KB4073225-οδηγίες για τον SQL Server για προστασία από τα τρωτά σημεία, τα τρωτά σημεία και τα μικροαρχιτεκτονικά δεδομένα δειγματοληψίας

Σύνοψη

Η Microsoft έχει επίγνωση μιας νέας κλάσης ευπάθειας που έχει δημοσιοποιηθεί δημόσια και αναφέρεται ως "κερδοσκοπικές επιθέσεις από πλευράς καναλιού εκτέλεσης" που επηρεάζουν πολλούς σύγχρονους επεξεργαστές και λειτουργικά συστήματα. Αυτό περιλαμβάνει την Intel, την AMD και το ARM. Σημείωση Αυτό το πρόβλημα επηρεάζει επίσης άλλα συστήματα, όπως το Android, το Chrome, το iOS και το MacOS. Επομένως, συμβουλεύουμε τους πελάτες να αναζητούν καθοδήγηση από αυτούς τους προμηθευτές.

Η Microsoft έχει κυκλοφορήσει αρκετές ενημερώσεις για να μετριάσει αυτά τα θέματα ευπάθειας. Έχουμε επίσης λάβει μέτρα για να εξασφαλίσουμε τις υπηρεσίες cloud. Για περισσότερες πληροφορίες, ανατρέξτε στις παρακάτω ενότητες.

Η Microsoft δεν έχει λάβει καμία πληροφορία για να υποδείξει ότι αυτά τα θέματα ευπάθειας έχουν χρησιμοποιηθεί για την επίθεση προς τους πελάτες αυτή τη στιγμή. Η Microsoft συνεχίζει να συνεργάζεται στενά με τους βιομηχανικούς εταίρους, συμπεριλαμβανομένων των κατασκευαστών chip, των ΟΕΜ υλικού και των προμηθευτών εφαρμογών, για την προστασία των πελατών. Για να λάβετε όλες τις διαθέσιμες προστασίες, απαιτούνται ενημερώσεις υλικού ή υλικολογισμικού και λογισμικού. Αυτό περιλαμβάνει μικροκώδικα από τους OEM της συσκευής και, σε ορισμένες περιπτώσεις, ενημερώσεις για το λογισμικό προστασίας από ιούς. Για περισσότερες πληροφορίες σχετικά με τα θέματα ευπάθειας, ανατρέξτε στο θέμα συμβουλευτική ADV180002 ασφαλείας της Microsoft. Για γενικές οδηγίες για την άμβλυνση αυτής της κλάσης ευπάθειας, ανατρέξτε στο θέμα οδηγίες για τον μετριασμό των τρωτών σημείων του δευτερεύοντος καναλιού εκτέλεσης με κερδοσκοπικούς τύπους

Microsoft Published ADV190013-οδηγίες της Microsoft για τον μετριασμό των ευπαθειών στη δειγματοληψία μικροαρχιτεκτονικών δεδομένων τον μάιο του 2019. Ο SQL Server δεν διαθέτει συγκεκριμένες ενημερωμένες εκδόσεις κώδικα ασφαλείας για το πρόβλημα που περιγράφεται στο ADV190013. Μπορείτε να δείτε οδηγίες για περιβάλλοντα που επηρεάζονται από το ADV190013 στην ενότητα συστάσεων αυτού του άρθρου. Λάβετε υπόψη ότι αυτό το συμβουλευτικό δελτίο ισχύει μόνο για επεξεργαστές Intel.

Πώς μπορείτε να αποκτήσετε και να εγκαταστήσετε την ενημέρωση

Αυτή η ενημέρωση είναι επίσης διαθέσιμη μέσω των υπηρεσιών Windows Server Update Services (WSUS) ή της τοποθεσίας Web του Microsoft Update Catalog.Σημείωση: αυτή η ενημέρωση δεν θα ληφθεί και θα εγκατασταθεί αυτόματα μέσω του Windows Update.

Διαθέσιμες ενημερωμένες εκδόσεις κώδικα SQL

Κατά τη στιγμή της δημοσίευσης, οι παρακάτω ενημερωμένες εκδόσεις του SQL Server είναι διαθέσιμες για λήψη:

Έκδοση συντήρησης

Αυτό το έγγραφο θα ενημερωθεί όταν είναι διαθέσιμες πρόσθετες ενημερωμένες εκδόσεις.

Σημειώσεις

Κυκλοφορήσαμε όλες τις απαιτούμενες ενημερώσεις για τον SQL Server για τον μετριασμό των τρωτών σημείων του καναλιού "φάντασμα" και "κατάρρευση". Η Microsoft δεν γνωρίζει τυχόν πρόσθετη έκθεση σε "στοιχειό" και "Ρευστοποίηση" θέματα ευπάθειας του καναλιού κερδοσκοπικής εκτέλεσης για στοιχεία που δεν παρατίθενται στην ενότητα "διαθέσιμες ενημερωμένες εκδόσεις κώδικα SQL".
Όλα τα επόμενα SQL Server 2014, SQL Server 2016 και SQL Server 2017 Service Pack και αθροιστικές ενημερώσεις θα περιέχουν τις επιδιορθώσεις. Για παράδειγμα, ο SQL Server 2016 SP2 περιέχει ήδη τις επιδιορθώσεις φαντασμάτων και κατάρρευσης.
Για τις εκδόσεις των Windows, ανατρέξτε στις παρακάτω οδηγίες για τις πιο πρόσφατες πληροφορίες σχετικά με τις διαθέσιμες εκδόσεις των Windows:

Οδηγίες του Windows Server για ευπάθειες του καναλιού/κατάρρευσης του δευτερεύοντος καναλιού

Καθοδήγηση του Windows Server για θέματα ευπάθειας δειγματοληψίας μικροαρχιτεκτονικών δεδομένων

Για τις εκδόσεις Linux, επικοινωνήστε με τον προμηθευτή σας Linux για να μάθετε τις πιο πρόσφατες ενημερώσεις για τη συγκεκριμένη διανομή Linux.
Για να αντιμετωπίσετε τα τρωτά σημεία του φαντάσματος και της κατάρρευσης όσο το δυνατόν γρηγορότερα, η παράδοση αυτών των ενημερώσεων του SQL Server έγινε αρχικά στο κέντρο λήψης της Microsoft ως το κύριο μοντέλο παράδοσης. Παρόλο που αυτές οι ενημερώσεις θα παραδοθούν μέσω του Microsoft Update τον Μάρτιο, συνιστάται στους πελάτες που επηρεάζονται να εγκαταστήσουν την ενημέρωση τώρα χωρίς να περιμένουν να γίνουν διαθέσιμες μέσω του Microsoft Update.

Υποστηριζόμενες εκδόσεις του SQL Server που επηρεάζονται

Η Microsoft συνιστά σε όλους τους πελάτες να εγκαταστήσουν τις ενημερώσεις του SQL Server (που αναφέρονται παρακάτω) ως μέρος του κανονικού κύκλου επιδιόρθωσης. Οι πελάτες που εκτελούν τον SQL Server σε ένα ασφαλές περιβάλλον όπου οι πόντοι επεκτασιμότητας είναι αποκλεισμένοι και όλος ο κώδικας τρίτου μέρους που εκτελείται στον ίδιο διακομιστή είναι αξιόπιστος και εγκεκριμένος θα πρέπει να επηρεάζεται από αυτό το πρόβλημα.

Οι παρακάτω εκδόσεις του SQL Server έχουν διαθέσιμες ενημερώσεις όταν εκτελούνται σε συστήματα επεξεργαστών x86 και x64:

SQL Server 2008
SQL Server 2008R2
SQL Server 2012
SQL Server 2014
SQL Server 2016
SQL Server 2017

Δεν πιστεύουμε ότι επηρεάζεται το IA64 (Microsoft SQL Server 2008). Η υπηρεσία πλατφόρμας αναλυτικών λύσεων της Microsoft (APS) βασίζεται στον Microsoft SQL Server 2014 ή στον Microsoft SQL Server 2016, αλλά δεν επηρεάζεται ειδικά. Ορισμένες γενικές οδηγίες για το APS παρατίθενται παρακάτω σε αυτό το άρθρο.

Συστάσεις

Ο παρακάτω πίνακας περιγράφει τι πρέπει να κάνουν οι πελάτες, ανάλογα με το περιβάλλον στο οποίο εκτελείται ο SQL Server και ποιες λειτουργίες χρησιμοποιούνται. Η Microsoft συνιστά να αναπτύξετε επιδιορθώσεις χρησιμοποιώντας τις συνήθεις διαδικασίες για να ελέγξετε τα νέα δυαδικά αρχεία πριν από την ανάπτυξή τους σε περιβάλλοντα παραγωγής.

Αριθμός σεναρίου	Περιγραφή σεναρίου	Συστάσεις προτεραιότητας
1	Βάση δεδομένων SQL Azure και αποθήκη δεδομένων	Δεν απαιτείται καμία ενέργεια (δείτε εδώ για λεπτομέρειες).
2	Ο SQL Server εκτελείται σε έναν φυσικό υπολογιστή ή σε μια εικονική μηχανή ΚΑΙ καμία από τις ακόλουθες συνθήκες δεν είναι αληθής: Μια άλλη εφαρμογή που εκτελεί πιθανώς εχθρικό κώδικα συνφιλοξενείται στον ίδιο υπολογιστή Οι διασυνδέσεις επεκτασιμότητας του SQL Server χρησιμοποιούνται με μη αξιόπιστο κώδικα (δείτε παρακάτω για τη λίστα)	Η Microsoft συνιστά την εγκατάσταση όλων των ενημερώσεων λειτουργικών συστημάτωνγιαπροστασία από το CVE 2017-5753. Η Microsoft συνιστά την εγκατάσταση όλων των ενημερώσεων λειτουργικού συστήματος για προστασία από ευπάθειες δειγματοληψίας δεδομένων μικροαρχιτεκτονικών δεδομένων (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 και CVE-2018-11091). Δεν απαιτείται η ενεργοποίηση της σκίασης εικονικής ΔΙΕΎΘΥΝΣΗς (KVAS) και του έμμεσου περιορισμού πρόβλεψης ΚΛΆΔΩΝ (ΑΕΣ) (δείτε παρακάτω). Οι επιδιορθώσεις του SQL Server πρέπει να εγκατασταθούν ως μέρος της κανονικής πολιτικής ενημέρωσης στο επόμενο προγραμματισμένο παράθυρο ενημερώσεων. Μπορείτε να συνεχίσετε τη μόχλευση του υπερνήματος σε έναν τέτοιο κεντρικό υπολογιστή.
3	Ο SQL Server εκτελείται σε έναν φυσικό υπολογιστή ή σε μια εικονική μηχανή ΚΑΙ μια άλλη εφαρμογή που εκτελεί πιθανώς εχθρικό κώδικα συνφιλοξενείται στον ίδιο υπολογιστή Ή/και οι διασυνδέσεις επεκτασιμότητας του SQL Server χρησιμοποιούνται με μη αξιόπιστο κώδικα (δείτε παρακάτω για τη λίστα)	Η Microsoft συνιστά την εγκατάσταση όλων των ενημερώσεων λειτουργικού συστήματος για προστασία από το CVE 2017-5753. Η Microsoft συνιστά την εγκατάσταση όλων των ενημερώσεων λειτουργικού συστήματος για προστασία από ευπάθειες δειγματοληψίας δεδομένων μικροαρχιτεκτονικών δεδομένων (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 και CVE-2018-11091). Εφαρμόστε τις επιδιορθώσεις του SQL Server (δείτε παρακάτω). Αυτό προστατεύει από το CVE 2017-5753. Η ενεργοποίηση της σκίασης εικονικών διευθύνσεων πυρήνα (KVAS) συνιστάται ανεπιφύλακτα (δείτε παρακάτω). Αυτό προστατεύει από το CVE 2017-5754. Η ενεργοποίηση της υποστήριξης υλικού μετριασμού πρόβλεψης έμμεσων κλάδων (ΑΕΣ) συνιστάται ανεπιφύλακτα (δείτε παρακάτω). Αυτό προστατεύει από το CVE 2017-5715 Συνιστάται να απενεργοποιήσετε το υπερνήμα στον κεντρικό υπολογιστή, εάν χρησιμοποιούνται επεξεργαστές Intel.
4	Ο SQL Server εκτελείται σε έναν φυσικό υπολογιστή ΚΑΙ μια άλλη εφαρμογή που εκτελεί πιθανώς εχθρικό κώδικα δεν φιλοξενείται από κοινού στον ίδιο υπολογιστή ΚΑΙ οι διασυνδέσεις επεκτασιμότητας του SQL Server χρησιμοποιούνται για την εκτέλεση ΑΞΙΌΠΙΣΤων κωδικών. Παραδείγματα Συγκροτήσεις CLR που έχουν αναθεωρηθεί/εγκριθεί για χρήση σε παραγωγή Συνδεδεμένοι διακομιστές που εμπιστεύεστε την εκτέλεση ερωτημάτων που εμπιστεύεστε Μη παραδείγματα: Αυθαίρετες δέσμες ενεργειών R/Python που έχουν ληφθεί από το Internet UΔυαδικά αρχεία του U ntrusted CLR από τρίτο μέρος	Η Microsoft συνιστά την εγκατάσταση όλων των ενημερώσεων λειτουργικών συστημάτωνγιαπροστασία από το CVE 2017-5753. Η Microsoft συνιστά την εγκατάσταση όλων των ενημερώσεων λειτουργικού συστήματος για προστασία από ευπάθειες δειγματοληψίας δεδομένων μικροαρχιτεκτονικών δεδομένων (CVE-2018-12126, CVE-2018-12130, Cve-2018-12127 και CVE-2018-11091). Η ενεργοποίηση της σκίασης εικονικών διευθύνσεων πυρήνα (KVAS) συνιστάται ανεπιφύλακτα (δείτε παρακάτω). Αυτό προστατεύει από το CVE 2017-5754. Η ενεργοποίηση της υποστήριξης υλικού μετριασμού πρόβλεψης έμμεσων κλάδων (ΑΕΣ) συνιστάται ανεπιφύλακτα (δείτε παρακάτω). Αυτό προστατεύει από το CVE 2017-5715 Συνιστούμε να απενεργοποιήσετε το υπερνήμα σε ένα τέτοιο περιβάλλον, εάν χρησιμοποιούνται επεξεργαστές Intel. Οι επιδιορθώσεις του SQL Server πρέπει να εγκατασταθούν ως μέρος της κανονικής πολιτικής ενημέρωσης στο επόμενο προγραμματισμένο παράθυρο ενημερώσεων.
5	Ο SQL Server εκτελείται σε λειτουργικό σύστημα Linux.	Εφαρμόστε ενημερώσεις λειτουργικού συστήματος Linux από την υπηρεσία παροχής διανομής. Εφαρμόστε τις επιδιορθώσεις του Linux SQL Server (δείτε παρακάτω). Αυτό προστατεύει από το CVE 2017-5753. Δείτε παρακάτω για οδηγίες σχετικά με το εάν θα ενεργοποιήσετε την απομόνωση πίνακα σελίδων πυρήνα Linux (KPTI) και το ΑΕΣ (CVEs CVE 2017-5754 και CVE 2017-5715). Συνιστούμε να απενεργοποιήσετε το υπερνήμα σε ένα τέτοιο περιβάλλον, εάν χρησιμοποιούνται επεξεργαστές Intel για το σενάριο #3 και #4 που αναφέρονται παραπάνω.
6	Σύστημα πλατφόρμας ανάλυσης (APS)	Παρόλο που το APS δεν υποστηρίζει τις δυνατότητες επεκτασιμότητας από τον SQL Server που αναφέρονται σε αυτό το ενημερωτικό δελτίο, συνιστάται να εγκαταστήσετε τις επιδιορθώσεις των Windows στη συσκευή APS. Η ενεργοποίηση του KVAS/ΑΕΣ δεν είναι απαραίτητη.

Συμβουλευτική επιδόσεων

Συνιστάται στους πελάτες να αξιολογούν την απόδοση της συγκεκριμένης εφαρμογής τους όταν εφαρμόζουν ενημερώσεις.

Η Microsoft συμβουλεύει όλους τους πελάτες να εγκαταστήσουν ενημερωμένες εκδόσεις του SQL Server και των Windows. Αυτό θα πρέπει να έχει έναν αμελητέο-έως-ελάχιστο αντίκτυπο στις υπάρχουσες εφαρμογές, με βάση τον έλεγχο του φόρτου εργασίας SQL από τη Microsoft. Ωστόσο, συνιστούμε να ελέγξετε όλες τις ενημερώσεις πριν από την ανάπτυξή τους σε περιβάλλον παραγωγής.

Η Microsoft έχει μετρήσει το αποτέλεσμα της σκίασης εικονικών διευθύνσεων πυρήνα (KVAS), της υποκατεύθυνσης του πίνακα σελίδων πυρήνα (KPTI) και του μετριασμού πρόβλεψης έμμεσων κλάδων (ΑΕΣ) σε διάφορους φόρτους εργασίας SQL σε διάφορα περιβάλλοντα και εντόπισε ορισμένους φόρτους εργασίας με σημαντική υποβάθμιση. Συνιστάται να ελέγξετε το αποτέλεσμα επιδόσεων της ενεργοποίησης αυτών των δυνατοτήτων πριν από την ανάπτυξή τους σε ένα περιβάλλον παραγωγής. Εάν το αποτέλεσμα της απόδοσης της ενεργοποίησης αυτών των δυνατοτήτων είναι πολύ υψηλό για μια υπάρχουσα εφαρμογή, μπορείτε να εξετάσετε εάν η απομόνωση του SQL Server από μη αξιόπιστο κώδικα που εκτελείται στον ίδιο υπολογιστή είναι ένας καλύτερος μετριασμός για την εφαρμογή σας.

Περισσότερες πληροφορίες σχετικά με το αποτέλεσμα της απόδοσης από την έμμεση υποστήριξη του υλικού μετριασμού πρόβλεψης κλάδων (ΑΕΣ) είναι αναλυτικά εδώ.

Η Microsoft θα ενημερώσει αυτήν την ενότητα με περισσότερες πληροφορίες όταν είναι διαθέσιμη.

Ενεργοποίηση της σκίασης εικονικών διευθύνσεων του πυρήνα (KVAS στα Windows) και του indirecting πίνακα σελίδων πυρήνα (KPTI σε Linux)

Το KVAS και το KPTI μετριάζουν το CVE 2017-5754, γνωστό και ως "κατάρρευση" ή "παραλλαγή 3" στην αποκάλυψη του GPZ.

Ο SQL Server εκτελείται σε πολλά περιβάλλοντα: φυσικούς υπολογιστές, ΣΠΣ σε δημόσια και ιδιωτικά περιβάλλοντα cloud, σε συστήματα Linux και Windows. Ανεξάρτητα από το περιβάλλον, το πρόγραμμα εκτελείται σε υπολογιστή ή VM. Ονομάστε αυτό το όριοασφαλείας.

Εάν όλος ο κώδικας στο όριο έχει πρόσβαση σε όλα τα δεδομένα σε αυτό το όριο, δεν είναι απαραίτητη καμία ενέργεια. Εάν αυτό δεν συμβαίνει, το όριο λέγεται ότι είναι πολυ-μισθωτής. Τα θέματα ευπάθειας που διαπιστώθηκαν καθιστούν δυνατή τη χρήση οποιουδήποτε κώδικα, ακόμα και με μειωμένα δικαιώματα, που εκτελούνται σε οποιαδήποτε διεργασία σε αυτό το όριο, για την ανάγνωση οποιωνδήποτε άλλων δεδομένων μέσα σε αυτό το όριο. Εάν υπάρχει κάποια διεργασία στο όριο που εκτελεί μη αξιόπιστο κώδικα, θα μπορούσε να χρησιμοποιήσει αυτά τα θέματα ευπάθειας για την ανάγνωση δεδομένων από άλλες διεργασίες. Αυτός ο μη αξιόπιστος κώδικας μπορεί να είναι μη αξιόπιστος κώδικας με τη χρήση μηχανισμών επεκτασιμότητας του SQL Server ή άλλων διεργασιών στο όριο που εκτελεί μη αξιόπιστο κώδικα.

Για προστασία από μη αξιόπιστο κώδικα σε ένα όριο πολλών μισθωτών, χρησιμοποιήστε μία από τις ακόλουθες μεθόδους

Κατάργηση του μη αξιόπιστου κώδικα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο για να το κάνετε αυτό για τους μηχανισμούς επεκτασιμότητας του SQL Server, ανατρέξτε παρακάτω. Για να καταργήσετε μη αξιόπιστο κώδικα από άλλες εφαρμογές στο ίδιο όριο, συνήθως απαιτούνται αλλαγές στην εφαρμογή. Για παράδειγμα, ο διαχωρισμός σε δύο ΣΠΣ.
Ενεργοποιήστε το KVAS ή το KPTI. Αυτό θα έχει εφέ επιδόσεων. Για περισσότερες πληροφορίες, όπως περιγράφεται παραπάνω σε αυτό το άρθρο.

Για περισσότερες πληροφορίες σχετικά με τον τρόπο με τον οποίο μπορείτε να ενεργοποιήσετε το KVAS για Windows, ανατρέξτε στο θέμα KB4072698. Για περισσότερες πληροφορίες σχετικά με τον τρόπο με τον οποίο μπορείτε να ενεργοποιήσετε το KPTI σε Linux, συμβουλευτείτε τον διανομέα του λειτουργικού σας συστήματος.

Παράδειγμα σεναρίου στο οποίο συνιστάται ανεπιφύλακτα το KVAS ή το KPTI

Ένας φυσικός υπολογιστής εσωτερικής εγκατάστασης που φιλοξενεί τον SQL Server ως λογαριασμός διαχειριστή χωρίς σύστημα επιτρέπει στους πελάτες να υποβάλουν αυθαίρετες δέσμες ενεργειών R για να εκτελεστούν μέσω του SQL Server (το οποίο χρησιμοποιεί δευτερεύουσες διεργασίες για την εκτέλεση αυτών των δεσμών ενεργειών εκτός του Sqlservr. exe). Είναι απαραίτητο να ενεργοποιήσετε το KVAS και το KPTI και τα δύο για προστασία από την αποκάλυψη δεδομένων μέσα στη διαδικασία Sqlservr. exe και για την προστασία από την αποκάλυψη δεδομένων μέσα στη μνήμη πυρήνα του συστήματος. Σημείωση Ένας μηχανισμός επεκτασιμότητας εντός του SQL Server δεν θεωρείται αυτόματα μη ασφαλής μόνο και μόνο επειδή χρησιμοποιείται. Αυτοί οι μηχανισμοί μπορούν να χρησιμοποιηθούν με ασφάλεια στον SQL Server, με την προϋπόθεση ότι κάθε εξάρτηση είναι κατανοητή και αξιόπιστη από τον πελάτη. Επίσης, υπάρχουν και άλλα προϊόντα που είναι ενσωματωμένα στην κορυφή του SQL, τα οποία ενδέχεται να απαιτούν μηχανισμούς επεκτασιμότητας για να λειτουργήσουν σωστά. Για παράδειγμα, μια συσκευασμένη εφαρμογή που είναι ενσωματωμένη στο επάνω μέρος του SQL Server μπορεί να απαιτεί ένα συνδεδεμένο διακομιστή ή μια αποθηκευμένη διαδικασία CLR για να λειτουργεί σωστά. Η Microsoft δεν συνιστά να τα καταργήσετε αυτά ως μέρος του μετριασμού. Αντί για αυτό, εξετάστε κάθε χρήση για να προσδιορίσετε εάν αυτός ο κώδικας είναι κατανοητός και αξιόπιστος ως αρχική ενέργεια. Αυτή η καθοδήγηση παρέχεται για να βοηθήσει τους πελάτες να προσδιορίσουν εάν βρίσκονται σε μια κατάσταση στην οποία πρέπει να ενεργοποιήσουν το KVAS. Αυτό συμβαίνει επειδή αυτή η ενέργεια έχει σημαντικές επιπτώσεις στις επιδόσεις.

Ενεργοποίηση της υποστήριξης υλικού μετριασμού (ΑΕΣ) έμμεσης πρόβλεψης κλάδων

Η ΑΕΣ μετριάζει κατά του CVE 2017-5715, γνωστό και ως ήμισυ του φαντάσματος ή της "variant 2" στην αποκάλυψη του GPZ.

Οι οδηγίες σε αυτό το άρθρο για να ενεργοποιήσετε το KVAS στα Windows επιτρέπουν επίσης την ΑΕΣ. Ωστόσο, το ΑΕΣ απαιτεί επίσης μια ενημέρωση υλικολογισμικού από τον κατασκευαστή του υλικού σας. Εκτός από τις οδηγίες στο KB4072698 για να ενεργοποιήσετε την προστασία στα Windows, οι πελάτες πρέπει να λαμβάνουν και να εγκαθιστούν ενημερώσεις από τον κατασκευαστή του υλικού τους.

Παράδειγμα σεναρίου στο οποίο συνιστάται ανεπιφύλακτα η ΑΕΣ

Ένας φυσικός υπολογιστής εσωτερικής εγκατάστασης φιλοξενεί τον SQL Server παράλληλα με μια εφαρμογή που επιτρέπει στους μη αξιόπιστους χρήστες να αποστέλλουν και να εκτελούν αυθαίρετο κώδικα JavaScript. Αν υποθέσουμε ότι υπάρχουν εμπιστευτικά δεδομένα στη βάση δεδομένων SQL, συνιστάται ανεπιφύλακτα η ΑΕΣ ως μέτρο προστασίας από την αποκάλυψη πληροφοριών από διεργασία σε διεργασία.

Σε περιπτώσεις όπου δεν υπάρχει υποστήριξη υλικού ΑΕΣ, η Microsoft συνιστά το διαχωρισμό των μη αξιόπιστων διεργασιών και της αξιόπιστης διεργασίας σε διαφορετικούς φυσικούς υπολογιστές ή εικονικές μηχανές.

Χρήστες του Linux: επικοινωνήστε με τον διανομέα του λειτουργικού συστήματος για πληροφορίες σχετικά με τον τρόπο προστασίας από την παραλλαγή 2 (CVE 2017-5715).

Ένα παράδειγμα σεναρίου στο οποίο συνιστάται ιδιαίτερα ο μετριασμός των ευπαθειών για τη δειγματοληψία μικροαρχιτεκτονικών δεδομένων

Εξετάστε ένα παράδειγμα όπου ένας διακομιστής εσωτερικής εγκατάστασης εκτελεί δύο παρουσίες του SQL Server που φιλοξενεί δύο διαφορετικές επιχειρηματικές εφαρμογές σε δύο διαφορετικές εικονικές μηχανές στον ίδιο φυσικό κεντρικό υπολογιστή. Ας υποθέσουμε ότι αυτές οι δύο επιχειρηματικές εφαρμογές δεν πρέπει να έχουν τη δυνατότητα ανάγνωσης δεδομένων που είναι αποθηκευμένα σε παρουσίες του SQL Server. Ένας εισβολέας που εκμεταλλεύτηκε με επιτυχία αυτά τα θέματα ευπάθειας μπορεί να έχει τη δυνατότητα να διαβάσει τα προνομιούχα δεδομένα σε σχέση με τα όρια αξιοπιστίας, χρησιμοποιώντας μη αξιόπιστο κώδικα που εκτελείται στον υπολογιστή ως ξεχωριστή διεργασία ή μη αξιόπιστος κώδικας που εκτελείται με τη χρήση μηχανισμού επεκτασιμότητας του SQL Server (ανατρέξτε στην ενότητα παρακάτω για επιλογές επεκτασιμότητας στον SQL Server). Στα κοινόχρηστα περιβάλλοντα πόρων (όπως υπάρχει σε ορισμένες ρυθμίσεις παραμέτρων των υπηρεσιών cloud), αυτά τα θέματα ευπάθειας θα μπορούσαν να επιτρέψουν σε μία εικονική μηχανή να αποκτήσει εσφαλμένη πρόσβαση σε πληροφορίες από μια άλλη. Σε σενάρια χωρίς περιήγηση σε αυτόνομα συστήματα, ένας εισβολέας θα χρειαστεί προηγούμενη πρόσβαση στο σύστημα ή δυνατότητα εκτέλεσης μιας ειδικά κατασκευασμένης εφαρμογής στο σύστημα προορισμού για τη μόχλευση αυτών των ευπαθειών.

Μη αξιόπιστοι μηχανισμοί επεκτασιμότητας του SQL Server

Ο SQL Server περιέχει πολλές δυνατότητες και μηχανισμούς επεκτασιμότητας. Οι περισσότεροι από αυτούς τους μηχανισμούς είναι απενεργοποιημένοι από προεπιλογή. Ωστόσο, συμβουλεύουμε τους πελάτες να εξετάζουν κάθε παρουσία παραγωγής για τη χρήση δυνατοτήτων επεκτασιμότητας. Συνιστούμε κάθε μία από αυτές τις δυνατότητες να περιοριστεί στο ελάχιστο όριο δυαδικών αρχείων και οι πελάτες να περιορίζουν την πρόσβαση για να εμποδίσουν την εκτέλεση αυθαίρετου κώδικα στον ίδιο υπολογιστή με τον SQL Server. Συμβουλεύουμε τους πελάτες να προσδιορίσουν αν θα εμπιστευτούν κάθε δυαδικό αρχείο και να απενεργοποιήσουν ή να αφαιρέσουν μη αξιόπιστα δυαδικά αρχεία.

Συγκροτήσεις CLR SQL
Πακέτα r και Python που εκτελούνται μέσω του μηχανισμού εξωτερικών δεσμών ενεργειών ή εκτελούνται από το αυτόνομο Studio εκμάθησης R/Machine στον ίδιο φυσικό υπολογιστή με τον SQL Server

Σημεία επεκτασιμότητας παράγοντα SQL που εκτελούνται στον ίδιο φυσικό υπολογιστή με τον SQL Server (δέσμες ενεργειών ActiveX)
Υπηρεσίες παροχής OLE DB που δεν ανήκουν στη Microsoft και χρησιμοποιούνται σε συνδεδεμένους διακομιστές
Σύνθετες αποθηκευμένες διαδικασίες που δεν ανήκουν στη Microsoft
Αντικείμενα COM που εκτελούνται εντός του διακομιστή (με πρόσβαση μέσω sp_OACreate)
Προγράμματα που εκτελούνται μέσω xp_cmdshell

Μετριασμούς που πρέπει να ακολουθήσετε εάν χρησιμοποιείτε μη αξιόπιστο κώδικα στον SQL Server:

Υπόθεση σεναρίου/χρήσης	Μετριασμούς ή προτεινόμενα βήματα
Εκτέλεση του SQL Server με ενεργοποιημένο το CLR (sp_configure "ενεργοποιημένο CLR"; 1)	Εάν είναι δυνατόν, απενεργοποιήστε το CLR εάν δεν απαιτείται στην εφαρμογή σας να μειώσετε τον κίνδυνο μη αξιόπιστου κώδικα που φορτώνεται στον SQL Server (SQL Server 2017 +) Εάν το CLR εξακολουθεί να είναι απαραίτητο στην εφαρμογή σας, ενεργοποιήστε τη δυνατότητα φόρτωσης μόνο συγκεκριμένων συγκροτήσεων χρησιμοποιώντας τη δυνατότητα "αυστηρή ασφάλεια CLR" (αυστηρή ασφάλεια CLR) χρησιμοποιώντας το sys.sp_add_trusted_assembly (sys.sp_add_trusted_assembly (Transact-SQL)) Εξετάστε εάν ο κώδικας CLR μπορεί να μετεγκατασταθεί σε ισοδύναμο κωδικό T-SQL Εξετάστε τα δικαιώματα ασφαλείας για να κλειδώσετε σενάρια στα οποία μπορούν να χρησιμοποιηθούν λειτουργίες που βασίζονται στο CLR. Περιορισμός της συγκρότησης ΣΥΓΚΡΌΤΗΣΗς, της ΣΥΓΚΡΌΤΗΣΗς ΕΞΩΤΕΡΙΚΉς ΠΡΌΣΒΑΣΗς και του δικαιώματος μη ασφαλούς ΣΥΓΚΡΌΤΗΣΗς για το ελάχιστο σύνολο χρηστών ή διαδρομών κωδικών για να μην επιτρέπεται η φόρτωση νέων συγκροτήσεων σε μια υπάρχουσα εφαρμογή που έχει αναπτυχθεί.
Εκτέλεση εξωτερικών δεσμών ενεργειών Java/R/Python μέσα από τον SQL Server (sp_configure "ενεργοποιημένες εξωτερικές δέσμες ενεργειών", 1)	Εάν είναι δυνατόν, απενεργοποιήστε την δυνατότητα εξωτερικών δεσμών ενεργειών, εάν δεν είναι απαραίτητο στην εφαρμογή σας για να μειώσετε την περιοχή επιφανείας επίθεσης. (SQL Server 2017 +) Εάν είναι δυνατό, Πραγματοποιήστε μετεγκατάσταση εξωτερικών δεσμών ενεργειών κάνοντας βαθμολόγηση για να χρησιμοποιήσετε τη δυνατότητα εγγενούς βαθμολόγησης (εγγενής βαθμολόγησης χρησιμοποιώντας τη συνάρτηση πρόβλεψη T-SQL) Εξετάστε τα δικαιώματα ασφαλείας για να κλειδώσετε σενάρια όπου μπορούν να χρησιμοποιηθούν εξωτερικές δέσμες ενεργειών. Περιορισμός εκτελέστε οποιαδήποτε δικαιώματα ΕΞΩΤΕΡΙΚΉς δέσμης ενεργειών στο ελάχιστο όριο χρηστών/διαδρομών κωδικών για να απαγορεύσετε την εκτέλεση αυθαίρετων δεσμών ενεργειών.
Χρήση συνδεδεμένων διακομιστών (sp_addlinkedserver)	Εξετάστε τις εγκατεστημένες υπηρεσίες παροχής OLEDB και εξετάστε το ενδεχόμενο να καταργήσετε τυχόν μη αξιόπιστες υπηρεσίες παροχής OLEDB από τον υπολογιστή. (Βεβαιωθείτε ότι δεν καταργείτε τις υπηρεσίες παροχής OLEDB εάν χρησιμοποιούνται εκτός του SQL Server στον υπολογιστή). Ένα παράδειγμα σχετικά με τον τρόπο με τον οποίο μπορείτε να απαριθμήσετε υπάρχουσες υπηρεσίες παροχής OLEDB είναι εδώ: OleDbEnumerator. GetEnumerator Method (τύπος) Εξετάστε και καταργήστε τυχόν μη απαραίτητους συνδεδεμένους διακομιστές από τον SQL Server (sp_dropserver) για να μειώσετε την πιθανότητα εκτέλεσης μη αξιόπιστων κωδικών μέσα στη διαδικασία Sqlservr. exe Εξετάστε τα δικαιώματα ασφαλείας για να κλειδώσετε το πλήκτρο ALTER οποιαδήποτε δικαιώματα ΣΥΝΔΕΔΕΜΈΝΟυ διακομιστή στον ελάχιστο αριθμό χρηστών. Εξετάστε τις αντιστοιχίσεις σύνδεσης/διαπιστευτηρίων του συνδεδεμένου διακομιστή (sp_addlinkedsvrlogin/sp_droplinkedsvrlogin) για να περιορίσετε τα άτομα που μπορούν να εκτελέσουν λειτουργίες μέσω συνδεδεμένων διακομιστών με το ελάχιστο όριο χρηστών/σεναρίων.
Χρήση εκτεταμένων αποθηκευμένων διαδικασιών (sp_addextendedproc)	Καθώς οι εκτεταμένες αποθηκευμένες διαδικασίες καταργούνται, καταργήστε όλες τις χρήσεις αυτών και μην τις χρησιμοποιήσετε στα συστήματα παραγωγής.
Χρήση του xp_cmdshell για την κλήση δυαδικών αρχείων από τον SQL Server	Αυτή η δυνατότητα είναι απενεργοποιημένη από προεπιλογή. Εξετάστε και Περιορίστε κάθε χρήση του xp_cmdshell για να καλέσετε μη αξιόπιστα δυαδικά αρχεία. Μπορείτε να ελέγχετε την πρόσβαση σε αυτό το τελικό σημείο μέσω sp_configure, όπως περιγράφεται εδώ: Επιλογή ρύθμισης παραμέτρων του xp_cmdshell διακομιστή
Χρήση αντικειμένων COM μέσω sp_OACreate	Αυτή η δυνατότητα είναι απενεργοποιημένη από προεπιλογή. Αντικείμενα COM που καλούνται μέσω sp_OACreate εκτέλεση κώδικα που είναι εγκατεστημένος στο διακομιστή. Εξετάστε τυχόν τέτοιες κλήσεις για μη αξιόπιστα δυαδικά αρχεία. Μπορείτε να δείτε τις ρυθμίσεις μέσω sp_configure, όπως περιγράφεται εδώ: Επιλογή ρύθμισης παραμέτρων διακομιστή αυτοματοποίησης OLE