KB4073065: Instrucciones para Surface para protegerse frente a vulnerabilidades de canal lateral de ejecución especulativa y microarchivar basadas en placas

Introducción

Desde enero de 2018, el equipo de Surface publica actualizaciones de firmware para una clase de problemas basados en placas de silicon que implican vulnerabilidades de canal lateral de ejecución microarchivar y especulativa. El equipo de Surface sigue trabajando estrechamente con el equipo de Windows y los asociados del sector para proteger a los clientes. Para obtener toda la protección disponible, se requieren actualizaciones de firmware y del sistema de Windows.

Resumen

Vulnerabilidades anunciadas en junio de 2022

El equipo de Surface es consciente de las nuevas variantes de ataque de canal lateral de ejecución especulativa y microarchivar basadas en placas de silicon que también afectan a los productos Surface. Para obtener más información sobre las vulnerabilidades y mitigaciones, consulta el siguiente aviso de seguridad:

• Aviso de seguridad de Microsoft ADV220002

Estamos trabajando conjuntamente con nuestros asociados para proporcionar actualizaciones a los productos Surface tan pronto como podamos asegurarnos de que las actualizaciones cumplan nuestros requisitos de calidad. 

Para obtener más información sobre las actualizaciones para dispositivos Surface, consulta Historial de actualizaciones de Surface.

Vulnerabilidades anunciadas en mayo de 2019

El equipo de Surface es consciente de nuevas variantes de ataque de canal lateral de ejecución especulativa que también afectan a los productos Surface. La mitigación de esas vulnerabilidades requiere una actualización del sistema operativo y una actualización de la UEFI de Surface que incluya nuevo microcódigo. Para obtener más información sobre las vulnerabilidades y mitigaciones, consulta el siguiente aviso de seguridad:

• Aviso de seguridad de Microsoft ADV190013

  Este aviso incluye las siguientes vulnerabilidades:

  • CVE-2018-12126 | Muestreo de datos del búfer del almacén de microarquitecturas (MSBDS) 
  • CVE-2018-12130 | Muestreo de datos de búfer de relleno de microarquitectura (MFBDS)
  • CVE-2018-12127 | Muestreo de datos de puerto de carga de microarquitectura (MLPDS)
  • CVE-2019-11091 | Muestreo de datos microarchitectural memoria que no se puede almacenar (MDSUM)

Además de instalar las actualizaciones de seguridad del sistema operativo Windows, Surface ha publicado actualizaciones de la UEFI a través de Windows Update y el Centro de descarga para los siguientes dispositivos:

• Surface 3: actualización del 11 de julio de 2019
• actualización del 3 de Surface Pro al 11 de julio de 2019
• Surface Pro 4: actualización del 27 de junio de 2019
• Surface Book: actualización del 27 de junio de 2019
• Surface Studio: actualización del 11 de julio de 2019
• Surface Pro (^5.ª generación): actualización del 27 de junio de 2019
• Surface Laptop: actualización del 27 de junio de 2019
• actualización del 2 de Surface Book al 27 de junio de 2019
• 6 de Surface Pro: 27 de junio de 2019
• Surface Laptop 2: actualización del 27 de junio de 2019
• actualización del 2 al 31 de julio de 2019 de Surface Studio
• WiFi de Surface GO: actualización del 23 de julio de 2019
• Surface GO LTE: actualización del 23 de julio de 2019

Además del nuevo microcódigo, estará disponible una nueva configuración de UEFI denominada "Multiproceso simultáneo (SMT)" cuando se instale la actualización de UEFI. Esta configuración permite a un usuario deshabilitar Hyper-Threading.

Notas

• Si decide deshabilitar Hyper-Threading, le recomendamos que use la nueva configuración de UEFI de SMT.

• Deshabilitar SMT proporciona protección adicional contra estas nuevas vulnerabilidades y el ataque con error de terminal L1 que se anunció anteriormente. Sin embargo, este método también afecta al rendimiento del dispositivo.

• Surface 3 y Surface Studio con Intel Core i5 no tienen SMT. Por lo tanto, estos dispositivos no tienen esta nueva configuración.

• La versión 2.43.139 o posterior de la herramienta de configurador UEFI del Modo de administración empresarial (SEMM) de Microsoft Surface admite la nueva configuración de SMT. Las herramientas se pueden descargar desde esta página web. Descargue las siguientes herramientas necesarias:

  • SurfaceUEFI_Configurator_v2.43.139.0.msi
  • SurfaceUEFI_Manager_v2.43.139.0.msi

Vulnerabilidad anunciada en agosto de 2018

El equipo de Surface es consciente de un nuevo ataque de canal lateral de ejecución especulativa llamado L1 Terminal Fault (L1TF) y CVE-2018-3620 (OS y SMM) y CVE-2018-3646 (VMM). Los productos Surface afectados son los mismos que en la sección "Vulnerabilidades anunciadas en mayo de 2018" de este artículo. Las actualizaciones de microcódigo que mitigan las conclusiones de mayo de 2018 también mitigan L1TF (CVE-2018-3646). Para obtener más información sobre la vulnerabilidad y las mitigaciones, consulta el siguiente aviso de seguridad:

• Aviso de seguridad de Microsoft ADV180018

  Este aviso incluye las siguientes vulnerabilidades:

  • CVE-2018-3620
  • CVE-2018-3646

El aviso de seguridad propone que los clientes que usen Virtualization Based Security (VBS), que incluye características de seguridad como Credential Guard y Device Guard, consideren la posibilidad de deshabilitar Hyper-Threading para eliminar completamente el riesgo de L1TF.

Vulnerabilidades anunciadas en mayo de 2018

El equipo de Surface ha llegado a conocer nuevas variantes de ataque de canal lateral de ejecución especulativa que también afectan a los productos Surface. La mitigación de esas vulnerabilidades requiere actualizaciones ueFI que usen nuevo microcódigo. Para obtener más información sobre las vulnerabilidades y mitigaciones, consulta los siguientes avisos de seguridad:

• Aviso de seguridad de Microsoft ADV180012

  Este aviso incluye la siguiente vulnerabilidad:

  • CVE-2018-3639

• Aviso de seguridad de Microsoft ADV180013

  Este aviso incluye la siguiente vulnerabilidad:

  • CVE-2018-3640

Además de instalar las actualizaciones de seguridad del sistema operativo Windows, Surface ha publicado actualizaciones de la UEFI a través de Windows Update y el Centro de descarga para los siguientes dispositivos:

• Actualización del 2 de Surface Book al 1 de agosto de 2018
• Surface Book: actualización del 21 de agosto de 2018
• Surface Laptop: actualización del 25 de julio de 2018
• Surface Studio: actualización del 1 de octubre de 2018
• Surface Pro 4: actualización del 25 de julio de 2018
• Actualización del 3 de Surface Pro al 7 de agosto de 2018
• Surface Pro modelo 1796 y Surface Pro con la actualización avanzada LTE modelo 1807: 26 de julio de 2018

Vulnerabilidades anunciadas en enero de 2018

El equipo de Surface es consciente de la clase de vulnerabilidades divulgadas públicamente que implican un canal lateral de ejecución especulativa (conocido como Spectre y Meltdown) que afectan a muchos procesadores y sistemas operativos modernos, incluidos Intel, AMD y ARM. Para obtener más información sobre las vulnerabilidades y mitigaciones, consulta el siguiente aviso de seguridad:

• Aviso de seguridad de Microsoft ADV180002

  Este aviso incluye las siguientes vulnerabilidades:

  • CVE-2017-5753
  • CVE-2017-5715
  • CVE-2017-5754

Para obtener más información sobre las actualizaciones de software de Windows, consulta los siguientes artículos de knowledge base:

• KB4073757 
• KB4073119 (guía del cliente)

Además de instalar la Novedades de seguridad del sistema operativo Windows del 3 de enero, Surface ha publicado actualizaciones de UEFI a través de Windows Update y el Centro de descarga para los siguientes dispositivos:

• Surface Book 2 ( (Historial de actualizaciones)
• Surface Book : (Historial de actualizaciones)
• Surface Laptop: (Historial de actualizaciones)
• Surface Studio : (Historial de actualizaciones)
• Surface Pro 4 : (Historial de actualizaciones)
• Surface Pro 3 ( (Historial de actualizaciones)
• Surface 3: (Historial de actualizaciones)
• Surface Pro modelo 1796 y Surface Pro con LTE avanzado modelo 1807- (Historial de actualizaciones)

Estas actualizaciones están disponibles para dispositivos que ejecutan Windows 10 Creators Update (compilación 15063) y versiones posteriores.

Más información

El sistema operativo Surface Hub, Windows 10 Team, ha implementado estrategias de defensa en profundidad. Por este motivo, creemos que los parches que usan estas vulnerabilidades se reducen significativamente en Surface Hub al ejecutar Windows 10 Team sistema operativo.  Para obtener más información, consulta el siguiente tema en el sitio web del Centro de profesionales de TI de Windows: Diferencias entre Surface Hub y Windows 10 Enterprise.  

El equipo de Surface se centra en garantizar que nuestros usuarios tengan una experiencia segura y confiable. Seguiremos supervisando y actualizando los dispositivos según sea necesario para solucionar estas vulnerabilidades y mantener los dispositivos confiables y seguros.

Referencias

Aviso de declinación de responsabilidades sobre la información de terceros

Proporcionamos información de contacto de otros proveedores para ayudarle a encontrar soporte técnico. Dicha información de contacto puede cambiar sin notificación previa. No garantizamos la precisión de esta información de contacto de terceros.