KB4072698: Οδηγίες για Windows Server και Azure Stack HCI για προστασία από ευπάθειες μικροαρχιτικτικού και υποθετικής εκτέλεσης πλευρικού καναλιού που βασίζονται σε silicon

Αυτό το άρθρο αντιμετωπίζει τις ακόλουθες ευπάθειες υποθετικής εκτέλεσης:

• CVE-2017-5715 | Branch Target Injection

• CVE-2017-5753 | Παράκαμψη ελέγχου ορίων

• CVE-2017-5754 | Παραπλανητική φόρτωση cache δεδομένων

• CVE-2018-3639 | Υποθετική παράκαμψη του Store

Windows Update θα παρέχει επίσης μετριασμούς για τον Internet Explorer και τον Edge. Θα συνεχίσουμε να βελτιώνουμε αυτούς τους μετριασμούς έναντι αυτής της κατηγορίας ευπαθειών.

Για να μάθετε περισσότερα σχετικά με αυτήν την κατηγορία ευπαθειών, ανατρέξτε στο θέμα

• ADV180002 | Οδηγίες για τον μετριασμό των ευπαθειών υποθετικής εκτέλεσης πλευρικού καναλιού

• ADV180012 | Οδηγίες της Microsoft για την υποθετική παράκαμψη του Store

Στις 14 Μαΐου 2019, η Intel δημοσίευσε πληροφορίες σχετικά με μια νέα υποκατηγορία ευπαθειών υποθετικής εκτέλεσης πλευρικού καναλιού, γνωστή ως Microarchitectural Data Sampling και τεκμηριωμένη στο ADV190013 | Μικροαρχική δειγματοληψία δεδομένων. Έχουν λάβει τα ακόλουθα CVE:

• CVE-2019-11091 | Microarchitectural Data Sampling unacheable Memory (MDSUM)

• CVE-2018-12126 | Μικροαρχική δειγματοληψία δεδομένων buffer αποθήκευσης (MSBDS)

• CVE-2018-12127 | Δειγματοληψία δεδομένων buffer μικροαρχικής συμπλήρωσης (MFBDS)

• CVE-2018-12130 | Μικροαρχιτική δειγματοληψία δεδομένων θύρας φόρτωσης (MLPDS)

Η Microsoft έχει κυκλοφορήσει ενημερώσεις που θα σας βοηθήσουν να μετριάσετε αυτές τις ευπάθειες. Για να λάβετε όλα τα διαθέσιμα μέτρα προστασίας, απαιτούνται ενημερώσεις υλικολογισμικού (μικροκώδικας) και λογισμικού. Αυτό μπορεί να περιλαμβάνει μικροκώδικα από OEM συσκευής. Σε ορισμένες περιπτώσεις, η εγκατάσταση αυτών των ενημερώσεων θα έχει αντίκτυπο στις επιδόσεις. Έχουμε επίσης ενεργήσει για να εξασφαλίσουμε τις υπηρεσίες cloud. Συνιστάται ιδιαίτερα η ανάπτυξη αυτών των ενημερώσεων.

Για περισσότερες πληροφορίες σχετικά με αυτό το πρόβλημα, ανατρέξτε στο ακόλουθο Συμβουλευτικό δελτίο ασφαλείας και χρησιμοποιήστε οδηγίες βάσει σεναρίων για να προσδιορίσετε τις ενέργειες που είναι απαραίτητες για τον μετριασμό της απειλής:

• ADV190013 | Οδηγίες της Microsoft για τον μετριασμό των ευπαθειών microarchitectural Data Sampling

• Οδηγίες των Windows για προστασία από ευπάθειες υποθετικής εκτέλεσης πλευρικού καναλιού

Στις 6 Αυγούστου 2019, η Intel δημοσίευσε λεπτομέρειες σχετικά με μια ευπάθεια αποκάλυψης πληροφοριών πυρήνα των Windows. Αυτή η ευπάθεια είναι μια παραλλαγή της ευπάθειας Ευπάθεια υποθετικής εκτέλεσης πλευρικού καναλιού Spectre, Variant 1 και έχει αντιστοιχιστεί στο CVE-2019-1125.

Στις 9 Ιουλίου 2019, κυκλοφορήσαμε ενημερώσεις ασφαλείας για το λειτουργικό σύστημα Windows, για να μετριάσουμε αυτό το πρόβλημα. Λάβετε υπόψη ότι καθυστερήσαμε την τεκμηρίωση αυτού του μετριασμού δημοσίως μέχρι τη συντονισμένη αποκάλυψη του κλάδου την Τρίτη 6 Αυγούστου 2019.

Οι πελάτες που έχουν Windows Update ενεργοποιημένες και έχουν εφαρμόσει τις ενημερώσεις ασφαλείας που κυκλοφόρησαν στις 9 Ιουλίου 2019 προστατεύονται αυτόματα. Δεν απαιτείται περαιτέρω ρύθμιση παραμέτρων.

Για περισσότερες πληροφορίες σχετικά με αυτή την ευπάθεια και τις κατάλληλες ενημερώσεις, ανατρέξτε στον Οδηγό ενημερώσεων ασφαλείας της Microsoft:

• CVE-2019-1125 | Ευπάθεια αποκάλυψης πληροφοριών πυρήνα των Windows

Στις 12 Νοεμβρίου 2019, η Intel δημοσίευσε ένα τεχνικό συμβουλευτικό δελτίο σχετικά με την ευπάθεια Intel® Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort στην οποία έχει εκχωρηθεί η ευπάθεια CVE-2019-11135. Η Microsoft έχει κυκλοφορήσει ενημερώσεις που συμβάλλουν στον μετριασμό αυτής της ευπάθειας και τα μέτρα προστασίας λειτουργικού συστήματος είναι ενεργοποιημένα από προεπιλογή για τον Windows Server 2019, αλλά είναι απενεργοποιημένα από προεπιλογή για τον Windows Server 2016 και παλαιότερες εκδόσεις λειτουργικού συστήματος Windows Server.

Στις 14 Ιουνίου 2022, δημοσιεύσαμε ADV220002 | Οδηγίες της Microsoft για μη ενημερωμένες ευπάθειες δεδομένων Intel Processor MMIO και έχει αντιστοιχίσει τα εξής CVE: 

• CVE-2022-21123 | Ανάγνωση κοινόχρηστων δεδομένων buffer (SBDR)

• CVE-2022-21125 | Δειγματοληψία κοινόχρηστων δεδομένων buffer (SBDS)

• CVE-2022-21127 | Ενημέρωση δειγματοληψίας buffer ειδικών καταχωρήσεων (ενημέρωση SRBDS)

• CVE-2022-21166 | Καταχώρηση μερικής εγγραφής συσκευής (DRPW)

Προτεινόμενες ενέργειες

Θα πρέπει να κάνετε τις ακόλουθες ενέργειες για να συμβάλετε στην προστασία από τις ευπάθειες:

1. Εφαρμόστε όλες τις διαθέσιμες ενημερώσεις του λειτουργικού συστήματος Windows, συμπεριλαμβανομένων των μηνιαίων ενημερώσεων ασφαλείας των Windows.

2. Εφαρμόστε την κατάλληλη ενημέρωση υλικολογισμικού (μικροκώδικα) που παρέχεται από τον κατασκευαστή της συσκευής.

3. Αξιολογήστε τον κίνδυνο για το περιβάλλον σας με βάση τις πληροφορίες που παρέχονται στις Προειδοποιήσεις ασφαλείας της Microsoft: ADV180002, ADV180012, ADV190013 και ADV220002, καθώς και τις πληροφορίες που παρέχονται σε αυτό το άρθρο γνωσιακή βάση.

4. Αναλάβετε δράση όπως απαιτείται, χρησιμοποιώντας τις προειδοποιήσεις και τις πληροφορίες κλειδιού μητρώου που παρέχονται σε αυτό το άρθρο γνωσιακή βάση.

Στις 12 Ιουλίου 2022, δημοσιεύσαμε το CVE-2022-23825 | Η σύγχυση τύπων κλάδου CPU της AMD , η οποία περιγράφει ότι τα ψευδώνυμα στον προγνωστικό κλάδου μπορεί να προκαλέσουν την πρόβλεψη εσφαλμένου τύπου κλάδου από ορισμένους επεξεργαστές AMD. Αυτό το ζήτημα μπορεί ενδεχομένως να οδηγήσει σε αποκάλυψη πληροφοριών.

Για να συμβάλετε στην προστασία από αυτή την ευπάθεια, συνιστάται να εγκαταστήσετε ενημερώσεις των Windows με ημερομηνία ή μετά τον Ιούλιο του 2022 και, στη συνέχεια, να λάβετε μέτρα όπως απαιτείται από το CVE-2022-23825 και τις πληροφορίες κλειδιού μητρώου που παρέχονται σε αυτό το άρθρο γνωσιακή βάση.

Για περισσότερες πληροφορίες, ανατρέξτε στο δελτίο ασφαλείας AMD-SB-1037 .

Στις 8 Αυγούστου 2023, δημοσιεύσαμε το CVE-2023-20569 | Return Address Predictor (γνωστό και ως Inception) που περιγράφει μια νέα υποθετική επίθεση πλευρικού καναλιού που μπορεί να οδηγήσει σε υποθετική εκτέλεση σε μια διεύθυνση που ελέγχεται από εισβολείς. Αυτό το πρόβλημα επηρεάζει ορισμένους επεξεργαστές AMD και ενδέχεται να οδηγήσει σε αποκάλυψη πληροφοριών.

Για να προστατευτείτε από αυτή την ευπάθεια, συνιστάται να εγκαταστήσετε ενημερώσεις των Windows που έχουν ημερομηνία ή μετά τον Αύγουστο του 2023 και, στη συνέχεια, να λάβετε μέτρα όπως απαιτείται από το CVE-2023-20569 και τις πληροφορίες κλειδιού μητρώου που παρέχονται σε αυτό το άρθρο γνωσιακή βάση.

Για περισσότερες πληροφορίες, ανατρέξτε στο δελτίο ασφαλείας AMD-SB-7005 .

Στις 9 Απριλίου 2024 δημοσιεύσαμε το CVE-2022-0001 | Intel Branch History Injection που περιγράφει το Branch History Injection (BHI) που είναι μια συγκεκριμένη μορφή ενδο-λειτουργίας BTI. Αυτή η ευπάθεια παρουσιάζεται όταν ένας εισβολέας μπορεί να χειριστεί το ιστορικό διακλάδωσης πριν από τη μετάβαση από τη λειτουργία χρήστη σε λειτουργία εποπτείας (ή από τη λειτουργία VMX που δεν είναι ριζική/guest σε λειτουργία ρίζας). Αυτός ο χειρισμός θα μπορούσε να προκαλέσει την επιλογή μιας συγκεκριμένης πρόβλεψης πρόβλεψης για έναν έμμεσο κλάδο από έναν έμμεσο κλάδο, ενώ μια μικροεφαρμογή γνωστοποίησης στον προβλεπόμενο στόχο θα εκτελείται παροδικά. Αυτό μπορεί να είναι δυνατό, επειδή το σχετικό ιστορικό κλάδων μπορεί να περιέχει κλάδους που έχουν ληφθεί σε προηγούμενα περιβάλλοντα ασφαλείας, και ειδικότερα άλλες λειτουργίες πρόβλεψης.

Από προεπιλογή, η προστασία από χρήστη σε πυρήνα για CVE-2017-5715 είναι απενεργοποιημένη για CSU AMD. Οι πελάτες πρέπει να επιτρέψουν στον μετριασμό να λάβει πρόσθετη προστασία για το CVE-2017-5715.  Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Συνήθεις ερωτήσεις #15 στο ADV180002.

Από προεπιλογή, η προστασία από χρήστη σε πυρήνα για CVE-2017-5715 είναι απενεργοποιημένη για τους επεξεργαστές AMD. Οι πελάτες πρέπει να επιτρέψουν στον μετριασμό να λάβει πρόσθετη προστασία για το CVE-2017-5715.  Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Συνήθεις ερωτήσεις #15 στο ADV180002.

Για να ενεργοποιήσετε τον μετριασμό για CVE-2022-23825 σε επεξεργαστές AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Για να προστατεύονται πλήρως, οι πελάτες μπορεί επίσης να χρειαστεί να απενεργοποιήσουν Hyper-Threading (γνωστό και ως Ταυτόχρονη πολυνηματικά (SMT)). Ανατρέξτε KB4073757 για οδηγίες σχετικά με την προστασία συσκευών Windows.

Για να ενεργοποιήσετε τον μετριασμό για το CVE-2023-20569 σε επεξεργαστές AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Για να ενεργοποιηθεί ο μετριασμός για CVE-2022-0001 σε επεξεργαστές Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Για μια λεπτομερή επεξήγηση της εξόδου της δέσμης ενεργειών PowerShell, ανατρέξτε στο θέμα KB4074629 . 

Για την αποφυγή δυσμενών επιπτώσεων στις συσκευές των πελατών, οι ενημερώσεις ασφαλείας των Windows που κυκλοφόρησαν τον Ιανουάριο και τον Φεβρουάριο του 2018 δεν προσφέρθηκαν σε όλους τους πελάτες. Για λεπτομέρειες, ανατρέξτε στο θέμα KB407269 .

Ο μικροκώδικας παρέχεται μέσω μιας ενημέρωσης υλικολογισμικού. Συμβουλευτείτε τον OEM σχετικά με την έκδοση υλικολογισμικού που διαθέτει την κατάλληλη ενημέρωση για τον υπολογιστή σας.

Υπάρχουν πολλές μεταβλητές που επηρεάζουν τις επιδόσεις, οι οποίες κυμαίνονται από την έκδοση του συστήματος έως τους φόρτους εργασίας που εκτελούνται. Για ορισμένα συστήματα, το αποτέλεσμα επιδόσεων θα είναι αμελητέο. Για άλλους, θα είναι σημαντικό.

Σας συνιστούμε να αξιολογήσετε τις επιπτώσεις των επιδόσεων στα συστήματά σας και να κάνετε προσαρμογές ανάλογα με τις ανάγκες.

Εκτός από τις οδηγίες που παρέχονται σε αυτό το άρθρο σχετικά με τις εικονικές μηχανές, θα πρέπει να επικοινωνήσετε με την υπηρεσία παροχής για να βεβαιωθείτε ότι οι κεντρικοί υπολογιστές που εκτελούν τις εικονικές μηχανές σας προστατεύονται επαρκώς.

Για τις εικονικές μηχανές Windows Server που εκτελούνται στο Azure, ανατρέξτε στο θέμα Οδηγίες για μετριασμό των ευπαθειών υποθετικής εκτέλεσης πλευρικού καναλιού στο Azure . Για οδηγίες σχετικά με τη χρήση της Διαχείρισης ενημερώσεων Azure για τον μετριασμό αυτού του προβλήματος σε φιλοξενούμενες εικονικές μηχανές, ανατρέξτε στο θέμα KB4077467.

Οι ενημερώσεις που κυκλοφόρησαν για είδωλα κοντέινερ Windows Server για τον Windows Server 2016 και τα Windows 10, έκδοση 1709 περιλαμβάνουν μετριασμούς για αυτό το σύνολο ευπαθειών. Δεν απαιτείται πρόσθετη ρύθμιση παραμέτρων.

Σημείωση Πρέπει να εξακολουθήσετε να είστε βέβαιοι ότι ο κεντρικός υπολογιστής στον οποίο εκτελούνται αυτά τα κοντέινερ έχει ρυθμιστεί ώστε να ενεργοποιεί τους κατάλληλους μετριασμούς.

Όχι, η παραγγελία εγκατάστασης δεν έχει σημασία.

Ναι, πρέπει να κάνετε επανεκκίνηση μετά την ενημέρωση του υλικολογισμικού (μικροκώδικα) και, στη συνέχεια, ξανά μετά την ενημέρωση συστήματος.

Ακολουθούν οι λεπτομέρειες για τα κλειδιά μητρώου:

Το FeatureSettingsOverride αντιπροσωπεύει μια εικόνα bitmap που παρακάμπτει την προεπιλεγμένη ρύθμιση και ελέγχει τους μετριασμούς που θα απενεργοποιηθούν. Το Bit 0 ελέγχει τη μετριασμό που αντιστοιχεί στο CVE-2017-5715. Η bit 1 ελέγχει τον μετριασμό που αντιστοιχεί στο CVE-2017-5754. Τα bit έχουν οριστεί σε 0 για να ενεργοποιηθεί ο μετριασμός και σε 1 για την απενεργοποίηση της μετριασμού.

Η μάσκα FeatureSettingsOverride αντιπροσωπεύει μια μάσκα bitmap που χρησιμοποιείται μαζί με το FeatureSettingsOverride.  Σε αυτήν την περίπτωση, χρησιμοποιούμε την τιμή 3 (που αναπαρίσταται ως 11 στο δυαδικό αριθμητικό σύστημα ή το αριθμητικό σύστημα βάσης 2) για να υποδείξουμε τα δύο πρώτα bit που αντιστοιχούν στους διαθέσιμους μετριασμούς. Αυτό το κλειδί μητρώου ορίζεται σε 3 και τα δύο για να ενεργοποιηθούν ή να απενεργοποιηθούν οι μετριασμούς.

MinVmVersionForCpuBasedMitigations is for Hyper-V hosts. Αυτό το κλειδί μητρώου καθορίζει την ελάχιστη έκδοση VM που απαιτείται για να χρησιμοποιήσετε τις ενημερωμένες δυνατότητες υλικολογισμικού (CVE-2017-5715). Ρυθμίστε αυτήν την επιλογή στην έκδοση 1.0 για να καλύψετε όλες τις εκδόσεις VM. Παρατηρήστε ότι αυτή η τιμή μητρώου θα παραβλέπεται (καλοήθης) σε κεντρικούς υπολογιστές που δεν είναι Hyper-V. Για περισσότερες λεπτομέρειες, ανατρέξτε στο θέμα Προστασία φιλοξενούμενων εικονικών μηχανών από CVE-2017-5715 (εισαγωγή προορισμού κλάδου).

Ναι, δεν υπάρχουν παρενέργειες εάν αυτές οι ρυθμίσεις μητρώου εφαρμοστούν πριν από την εγκατάσταση των επιδιορθώσεων που σχετίζονται με τον Ιανουάριο του 2018.

Δείτε μια λεπτομερή περιγραφή της εξόδου δέσμης ενεργειών στο KB4074629: Κατανόηση του αποτελέσματος της δέσμης ενεργειών SpeculationControl PowerShell .

Ναι, για τους κεντρικούς υπολογιστές Hyper-V του Windows Server 2016 που δεν διαθέτουν ακόμη την ενημέρωση υλικολογισμικού, έχουμε δημοσιεύσει εναλλακτικές οδηγίες που μπορούν να σας βοηθήσουν να μετριάσετε την εικονική μηχανή σε εικονική μηχανή ή εικονική μηχανή για τη φιλοξενία επιθέσεων. Ανατρέξτε στο θέμα Εναλλακτικές προστασίες για τους κεντρικούς υπολογιστές Hyper-V του Windows Server 2016 έναντι των ευπαθειών υποθετικής εκτέλεσης πλευρικού καναλιού .

Οι ενημερώσεις μόνο για την ασφάλεια δεν είναι αθροιστικές. Ανάλογα με την έκδοση του λειτουργικού σας συστήματος, ίσως χρειαστεί να εγκαταστήσετε αρκετές ενημερώσεις ασφαλείας για πλήρη προστασία. Γενικά, οι πελάτες θα πρέπει να εγκαταστήσουν τις ενημερώσεις Ιανουαρίου, Φεβρουαρίου, Μαρτίου και Απριλίου 2018. Τα συστήματα με επεξεργαστές AMD χρειάζονται μια πρόσθετη ενημέρωση, όπως φαίνεται στον ακόλουθο πίνακα:

Συνιστάται να εγκαταστήσετε τις ενημερώσεις αποκλειστικά για την ασφάλεια κατά σειρά κυκλοφορίας.

Όχι. Η ενημέρωση ασφαλείας KB4078130 ήταν μια συγκεκριμένη επιδιόρθωση για την αποτροπή απρόβλεπτων συμπεριφορών του συστήματος, προβλημάτων επιδόσεων και μη αναμενόμενων επανεκκινήσεων μετά την εγκατάσταση του μικροκώδικα. Η εφαρμογή των ενημερώσεων ασφαλείας στα λειτουργικά συστήματα υπολογιστή-πελάτη Windows ενεργοποιεί και τους τρεις μετριασμούς. Στα λειτουργικά συστήματα Windows Server, θα πρέπει να ενεργοποιήσετε τους μετριασμούς αφού κάνετε τον σωστό έλεγχο. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα KB4072698.

Αυτό το πρόβλημα επιλύθηκε στο KB4093118.

Τον Φεβρουάριο του 2018, η Intel ανακοίνωσε ότι ολοκλήρωσε τις επικυρώσεις της και άρχισε να κυκλοφορεί μικροκώδικα για νεότερες πλατφόρμες CPU. Η Microsoft διαθέτει επικυρωμένες ενημερώσεις μικροκώδικα της Intel που αφορούν το Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 παραθέτει συγκεκριμένα άρθρα γνωσιακή βάση ανά έκδοση των Windows. Κάθε συγκεκριμένο άρθρο της Γνωσιακής Βάσης περιέχει τις διαθέσιμες ενημερώσεις μικροκώδικα της Intel από την CPU.

Στις 11 Ιανουαρίου 2018,  η Intel ανέφερε προβλήματα στον μικροκώδικα που κυκλοφόρησε πρόσφατα, τα οποία προορίζονταν για την αντιμετώπιση του Spectre variant 2 (CVE-2017-5715 | Branch Target Injection). Συγκεκριμένα, η Intel σημείωσε ότι αυτός ο μικροκώδικας μπορεί να προκαλέσει "υψηλότερες από τις αναμενόμενες επανεκκινήσεις και άλλη απρόβλεπτη συμπεριφορά του συστήματος" και ότι αυτά τα σενάρια μπορεί να προκαλέσουν "απώλεια δεδομένων ή καταστροφή." Η εμπειρία μας είναι ότι η αστάθεια του συστήματος μπορεί να προκαλέσει απώλεια δεδομένων ή καταστροφή σε ορισμένες περιπτώσεις. Στις 22 Ιανουαρίου, η Intel συνέστησε στους πελάτες να σταματήσουν να αναπτύσσουν την τρέχουσα έκδοση μικροκώδικα στους επηρεαζόμενους επεξεργαστές, ενώ η Intel εκτελεί πρόσθετες δοκιμές για την ενημερωμένη λύση. Κατανοούμε ότι η Intel συνεχίζει να διερευνά τις πιθανές επιπτώσεις της τρέχουσας έκδοσης μικροκώδικα. Ενθαρρύνουμε τους πελάτες να εξετάζουν τις οδηγίες τους σε συνεχή βάση, για να ενημερώνουν τις αποφάσεις τους.

Ενώ η Intel ελέγχει, ενημερώνει και αναπτύσσει νέο μικροκώδικα, διαθέτουμε μια ενημέρωση εκτός ζώνης (OOB), η οποία KB4078130, η οποία συγκεκριμένα απενεργοποιεί μόνο τον μετριασμό έναντι του CVE-2017-5715. Στις δοκιμές μας, αυτή η ενημέρωση βρέθηκε για να αποτρέψει την περιγραφική συμπεριφορά. Για την πλήρη λίστα των συσκευών, ανατρέξτε στις οδηγίες αναθεώρησης μικροκώδικα από την Intel. Αυτή η ενημέρωση καλύπτει τα Windows 7 Service Pack 1 (SP1), Windows 8.1 και όλες τις εκδόσεις του Windows 10, τόσο υπολογιστή-πελάτη όσο και διακομιστή. Αν χρησιμοποιείτε μια συσκευή που επηρεάζεται, αυτή η ενημέρωση μπορεί να εφαρμοστεί με λήψη της από την τοποθεσία web Κατάλογος του Microsoft Update. Η εφαρμογή αυτού του ωφέλιμου φορτίου απενεργοποιεί συγκεκριμένα μόνο τον μετριασμό έναντι του CVE-2017-5715.

Προς το παρόν, δεν υπάρχουν γνωστές αναφορές που να υποδεικνύουν ότι αυτό το Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection) έχει χρησιμοποιηθεί για επίθεση σε πελάτες. Συνιστούμε, κατά περίπτωση, στους χρήστες των Windows να επανεκτιμήσουν τον μετριασμό έναντι του CVE-2017-5715, όταν η Intel αναφέρει ότι αυτή η απρόβλεπτη συμπεριφορά συστήματος έχει επιλυθεί για τη συσκευή σας.

Τον Φεβρουάριο του 2018, η Intelανακοίνωσε ότι ολοκλήρωσε τις επικυρώσεις της και άρχισε να κυκλοφορεί μικροκώδικα για νεότερες πλατφόρμες CPU. Η Microsoft κυκλοφορεί ενημερώσεις μικροκώδικα επικυρωμένων από την Intel που σχετίζονται με το Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 παραθέτει συγκεκριμένα άρθρα γνωσιακή βάση ανά έκδοση των Windows. Οι KB παραθέσουν τις διαθέσιμες ενημερώσεις μικροκώδικα της Intel ανά CPU.

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα AMD Security Ενημερώσεις και AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . Αυτά είναι διαθέσιμα από το κανάλι υλικολογισμικού OEM.

Διαθέτουμε ενημερώσεις μικροκώδικα επικυρωμένων από την Intel που αφορούν το Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). Για να λάβουν τις πιο πρόσφατες ενημερώσεις μικροκώδικα της Intel μέσω Windows Update, οι πελάτες πρέπει να έχουν εγκαταστήσει μικροκώδικα της Intel σε συσκευές που εκτελούν λειτουργικό σύστημα Windows 10 πριν από την αναβάθμιση στην Ενημέρωση Απριλίου 2018 Windows 10 (έκδοση 1803).

Η ενημέρωση μικροκώδικα είναι επίσης διαθέσιμη απευθείας από τον Κατάλογο του Microsoft Update, αν δεν ήταν εγκατεστημένη στη συσκευή πριν από την αναβάθμιση του συστήματος. Ο μικροκώδικας της Intel είναι διαθέσιμος μέσω του Windows Update, του Υπηρεσίες Windows Server Update Services (WSUS) ή του Καταλόγου του Microsoft Update. Για περισσότερες πληροφορίες και οδηγίες λήψης, ανατρέξτε στο θέμα KB4100347.

Για περισσότερες πληροφορίες, ανατρέξτε στους ακόλουθους πόρους:

• ADV180012 | Οδηγίες της Microsoft για την υποθετική παράκαμψη του store για CVE-2018-3639

• ADV180013 | Οδηγίες της Microsoft για το Rogue System Register Read για CVE-2018-3640 και KB 4073065 | Οδηγίες για πελάτες Surface

• Ιστολόγιο έρευνας και άμυνας της Microsoft για την ασφάλεια

• Οδηγίες για προγραμματιστές για την υποθετική παράκαμψη του Store

Ανατρέξτε στις ενότητες "Προτεινόμενες ενέργειες" και "Συνήθεις ερωτήσεις" του  ADV180012 | Οδηγίες της Microsoft για υποθετική παράκαμψη του Store.

Για να επαληθευτεί η κατάσταση του SSBD, η δέσμη ενεργειών Get-SpeculationControlSettings PowerShell έχει ενημερωθεί για τον εντοπισμό των επηρεαζόμενων επεξεργαστών, την κατάσταση των ενημερώσεων του λειτουργικού συστήματος SSBD και την κατάσταση του μικροκώδικα επεξεργαστή, εάν υπάρχει. Για περισσότερες πληροφορίες και για να λάβετε τη δέσμη ενεργειών του PowerShell, ανατρέξτε στο θέμα KB4074629.

Στις 13 Ιουνίου 2018, ανακοινώθηκε και εκχωρήθηκε στο CVE-2018-3665 μια πρόσθετη ευπάθεια που περιλαμβάνει την υποθετική εκτέλεση πλευρικού καναλιού, γνωστή ως Lazy FP State Restore. Για πληροφορίες σχετικά με αυτή την ευπάθεια και τις προτεινόμενες ενέργειες, ανατρέξτε στο συμβουλευτικό δελτίο ασφαλείας ADV180016 | Οδηγίες της Microsoft για lazy FP State Restore .

Σημείωση Δεν υπάρχουν απαιτούμενες ρυθμίσεις παραμέτρων (μητρώο) για επαναφορά Lazy Restore FP.

Το Bounds Check Bypass Store (BCBS) γνωστοποιήθηκε στις 10 Ιουλίου 2018 και εκχωρήθηκε CVE-2018-3693. Θεωρούμε ότι το BCBS ανήκει στην ίδια κατηγορία ευπαθειών με την Bounds Check Bypass (Παραλλαγή 1). Προς το παρόν, δεν γνωρίζουμε περιπτώσεις BCBS στο λογισμικό μας. Ωστόσο, συνεχίζουμε την έρευνα αυτής της κλάσης ευπάθειας και θα συνεργαστούμε με τους συνεργάτες του κλάδου για την έκδοση μετριασμών, όπως απαιτείται. Ενθαρρύνουμε τους ερευνητές να υποβάλουν τυχόν σχετικά ευρήματα στο πρόγραμμα επικήρυξης Speculative Execution Side Channel της Microsoft, συμπεριλαμβανομένων οποιωνδήποτε αξιοποιήσιμων περιπτώσεων BCBS. Οι προγραμματιστές λογισμικού θα πρέπει να εξετάσουν τις οδηγίες για προγραμματιστές που έχουν ενημερωθεί για το BCBS στο C++ Developer Guidance for Speculative Execution Side Channels 

Στις 14 Αυγούστου 2018, ανακοινώθηκε το σφάλμα τερματικού L1 (L1TF) και του ανατέθηκαν πολλά CVEs. Αυτές οι νέες ευπάθειες υποθετικής εκτέλεσης πλευρικού καναλιού μπορούν να χρησιμοποιηθούν για την ανάγνωση του περιεχομένου της μνήμης πέρα από ένα αξιόπιστο όριο και, εάν αξιοποιηθούν, θα μπορούσαν να οδηγήσουν σε αποκάλυψη πληροφοριών. Υπάρχουν πολλά διανύσματα με τα οποία ένας εισβολέας θα μπορούσε να ενεργοποιήσει τις ευπάθειες, ανάλογα με το ρυθμισμένο περιβάλλον. Το L1TF επηρεάζει τους επεξεργαστές Intel® Core® και τους επεξεργαστές Intel® Xeon®.

Για περισσότερες πληροφορίες σχετικά με αυτή την ευπάθεια και μια λεπτομερή προβολή των επηρεαζόμενων σεναρίων, συμπεριλαμβανομένης της προσέγγισης της Microsoft για τον μετριασμό του L1TF, ανατρέξτε στους ακόλουθους πόρους:

• ADV180018 | Οδηγίες της Microsoft για τον μετριασμό της παραλλαγής L1TF

• Ιστολόγιο έρευνας για την ασφάλεια συμβουλευτικών υπηρεσιών

• Οδηγίες διακομιστή για σφάλμα τερματικού L1

Τα βήματα για την απενεργοποίηση των Hyper-Threading διαφέρουν από OEM σε OEM, αλλά γενικά αποτελούν μέρος των εργαλείων ρύθμισης και ρύθμισης παραμέτρων του BIOS ή του υλικολογισμικού.

Οι πελάτες που χρησιμοποιούν επεξεργαστές ARM 64 bit θα πρέπει να επικοινωνήσουν με τον OEM της συσκευής για υποστήριξη υλικολογισμικού, επειδή τα μέτρα προστασίας λειτουργικού συστήματος ARM64 που μετριάζουν το CVE-2017-5715 | Για την ένεση προορισμού κλάδου (Spectre, Variant 2) απαιτείται η πιο πρόσφατη ενημέρωση υλικολογισμικού από OEM συσκευής.

Για περισσότερες πληροφορίες, ανατρέξτε στις ακόλουθες προειδοποιήσεις ασφαλείας

• Συμβουλευτικό δελτίο ασφαλείας της Intel

• ADV190013 | Οδηγίες της Microsoft για τον μετριασμό των ευπαθειών microarchitectural Data Sampling

Περαιτέρω οδηγίες μπορείτε να βρείτε στις οδηγίες των Windows για προστασία από ευπάθειες υποθετικής εκτέλεσης πλευρικού καναλιού

Ανατρέξτε στις οδηγίες στις οδηγίες των Windows για προστασία από ευπάθειες υποθετικής εκτέλεσης πλευρικού καναλιού

Για οδηγίες για το Azure, ανατρέξτε σε αυτό το άρθρο: Οδηγίες για μετριασμό των ευπαθειών υποθετικής εκτέλεσης πλευρικού καναλιού στο Azure.

Για περισσότερες πληροφορίες σχετικά με την ενεργοποίηση retpoline, ανατρέξτε στη δημοσίευση ιστολογίου μας: Mitigating Spectre variant 2 with Retpoline on Windows .

Για λεπτομέρειες σχετικά με αυτή την ευπάθεια, ανατρέξτε στον Οδηγό ασφαλείας της Microsoft: CVE-2019-1125 | Ευπάθεια αποκάλυψης πληροφοριών πυρήνα των Windows.

Δεν γνωρίζουμε καμία περίπτωση ευπάθειας αποκάλυψης πληροφοριών που επηρεάζει την υποδομή της υπηρεσίας cloud.

Μόλις συνειδητοποιήσαμε αυτό το πρόβλημα, εργαστήκαμε γρήγορα για να το αντιμετωπίσουμε και να κυκλοφορήσει μια ενημέρωση. Πιστεύουμε ακράδαντα σε στενές συνεργασίες τόσο με ερευνητές όσο και με συνεργάτες του κλάδου για να κάνουμε τους πελάτες πιο ασφαλείς και δεν δημοσιεύσαμε λεπτομέρειες μέχρι την Τρίτη 6 Αυγούστου, συνεπείς με συντονισμένες πρακτικές γνωστοποίησης ευπαθειών.

Μπορείτε να βρείτε περαιτέρω οδηγίες στις οδηγίες των Windows για προστασία από ευπάθειες υποθετικής εκτέλεσης πλευρικού καναλιού.

Μπορείτε να βρείτε περαιτέρω οδηγίες στις οδηγίες των Windows για προστασία από ευπάθειες υποθετικής εκτέλεσης πλευρικού καναλιού.

Μπορείτε να βρείτε περισσότερες οδηγίες στην ενότητα Οδηγίες για την απενεργοποίηση της δυνατότητας Επεκτάσεων συγχρονισμού συναλλαγών της Intel (Intel TSX).

Τα προϊόντα τρίτων κατασκευαστών που αναφέρονται σε αυτό το άρθρο έχουν κατασκευαστεί από εταιρείες που είναι ανεξάρτητες από τη Microsoft. Δεν παρεχόμαστε καμία εγγύηση, έμμεση ή άλλη, σχετικά με την απόδοση ή την αξιοπιστία αυτών των προϊόντων.

Παρέχουμε στοιχεία επικοινωνίας τρίτων για να σας βοηθήσουμε να βρείτε τεχνική υποστήριξη. Αυτά τα στοιχεία επικοινωνίας μπορεί να αλλάξουν χωρίς προειδοποίηση. Δεν εγγυόμαστε την ακρίβεια αυτών των στοιχείων επικοινωνίας τρίτου κατασκευαστή.