εκτελείται και τη διαχείριση δεδομένων που δεν πρέπει να είναι δυνατή για τους χρήστες που δεν θεωρούνται αξιόπιστες. Σε αυτήν την περίπτωση, KVAS απαιτείται για την προστασία από γνωστοποίηση μεταξύ των δύο οντοτήτων.
Σενάριο 2
Ένα φυσικό σύστημα εσωτερικής εγκατάστασης που φιλοξενεί το διακομιστή Exchange να εκτελέσετε μη αξιόπιστο τρίτο δέσμες ενεργειών ή εκτελέσιμα αρχεία. Είναι απαραίτητο να ενεργοποιήσετε την KVAS για την προστασία από την κοινοποίηση των δεδομένων Exchange στη δέσμη ενεργειών ή το εκτελέσιμο.
Σημείωση Απλώς επειδή χρησιμοποιείται ένα μηχανισμό επεκτασιμότητας, ο στον Exchange Server, που δεν αυτόματα να είναι μη ασφαλή. Αυτοί οι μηχανισμοί μπορούν να χρησιμοποιηθούν με ασφάλεια στον Exchange Server, με την προϋπόθεση ότι κάθε εξάρτηση είναι κατανοητή και αξιόπιστες. Επιπλέον, υπάρχουν και άλλα προϊόντα που έχουν δημιουργηθεί στο διακομιστή Exchange που ενδέχεται να απαιτούν μηχανισμούς επεκτασιμότητας για να λειτουργήσουν σωστά. Αντίθετα, ως την πρώτη ενέργεια, εξετάστε κάθε χρήση για να προσδιορίσετε αν ο κωδικός είναι κατανοητή και αξιόπιστες. Η καθοδήγηση παρέχεται για να βοηθήσει τους πελάτες να καθορίσουν εάν θα πρέπει να ενεργοποιήσετε την KVAS λόγω μεγαλύτερες επιπτώσεις στην απόδοση.
Ενεργοποίηση υποστήριξης υλικού του υποκαταστήματος προορισμού έγχυση μετριασμού (IBC)
Mitigates IBC έναντι CVE 2017-5715, γνωστό και ως ένα δεύτερο Spectre ή "μεταβλητή 2" με την κοινοποίηση του GPZ.
Επίσης, αυτές οι οδηγίες για την ενεργοποίηση KVAS στα Windows να ενεργοποιήσετε IBC. Ωστόσο, IBC απαιτεί επίσης μια ενημερωμένη έκδοση υλικολογισμικού από τον κατασκευαστή του υλικού σας. Εκτός από τις οδηγίες KB 4072698 για να ενεργοποιήσετε την προστασία στα Windows, οι πελάτες πρέπει να αποκτήσετε και να εγκαταστήσετε ενημερωμένες εκδόσεις από τον κατασκευαστή του υλικού τους.
Παράδειγμα σεναρίου (IBC συνιστάται)
Σενάριο 1
Σε ένα σύστημα φυσικής εσωτερικής εγκατάστασης που φιλοξενεί το διακομιστή του Exchange, επιτρέπονται μη αξιόπιστοι χρήστες για την αποστολή και να εκτελέσει αυθαίρετο κώδικα JavaScript. Σε αυτό το σενάριο, σας συνιστούμε IBC για την προστασία κατά της αποκάλυψης πληροφοριών διαδικασία σε διαδικασία.
Σε περιπτώσεις στο οποίο IBC δεν υπάρχει υποστήριξη υλικού, συνιστούμε να διαχωρίσετε μη αξιόπιστες διαδικασίες και αξιόπιστη διαδικασία σε διαφορετικές φυσικές ή εικονικές μηχανές.
Μη αξιόπιστη Exchange Server επεκτασιμότητας μηχανισμούς
Ο Exchange Server περιλαμβάνει δυνατότητες επεκτασιμότητας και τους μηχανισμούς. Πολλές από αυτές βασίζονται σε API τα οποία δεν επιτρέπουν μη αξιόπιστο κώδικα στο διακομιστή που εκτελεί τον Exchange Server. Παράγοντες μεταφοράς και το κέλυφος διαχείρισης Exchange θα μπορούσε να επιτρέψει μη αξιόπιστο κώδικα να εκτελείται σε ένα διακομιστή που εκτελεί τον Exchange Server σε συγκεκριμένες περιπτώσεις. Σε όλες τις περιπτώσεις, εκτός από παράγοντες μεταφοράς, οι δυνατότητες επεκτασιμότητας απαιτούν έλεγχο ταυτότητας πριν μπορέσουν να χρησιμοποιηθούν. Συνιστάται να χρησιμοποιείτε δυνατότητες επεκτασιμότητας που περιορίζονται στο ελάχιστο σύνολο δυαδικών αρχείων όποτε εφαρμόζονται. Επίσης, συνιστάται οι πελάτες να περιορίσετε την πρόσβαση στο διακομιστή για να αποφύγετε την εκτέλεση αυθαίρετου κώδικα που εκτελείται στα ίδια συστήματα με διακομιστή Exchange. Σας συμβουλεύουμε να καθορίσει αν θα εμπιστεύεστε κάθε δυαδικό αρχείο. Θα πρέπει να απενεργοποιήσετε ή να καταργήσετε μη αξιόπιστα τα δυαδικά αρχεία. Θα πρέπει επίσης να βεβαιωθείτε ότι οι διασυνδέσεις διαχείρισης δεν εκτίθενται στο Internet.
Όλα τα προϊόντα τρίτων κατασκευαστών που περιγράφει αυτό το άρθρο έχουν κατασκευαστεί από εταιρείες που είναι ανεξάρτητες της Microsoft. Η Microsoft δεν παρέχει καμία εγγύηση, σιωπηρή ή άλλη, σχετικά με τις επιδόσεις ή την αξιοπιστία αυτών των προϊόντων.
