Acciones recomendadas

Los clientes deben tomar las siguientes medidas para ayudar a protegerse contra las vulnerabilidades:

  1. Aplique todas las actualizaciones disponibles del sistema operativo Windows, incluidas las actualizaciones de seguridad de Windows mensuales.

  2. Aplique la actualización del firmware (microcódigo) correspondiente que proporciona el fabricante del dispositivo.

  3. Evalúe el riesgo para el entorno en función de la información que se proporcionan en los avisos de seguridad de Microsoft: ADV180002, ADV180012 y ADV190013, así como información que se proporciona en este artículo de Knowledge Base.

  4. Adopte las medidas necesarias según los avisos y la información de la clave del Registro que se proporciona en este artículo de Knowledge Base.

Nota Los clientes de Surface recibirán una actualización de microcódigo a través de Windows Update. Para obtener una lista de las actualizaciones de firmware (microcódigo) de dispositivos Surface más recientes, consulte KB 4073065.

Configuración de mitigación para Windows Server

En los avisos de seguridad ADV180002, ADV180012 y ADV190013 se proporciona información sobre el riesgo que representan estas vulnerabilidades.  También pueden ayudarte a identificar dichas vulnerabilidades y a identificar el estado predeterminado de las mitigaciones para los sistemas Windows Server. En la siguiente tabla, se resumen los requisitos de microcódigo de la CPU y el estado predeterminado de las mitigaciones en Windows Server.

CVE

¿Se requiere microcódigo o firmware de la CPU?

Estado predeterminado de la mitigación

CVE-2017-5753

No

Habilitado de manera predeterminada (no existe la opción de deshabilitarlo).

Consulte ADV180002 para obtener información adicional

CVE-2017-5715

Deshabilitado de manera predeterminada.

Consulte ADV180002 para obtener información adicional y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.

Nota: "Retpoline" está habilitado de manera predeterminada en los dispositivos que ejecutan la versión 1809 de Windows 10 o una posterior, o si la variante 2 de Spectre (CVE-2017-5715) está habilitada. Para obtener más información sobre "Retpoline", consulte nuestra entrada de blog Mitigating Spectre variant 2 with Retpoline on Windows.

CVE-2017-5754

No

Windows Server 2019: habilitado de manera predeterminada.
Windows Server 2016 y versiones anteriores: deshabilitado de manera predeterminada.

Consulte ADV180002 para obtener información adicional

CVE-2018-3639

Intel: sí.

AMD: no.

Deshabilitado de manera predeterminada. Consulte ADV180012 para obtener más información y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.

CVE-2018-11091

Intel: sí.

Windows Server 2019: habilitado de manera predeterminada.
Windows Server 2016 y versiones anteriores: deshabilitado de manera predeterminada.

Consulte ADV190013 para obtener más información y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.

CVE-2018-12126

Intel: sí.

Windows Server 2019: habilitado de manera predeterminada.
Windows Server 2016 y versiones anteriores: deshabilitado de manera predeterminada.

Consulte ADV190013 para obtener más información y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.

CVE-2018-12127

Intel: sí.

Windows Server 2019: habilitado de manera predeterminada.
Windows Server 2016 y versiones anteriores: deshabilitado de manera predeterminada.

Consulte ADV190013 para obtener más información y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.

CVE-2018-12130

Intel: sí.

Windows Server 2019: habilitado de manera predeterminada.
Windows Server 2016 y versiones anteriores: deshabilitado de manera predeterminada.

Consulte ADV190013 para obtener más información y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.

CVE-2019-11135

Intel: sí.

Windows Server 2019: habilitado de manera predeterminada.
Windows Server 2016 y versiones anteriores: deshabilitado de manera predeterminada.

Consulte CVE-2019-11135 para obtener más información y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.

Los clientes que desean que todas las protecciones estén disponibles contra estas vulnerabilidades deben realizar cambios en la clave del Registro para habilitar estas mitigaciones deshabilitadas de manera predeterminada.

La habilitación de estas mitigaciones puede afectar al rendimiento. La escala de impactos en el rendimiento depende de varios factores, como el conjunto de chips del host físico y las cargas de trabajo que se ejecutan. Recomendamos que los clientes evalúen el impacto en el rendimiento de su entorno y realicen cualquier ajuste necesario.

Su servidor correrá un mayor riesgo si se encuentra en una de las siguientes categorías:

  • Hosts de Hyper-V: –se necesita protección contra ataques de máquina virtual a máquina virtual y de máquina virtual a host.

  • Hosts de servicios de escritorio remoto (RDSH): –se necesita protección contra ataques de una sesión a otra y de una sesión al host.

  • Hosts físicos o de las máquinas virtuales que ejecutan un código que no es de confianza, como contenedores o extensiones que no son de confianza para la base de datos, contenido web que no es de confianza o cargas de trabajo que ejecutan un código que proviene de orígenes externos: Se necesita protección contra ataques de un proceso que no es de confianza a otro proceso o de un proceso que no es de confianza al kernel.

Use la siguiente configuración de la clave del Registro para habilitar estas mitigaciones en el servidor y reinicie el sistema para aplicar los cambios.

Nota Habilitar las mitigaciones que están deshabilitadas de manera predeterminada puede afectar el rendimiento. El impacto real en el rendimiento depende de varios factores, como el conjunto de chips del dispositivo y las cargas de trabajo que se ejecutan.

Configuración del Registro

Proporcionamos la siguiente información de Registro para habilitar las mitigaciones que están deshabilitadas de manera predeterminada, como se muestra en los avisos de seguridad ADV180002, ADV180012 y ADV190013.

Además, ofrecemos una configuración de la clave del Registro para los usuarios que quieren deshabilitar las mitigaciones relacionadas con CVE-2017-5715 y CVE-2017-5754 para los clientes Windows.

Importante: En esta sección, método o tarea se incluyen pasos que le permitirán modificar el Registro. Sin embargo, se pueden producir problemas graves si modifica el Registro incorrectamente. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para mayor protección, realice una copia de seguridad del Registro antes de modificarlo. De esta manera podrá restaurar el Registro en caso de que se produzca un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

322756 Cómo hacer una copia de seguridad del Registro y restaurarlo en Windows

Administrar las mitigaciones para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)

Nota importante: "Retpoline" está habilitado de manera predeterminada en los servidores de Windows 10, versión 1809, si la variante 2 de Spectre (CVE-2017-5715) está habilitada. Habilitar Retpoline en la versión más reciente de Windows 10 puede mejorar el rendimiento en los servidores que ejecutan Windows 10, versión 1809 para la variante 2 de Spectre, sobre todo en procesadores antiguos.

Para habilitar mitigaciones para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Si se trata de un host de Hyper-V y se han aplicado las actualizaciones del firmware: apague por completo todas las máquinas virtuales. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician.

Reinicie el equipo para que los cambios surtan efecto.

Para deshabilitar mitigaciones para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.


Nota Establecer FeatureSettingsOverrideMask en 3 es preciso para la configuración de "habilitación" o "deshabilitación". (Consulte la sección "Preguntas frecuentes" para obtener más detalles sobre las claves del Registro).

Administrar las mitigaciones para CVE-2017-5715 (variante 2 de Spectre)

Para deshabilitar la variante 2: Mitigración (CVE-2017-5715  "Inyección de destino de bifurcación"):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Para habilitar la variante 2: Mitigación (CVE-2017-5715  "Inyección de destino de bifurcación"):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Solo procesadores AMD: habilitar la mitigación completa para CVE-2017-5715 (variante 2 de Spectre)

De manera predeterminada, la protección de usuario a kernel para CVE-2017-5715 está deshabilitada para las CPU AMD. Los clientes deben habilitar la mitigación para recibir protecciones adicionales para CVE-2017-5715.  Para más información, consulte las Preguntas frecuentes #15 en ADV180002.

Habilitar la protección de usuario a kernel en procesadores AMD junto con otras protecciones para CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Si se trata de un host de Hyper-V y se han aplicado las actualizaciones del firmware: apague por completo todas las máquinas virtuales. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician.

Reinicie el equipo para que los cambios surtan efecto.

Administrar mitigaciones para CVE-2018-3639 (derivación de almacenamiento especulativo), CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)

Para habilitar mitigaciones para CVE-2018-3639 (derivación de almacenamiento especulativo), CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Si se trata de un host de Hyper-V y se han aplicado las actualizaciones del firmware: apague por completo todas las máquinas virtuales. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician.

Reinicie el equipo para que los cambios surtan efecto.

Para deshabilitar mitigaciones para CVE-2018-3639 (derivación de almacenamiento especulativo) y mitigaciones para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Solo procesadores AMD: Habilitar la mitigación completa para CVE-2017-5715 (variante 2 de Spectre) y CVE 2018-3639 (derivación de almacenamiento especulativo)

De manera predeterminada, la protección de usuario a kernel para CVE-2017-5715 está deshabilitada para los procesadores AMD. Los clientes deben habilitar la mitigación para recibir protecciones adicionales para CVE-2017-5715.  Para más información, consulte las Preguntas frecuentes #15 en ADV180002.

Habilitar la protección de usuario a kernel en procesadores AMD junto con otras protecciones para CVE 2017-5715 y protecciones para CVE-2018-3639 (derivación de almacenamiento especulativo):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Si se trata de un host de Hyper-V y se han aplicado las actualizaciones del firmware: apague por completo todas las máquinas virtuales. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician.

Reinicie el equipo para que los cambios surtan efecto.

Administre la vulnerabilidad Anulación asincrónica de transacciones de Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) y el muestreo de datos de microarquitectura (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) junto con las variantes de Spectre (CVE-2017-5753 y CVE-2017-5715) y Meltdown (CVE-2017-5754), incluida la deshabilitación de la derivación de almacenamiento especulativo (SSBD) (CVE-2018-3639) así como L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646)

Para habilitar las mitigaciones de la vulnerabilidad Anulación asincrónica de transacciones de Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) y el muestreo de datos de microarquitectura ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) junto con las variantes de Spectre (CVE-2017-5753 y CVE-2017-5715) y Meltdown (CVE-2017-5754), incluida la deshabilitación de la derivación de almacenamiento especulativo (SSBD) (CVE-2018-3639) así como L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646) sin deshabilitar Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Si se trata de un host de Hyper-V y se han aplicado las actualizaciones del firmware: apague por completo todas las máquinas virtuales. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician.

Reinicie el equipo para que los cambios surtan efecto.

Para habilitar las mitigaciones de la vulnerabilidad Anulación asincrónica de transacciones de Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) y el muestreo de datos de microarquitectura ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) junto con las variantes de Spectre (CVE-2017-5753 y CVE-2017-5715) y Meltdown (CVE-2017-5754), incluida la deshabilitación de la derivación de almacenamiento especulativo (SSBD) (CVE-2018-3639) así como L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646) con Hyper-Threading deshabilitado:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Si se trata de un host de Hyper-V y se han aplicado las actualizaciones del firmware: apague por completo todas las máquinas virtuales. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician.

Reinicie el equipo para que los cambios surtan efecto.

Para deshabilitar las mitigaciones de la vulnerabilidad Anulación asincrónica de transacciones de Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) y el muestreo de datos de microarquitectura ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) junto con las variantes de Spectre (CVE-2017-5753 y CVE-2017-5715) y Meltdown (CVE-2017-5754), incluida la deshabilitación de la derivación de almacenamiento especulativo (SSBD) (CVE-2018-3639) así como L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Verificar si las protecciones están habilitadas

Para confirmar si las protecciones están habilitadas, Microsoft publicó un script de PowerShell que los clientes pueden ejecutar en sus sistemas. Instale y ejecute el script mediante la ejecución de los siguientes comandos.

Verificación de PowerShell mediante la Galería de PowerShell (Windows Server 2016 o WMF 5.0/5.1)

Instale el módulo de PowerShell:

PS> Install-Module SpeculationControl

Ejecute el módulo de PowerShell para verificar si las  protecciones están habilitadas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Verificación de PowerShell mediante una descarga de Technet (versiones anteriores de sistemas operativos y de WMF)

Instale el módulo PowerShell desde Technet ScriptCenter:

  1. Diríjase a https://aka.ms/SpeculationControlPS.

  2. Descargue SpeculationControl.zip en una carpeta local.

  3. Extraiga el contenido en una carpeta local. Por ejemplo: C:\ADV180002

Ejecute el módulo de PowerShell para verificar si las protecciones están habilitadas:

Inicie PowerShell y, luego, utilice el ejemplo anterior para copiar y ejecutar los siguientes comandos:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Para obtener una explicación detallada de la salida del script de PowerShell, consulte el artículo 4074629 de Knowledge Base

Preguntas más frecuentes

A fin de evitar que los dispositivos de los clientes se vean afectados negativamente, las actualizaciones de seguridad de Windows que se publicaron en enero y febrero de  2018  no se ofrecieron a todos los clientes. Para obtener información detallada, consulte el artículo 4072699 de Microsoft Knowledge Base.

El microcódigo se obtiene a través de una actualización de firmware. Póngase en contacto con su OEM para que le informe qué  versión de firmware tiene la actualización adecuada para su equipo.

Existen múltiples variables que afectan el rendimiento, desde la versión del sistema hasta las cargas de trabajo que se ejecutan. En  algunos sistemas, el impacto en el rendimiento será insignificante. En  otros, será considerable.

Se recomienda que evalúe el impacto en el rendimiento de sus sistemas y que realice los ajustes necesarios.

Además de las instrucciones que aparecen en este artículo con respecto a las máquinas virtuales, debe ponerse en contacto con su proveedor de servicios para asegurarse de que los hosts que ejecutan sus máquinas virtuales están adecuadamente protegidos.

Para las máquinas virtuales de Windows Server que se ejecutan en Azure, consulte Guía para mitigar las vulnerabilidades del canal lateral de ejecución especulativa en Azure. Para obtener instrucciones sobre el uso de Azure Update Management para mitigar este problema en las máquinas virtuales invitadas, consulte el artículo 4077467 de Microsoft Knowledge Base.

Las actualizaciones que se publicaron para las imágenes del contenedor de Windows Server para Windows Server 2016 y Windows 10, versión 1709, incluyen mitigaciones para este conjunto de vulnerabilidades. No se precisa ninguna configuración adicional.

Nota Aún debe asegurarse de que el host en el que se ejecutan estos contenedores se configure mediante las mitigaciones adecuadas.

No, el orden de instalación es indiferente.

Sí, debe reiniciar la máquina después la actualización del firmware (microcódigo) y nuevamente después de la actualización del sistema.

Estos son los detalles sobre las claves del Registro:

FeatureSettingsOverride representa un mapa de bits que anula la configuración predeterminada y controla las mitigaciones que se deshabilitarán. El bit 0 controla la mitigación adecuada para CVE-2017-5715. El bit 1 controla la mitigación adecuada para CVE-2017-5754. Los bits se establecen en 0 para habilitar la mitigación y en 1 para deshabilitarla.

FeatureSettingsOverrideMask representa una máscara de mapa de bits que se usa junto con FeatureSettingsOverride.    En esta situación, usamos el valor 3 (que se representa como 11 en el sistema numeral binario o sistema numeral de base 2) para indicar los primeros dos bits adecuados para las mitigaciones disponibles. Esta clave del Registro se establece en 3, tanto  para habilitar las mitigaciones como para deshabilitarlas.

MinVmVersionForCpuBasedMitigations es para los hosts de Hyper-V. Esta clave del Registro define la versión de máquina virtual mínima que se requiere para que usted use las capacidades del firmware actualizado (CVE-2017-5715). Esta clave se establece en 1.0 para cubrir todas las versiones de máquina virtual. Tenga en cuenta que este valor del registro se ignorará (benigno) en los hosts que no son de Hyper-V. Para obtener más detalles, consulte Protección de máquinas virtuales invitadas de CVE-2017-5715 (inserción de destino de rama).

Sí. No  hay efectos secundarios si estos valores del registro se aplican antes de instalar las correcciones relacionadas con enero de 2018.

Encontrará una descripción detallada de la salida del script en Información sobre la salida del script de PowerShell Get-SpeculationControlSettings.

Sí. En el caso de los hosts de Hyper-V de Windows Server 2016 para los que la actualización del firmware aún no está disponible, hemos publicado instrucciones alternativas que pueden ayudar a mitigar los ataques de máquina virtual a máquina virtual o de máquina virtual al host. Consulte Protección alternativa para hosts de Hyper-V de Windows Server 2016 contra vulnerabilidades del canal lateral de ejecución especulativa.

Las actualizaciones de solo seguridad no son acumulativas. En función de la versión de su sistema operativo, es posible que deba instalar varias actualizaciones de seguridad para contar con protección completa. En general, los clientes deberán instalar las actualizaciones de enero, febrero, marzo y abril de  2018 . Los sistemas que cuentan con procesadores AMD necesitan una actualización adicional, tal como se muestra en la siguiente tabla:

Versión de sistema operativo

Actualización de seguridad

Windows 8.1, Windows Server 2012 R2

4338815: paquete acumulativo mensual

4338824: solo seguridad

Windows 7 SP1, Windows Server 2008 R2 SP1 o Windows Server 2008 R2 SP1 (instalación de Server Core)

4284826: paquete acumulativo mensual

4284867: solo seguridad

Windows Server 2008 SP2

4340583: actualización de seguridad

Se recomienda  instalar  las  actualizaciones de Solo seguridad según el orden de lanzamiento.

Nota  Una versión anterior de estas preguntas frecuentes indicaba de forma incorrecta que la actualización de solo seguridad de febrero incluía las correcciones de seguridad publicadas en enero. De hecho, no lo hace.

No. La actualización de seguridad 4078130 de Knowledge Base era una corrección específica para evitar comportamientos inesperados del sistema, problemas de rendimiento y  reinicios imprevistos  después de la instalación del microcódigo. La aplicación de las actualizaciones de seguridad de febrero en los sistemas operativos cliente de Windows habilita las tres mitigaciones. En los sistemas operativos de Windows Server, aún debe habilitar las mitigaciones después de realizar las pruebas adecuadas. Para obtener más información, consulte el artículo 4072698 de Microsoft Knowledge Base.

Este problema se resuelve en KB 4093118.

En febrero de 2018, Intel anunció que había completado las validaciones y comenzó a distribuir el microcódigo para nuevas plataformas de CPU. Microsoft pondrá a disposición de sus usuarios las actualizaciones de microcódigo de la variante 2 de Spectre (CVE-2017-5715 “Inserción de destino de bifurcación”) que haya validado Intel. KB 4093836 enumera una serie específica de artículos de Knowledge Base según cada versión de Windows. Cada artículo específico de KB contiene las actualizaciones disponibles de microcódigo de Intel según la CPU.

11 de enero de 2018: Intel ha notificado problemas en el microcódigo publicado recientemente que estaba destinado a mitigar la variante 2 de Spectre (CVE-2017-5715 – "Inserción de destino de bifurcación"). Específicamente, Intel señaló que este microcódigo puede provocar “reinicios inesperados con mayor frecuencia y otro comportamiento inesperado del sistema”, y observó que esto puede provocar la “pérdida o el daño de datos ” Según nuestra experiencia, la inestabilidad del sistema puede provocar la pérdida o el daño de datos en algunas circunstancias. El 22 de enero, Intel recomendó que los clientes dejen de implementar la versión actual del microcódigo en los procesadores afectados mientras Intel realiza pruebas adicionales en la solución actualizada. Entendemos que Intel continúa investigando el potencial efecto de la versión actual del microcódigo. Recomendamos  a los clientes que revisen sus instrucciones constantemente para informar sus decisiones.

Mientras Intel prueba, actualiza e implementa el nuevo microcódigo, ponemos a disposición de nuestros clientes una actualización fuera de la banda (OOB), KB 4078130, que deshabilita específicamente la mitigación contra CVE-2017-5715. Durante las pruebas, se ha observado que esta actualización evita el comportamiento descrito. Para ver una lista completa de los dispositivos, consulte las instrucciones de revisión de microcódigo de Intel. Esta actualización abarca Windows 7 Service Pack 1 (SP1), Windows 8.1 y todas las versiones de Windows 10, tanto para clientes como para servidores. Si ejecuta un dispositivo afectado, esta actualización se puede aplicar descargándola del sitio web del Catálogo de Microsoft Update. La aplicación de esta carga útil deshabilita específicamente solo la mitigación contra CVE-2017-5715.

Hasta ahora, no se ha recibido ninguna notificación que indique que esta variante 2 de Spectre (CVE-2017-5715 – “Inserción de destino de rama”) se haya usado para atacar a los clientes. Recomendamos a los usuarios de Windows que, cuando sea adecuado, vuelvan a habilitar la mitigación contra CVE-2017-5715 cuando Intel notifique que este comportamiento imprevisible del sistema se haya resuelto para su dispositivo.

En febrero de 2018, Intel anunció que ha completado las validaciones y comenzó a distribuir el microcódigo para nuevas plataformas de CPU. Microsoft pondrá a disposición de sus usuarios las actualizaciones de microcódigo pertinentes de la variante 2 de Spectre (CVE-2017-5715 – “Inserción de destino de rama”) que ha validado Intel. KB 4093836 enumera una serie específica de artículos de Knowledge Base según cada versión de Windows. Los artículos de KB mencionan las actualizaciones disponibles de microcódigo de Intel según la CPU.

Para obtener más información, consulte las Actualizaciones de seguridad de los procesadores AMD y AMD Whitepaper: Guía de arquitectura de Indirect Branch Control. Está disponible en el canal de firmware de OEM.

Microsoft pondrá a disposición de sus usuarios las actualizaciones de microcódigo de la variante 2 de Spectre (CVE-2017-5715 – “Inserción de destino de bifurcación" ) que haya validado Intel. Para obtener las actualizaciones más recientes de microcódigo de Intel a través de  Windows Update, los clientes deben haber instalado un microcódigo de Intel en dispositivos que ejecutan un sistema operativo de Windows 10 antes actualizarlo a la versión de abril de 2018 de Windows 10 (versión 1803).

La actualización del microcódigo también está disponible directamente desde el Catálogo de Microsoft Update si no se instaló en el dispositivo antes de actualizar el sistema. El microcódigo de Intel está disponible a través de Windows Update, de Windows Server Update Services (WSUS), o del Catálogo de Microsoft Update. Para obtener más información e instrucciones de descarga, consulte KB 4100347.

Consulte las secciones "Acciones recomendadas" y "Preguntas frecuentes" de  ADV180012 | Microsoft Guidance for Speculative Store Bypass.

Para comprobar el estado de SSBD, se actualizó el script de PowerShell Get-SpeculationControlSettings para detectar los procesadores afectados, el estado de las actualizaciones del sistema operativo para SSBD y el estado del microcódigo del procesador, si corresponde. Para obtener más información y el script de PowerShell, consulte KB 4074629.

El 13 de junio de 2018, se anunció una nueva vulnerabilidad que implica la ejecución especulativa de canal lateral conocida como Lazy FP State Restore y a la que se asignó CVE-2018-3665. Para obtener información sobre esta vulnerabilidad y las acciones recomendadas, consulte el aviso de seguridad ADV180016 | Microsoft Guidance for Lazy FP State Restore.

Nota No se necesitan opciones de configuración (registro) para Lazy Restore FP Restore.

Bounds Check Bypass Store (BCBS) se divulgó el 10 de julio de 2018 y se le asignó CVE-2018-3693. Consideramos que BCBS pertenece a la misma clase de vulnerabilidades que Bounds Check Bypass (variante 1). Actualmente no estamos al tanto de ninguna instancia de BCBS en nuestro software. Sin embargo, seguimos investigando esta clase de vulnerabilidades y trabajaremos con los partners del sector para publicar mitigaciones según sea necesario. Animamos a los investigadores a que envíen las conclusiones pertinentes al Programa de recompensa del canal lateral de ejecución especulativa de Microsoft, incluso toda instancia aprovechable de BCBS. Los desarrolladores de software deben revisar las instrucciones para desarrolladores que se han actualizado para BCBS en Instrucciones para desarrolladores de C++ sobre canales laterales de ejecución especulativa.

El 14 de agosto de 2018, se anunció la vulnerabilidad L1 Terminal Fault (L1TF) y se le asignaron múltiples CVE. Estas nuevas vulnerabilidades de canal lateral de ejecución especulativa pueden utilizarse para leer el contenido de la memoria a través de un límite de confianza y, si se atacan, pueden provocar que se divulgue información. Existen múltiples vectores por medio de los cuales un atacante podría activar las vulnerabilidades, según el entorno configurado. L1TF afecta a los procesadores de Intel® Core® e Intel® Xeon®.

Para obtener más información sobre esta vulnerabilidad y una vista detallada de los escenarios afectados, incluido el enfoque de Microsoft para mitigar L1TF, consulte los siguientes recursos:

Si bien los pasos necesarios para deshabilitar Hyper-Threading son diferentes según el OEM, en general, son parte de la configuración del BIOS o firmware y de las herramientas de configuración.

Los clientes que usan procesadores ARM de 64 bits deben ponerse en contacto con el OEM del dispositivo para obtener soporte técnico de firmware, ya que las protecciones del sistema operativo de ARM64 que mitigan CVE-2017-5715 - Inserción de destino de rama (variante 2 de Spectre) requieren la última actualización de firmware de los OEM del dispositivo para surtir efecto.

Para obtener más información al respecto, consulte los avisos de seguridad siguientes:

Para obtener más información sobre la habilitación de Retpoline, consulte nuestra entrada de blog: Mitigating Spectre variant 2 with Retpoline on Windows.

Para obtener más detalles sobre esta vulnerabilidad, consulte la Guía de actualizaciones de seguridad de Microsoft: CVE-2019-1125 | Vulnerabilidad de divulgación de información de Windows Kernel.

No tenemos conocimientos de instancias en las que esta vulnerabilidad de divulgación de información haya afectado a nuestra infraestructura de servicios en la nube.

Tan pronto conocimos el problema, trabajamos rápidamente para solucionarlo y publicar una actualización. Creemos firmemente en establecer asociaciones estrechas con investigadores y partners del sector para la protección de nuestros clientes y no publicamos detalles hasta el martes, 6 de agosto, de acuerdo con las prácticas de divulgación de vulnerabilidades coordinadas.

Referencias

Declinación de responsabilidades sobre la información de terceros

Los productos de empresas de terceros que se describen en este artículo los fabrican otras compañías independientes de Microsoft. Microsoft no ofrece ninguna garantía, ya sea implícita o de otro tipo, sobre la confiabilidad o el rendimiento de dichos productos.

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¿Cómo de satisfecho está con la calidad de la traducción?

¿Qué ha afectado a tu experiencia?

¿Algún comentario adicional? (Opcional)

¡Gracias por sus comentarios!

×