Resumen
Microsoft tiene conocimiento de una nueva vulnerabilidad de canal lateral de ejecución especulativa conocida como L1 Terminal Fault (L1TF) a la que se le ha asignado varios CVE, tal como se indica en la tabla siguiente. Esta vulnerabilidad afecta a los procesadores de Intel® Core® y de Intel® Xeon®. Para más información, consulte el aviso de Intel en: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html.
Microsoft no ha recibido ninguna información que indique que estas vulnerabilidades se han usado para atacar a clientes en este momento. Microsoft continúa trabajando estrechamente con asociados del sector, como fabricantes de chips, fabricantes de equipos originales de hardware y proveedores de aplicaciones, para proteger a los clientes. Para poder disfrutar de todas las protecciones disponibles, se requieren actualizaciones de firmware (microcódigo) y software. Esto incluye microcódigo de los OEM del dispositivo y, en algunos casos, actualizaciones del software antivirus.
Este asesoramiento aborda las siguientes vulnerabilidades:
|
CVE |
Nombre |
Aplicabilidad |
|---|---|---|
|
L1 Terminal Fault |
Intel® Software Guard Extensions (SGX) |
|
|
L1 Terminal Fault |
Sistema operativo (OS), Modo de administración del sistema (SMM) |
|
|
L1 Terminal Fault |
Virtual Machine Manager (VMM) |
Para más información sobre esta clase de vulnerabilidades, consulte ADV180018.
Información general
En las siguientes secciones se proporciona ayuda para identificar, mitigar y solucionar problemas en entornos de Azure Stack afectados por las vulnerabilidades que se describen en el Aviso de seguridad de Microsoft ADV180018.
Para solucionar estos problemas, Microsoft está trabajando en asociación con los proveedores del sector de hardware para desarrollar mitigaciones y ayuda.
Acciones recomendadas
Los clientes de Azure Stack deberían tomar las siguientes medidas para ayudar a proteger la infraestructura de Azure Stack contra las vulnerabilidades:
-
Aplique la actualización Azure Stack 1808. Consulte las notas de la versión de actualización Azure Stack 1808 para obtener instrucciones sobre cómo aplicar esta actualización al sistema Azure Stack integrado.
-
Instale las actualizaciones de firmware del proveedor OEM de Azure Stack. Consulte el sitio web del proveedor de OEM para descargar y aplicar las actualizaciones.
P+F
P1. ¿Cómo puedo saber si mi solución Azure Stack está afectada por esta clase de vulnerabilidades?
R1: Todos los sistemas Azure Stack integrados se ven afectados por la clase de vulnerabilidades que se describen en el Aviso de seguridad de Microsoft ADV180018.
P2. ¿Dónde se encuentra la actualización de Azure Stack para corregir esta clase de vulnerabilidades?
R2: Consulte las notas de la versión de actualización Azure Stack 1808 para obtener instrucciones sobre cómo descargar y aplicar esta actualización al sistema Azure Stack integrado. Para obtener más información sobre las actualizaciones de Microsoft Azure Stack, consulte http://aka.ms/azurestackupdate.
P3. ¿Dónde se encuentran las actualizaciones de firmware para mi sistema Azure Stack integrado?
R3: Las actualizaciones de firmware son específicas del OEM. Consulte el sitio web del proveedor de OEM para descargar y aplicar las actualizaciones.
P4. Mi sistema Azure Stack integrado no ejecuta la actualización más reciente (1807). ¿Qué debo hacer?
R4: Las actualizaciones de Azure Stack son secuenciales. Antes de poder aplicar la actualización de Azure Stack 1808, tendría que aplicar todas las actualizaciones anteriores.
P5: Ejecuto Azure Stack Development Kit (ASDK). ¿Este se ve afectado por esta clase de vulnerabilidades?
R5: Sí lo es. Recomendamos que implemente la versión más reciente de ASDK. Para obtener las actualizaciones de firmware, consulte el sitio web del proveedor de OEM para descargar y aplicar las actualizaciones.
P6. Necesito actualizar el sistema operativo de mis máquinas virtuales para aislar mis aplicaciones de otros inquilinos de Azure Stack?
R6: : Si bien una actualización del sistema operativo no necesita el aislamiento de las aplicaciones que se ejecutan en Azure Stack de otros inquilinos de Azure Stack, es una práctica recomendada para mantener el software actualizado. Los paquete acumulativos de seguridad más recientes para Windows contienen mitigaciones para varias vulnerabilidades de canal lateral de ejecución especulativa. De manera similar, las distribuciones de Linux han publicado varias actualizaciones para dirigirse a estas vulnerabilidades.
P7. Existe un impacto de rendimiento en relación con esta mitigación de vulnerabilidad de canal lateral?
R7: Tal como se describe en el Aviso de seguridad de Microsoft ADV180018, durante las pruebas, Microsoft observó algún impacto en el rendimiento con estas mitigaciones, en función de la configuración del sistema y las mitigaciones necesarias. La versión Azure Stack 1808 contiene toda las actualizaciones de configuración de software que Microsoft recomienda para mitigar los posibles impactos en el rendimiento. Si el rendimiento se ve afectado, reinicie las máquinas virtuales que se ejecutan por encima de Azure Stack. Para ser eficaz, el reinicio se debe realizar desde el portal de Azure Stack o a través de la CLI de Azure en Azure Stack.
