Guía del cliente Windows para profesionales de TI para protegerse contra vulnerabilidades del canal lateral de ejecución especulativa

Acciones recomendadas

Los clientes deben tomar las siguientes medidas para ayudar a protegerse contra las vulnerabilidades:

  1. Aplique todas las actualizaciones disponibles del sistema operativo Windows, incluidas las actualizaciones de seguridad de Windows mensuales.

  2. Aplique la actualización del firmware (microcódigo) correspondiente que proporciona el fabricante del dispositivo.

  3. Evalúe el riesgo para el entorno en función de la información que se proporcionan en los avisos de seguridad de Microsoft: ADV180002, ADV180012 y ADV190013, así como en este artículo de Knowledge Base.

  4. Adopte las medidas necesarias según los avisos y la información de la clave del Registro que se proporciona en este artículo de Knowledge Base.

Nota Los clientes de Surface recibirán una actualización de microcódigo a través de Windows Update. Para obtener una lista de las actualizaciones de firmware (microcódigo) más recientes para los dispositivos Surface, consulte KB 4073065.

Configuración de mitigación para clientes Windows

En los avisos de seguridad ADV180002ADV180012 y ADV190013, se proporciona información sobre el riesgo que representan estas vulnerabilidades. Asimismo, le ayudan a identificar el estado predeterminado de las mitigaciones para los sistemas cliente Windows. En la siguiente tabla, se resumen los requisitos de microcódigo de la CPU y el estado predeterminado de las mitigaciones en el cliente Windows.

CVE

¿Se requiere microcódigo o firmware de la CPU?

Estado predeterminado de la mitigación

CVE-2017-5753

No

Habilitado de manera predeterminada (no existe la opción de deshabilitarlo).

Consulte ADV180002 para obtener información adicional

CVE-2017-5715

Habilitado de manera predeterminada. Los usuarios de sistemas basados en procesadores AMD deben consultar la P+F 15  y los usuarios de procesadores ARM deben consultar la P+F 20 en ADV180002 para ver las acciones adicionales y leer este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.

Nota: "Retpoline" está habilitado de manera predeterminada en los dispositivos que ejecutan la versión 1809 de Windows 10 o una posterior o si la variante 2 de Spectre (CVE-2017-5715) está habilitada. Para obtener más información sobre “Retpoline”, consulte nuestra guía en la entrada de blogMitigating Spectre variant 2 with Retpoline on Windows (Mitigación de la variante 2 de Spectre con Retpoline en Windows).

CVE-2017-5754

No

Habilitado de manera predeterminada.

Consulte ADV180002 para obtener información adicional

CVE-2018-3639

Intel: sí.
AMD: no.
ARM: sí.

Intel y AMD: Deshabilitado de manera predeterminada. Consulte ADV180012 para obtener más información y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.

ARM: habilitado de manera predeterminada (no existe la opción de deshabilitarlo).

CVE-2018-11091

Intel: sí.

Habilitado de manera predeterminada.

Consulte ADV190013 para obtener más información y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.

CVE-2018-12126

Intel: sí.

Habilitado de manera predeterminada.

Consulte ADV190013 para obtener más información y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.

CVE-2018-12127

Intel: sí.

Habilitado de manera predeterminada.

Consulte ADV190013 para obtener más información y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.

CVE-2018-12130

Intel: sí.

Habilitado de manera predeterminada.

Consulte ADV190013 para obtener más información y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.

CVE-2019-11135

Intel: sí.

Habilitado de manera predeterminada.

Consulte CVE-2019-11135 para obtener más información y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.


Nota Habilitar las mitigaciones que están deshabilitadas de manera predeterminada puede afectar el rendimiento. El impacto real en el rendimiento depende de varios factores, como el conjunto de chips del dispositivo y las cargas de trabajo que se ejecutan.

Configuración del Registro

Proporcionamos la siguiente información de registro para habilitar las mitigaciones que están deshabilitadas de manera predeterminada, como se muestra en los avisos de seguridad ADV180002 y ADV180012. Además, ofrecemos una configuración de la clave del Registro para los usuarios que quieren deshabilitar las mitigaciones relacionadas con CVE-2017-5715 y CVE-2017-5754 para los clientes Windows.

Importante: En esta sección, método o tarea se incluyen pasos que le permitirán modificar el Registro. Sin embargo, la modificación incorrecta del Registro puede producir graves problemas. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para mayor protección, realice una copia de seguridad del Registro antes de modificarlo. De esta manera podrá restaurar el Registro en caso de que se produzca un problema. Para obtener más información sobre cómo realizar una copia de seguridad y restaurar el Registro, consulte el artículo siguiente en Microsoft Knowledge Base:

322756 Cómo hacer una copia de seguridad del Registro y restaurarlo en Windows

Administrar las mitigaciones para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)

Nota importante: "Retpoline" está habilitado de manera predeterminada en Windows 10, versión 1809, si la variante 2 de Spectre (CVE-2017-5715) está habilitada. Habilitar Retpoline en la versión más reciente de Windows 10 puede mejorar el rendimiento en los dispositivos que ejecutan Windows 10, versión 1809 para la variante 2 de Spectre, sobre todo en procesadores antiguos.

Para habilitar mitigaciones predeterminadas para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Para deshabilitar mitigaciones para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Nota: Un valor de 3 es preciso para FeatureSettingsOverrideMask para la configuración de "habilitación" y "deshabilitación". (Consulte la sección "Preguntas frecuentes" para obtener más detalles sobre las claves del Registro).

Administrar la mitigación para CVE-2017-5715 (variante 2 de Spectre)

Para deshabilitar las mitigaciones para  CVE-2017-5715 (variante  2 de Spectre) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Para habilitar las mitigaciones predeterminadas para  CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Solo procesadores AMD y ARM: habilitar la mitigación completa para CVE-2017-5715 (variante 2 de Spectre)

De manera predeterminada, la protección de usuario a kernel para CVE-2017-5715 está deshabilitada para las CPU AMD y ARM. Los clientes deben habilitar la mitigación para recibir protecciones adicionales para CVE-2017-5715. Para obtener más información, consulte Preguntas frecuentes #15 en ADV180002 para procesadores AMD y Preguntas frecuentes #20 en ADV180002 para procesadores ARM.

Habilitar la protección de usuario a kernel en procesadores AMD y ARM junto con otras protecciones para CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Administrar mitigaciones para CVE-2018-3639 (derivación de almacenamiento especulativo), CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)

Para habilitar mitigaciones para CVE-2018-3639 (derivación de almacenamiento especulativo), mitigaciones predeterminadas para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Nota: Los procesadores AMD no son vulnerables a CVE-2017-5754 (Meltdown). Esta clave del Registro se usa en sistemas con procesadores AMD para habilitar las mitigaciones predeterminadas para CVE-2017-5715 en procesadores AMD y la mitigación para CVE-2018-3639.

Para deshabilitar las mitigaciones para CVE-2018-3639 (derivación de almacenamiento especulativo) *y* las mitigaciones para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Solo procesadores AMD: Habilitar la mitigación completa para CVE-2017-5715 (variante 2 de Spectre) y CVE 2018-3639 (derivación de almacenamiento especulativo)

De manera predeterminada, la protección de usuario a kernel para CVE-2017-5715 está deshabilitada para los procesadores AMD. Los clientes deben habilitar la mitigación para recibir protecciones adicionales para CVE-2017-5715.  Para más información, consulte la P+F 15 en ADV180002.

Habilitar la protección de usuario a kernel en procesadores AMD junto con otras protecciones para CVE 2017-5715 y protecciones para CVE-2018-3639 (derivación de almacenamiento especulativo):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Administre la vulnerabilidad Anulación asincrónica de transacciones de Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) y el muestreo de datos de microarquitectura (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) junto con las variantes de Spectre (CVE-2017-5753 y CVE-2017-5715) y Meltdown (CVE-2017-5754), incluida la deshabilitación de la derivación de almacenamiento especulativo (SSBD) (CVE-2018-3639) así como L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646)

Para habilitar las mitigaciones de la vulnerabilidad Anulación asincrónica de transacciones de Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) y el muestreo de datos de microarquitectura ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) junto con las variantes de Spectre (CVE-2017-5753 y CVE-2017-5715) y Meltdown (CVE-2017-5754), incluida la deshabilitación de la derivación de almacenamiento especulativo (SSBD) (CVE-2018-3639) así como L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646) sin deshabilitar Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Si se trata de un host de Hyper-V y se han aplicado las actualizaciones del firmware: apague por completo todas las máquinas virtuales. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician.

Reinicie el equipo para que los cambios surtan efecto.

Para habilitar las mitigaciones de la vulnerabilidad Anulación asincrónica de transacciones de Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) y el muestreo de datos de microarquitectura ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) junto con las variantes de Spectre (CVE-2017-5753 y CVE-2017-5715) y Meltdown (CVE-2017-5754), incluida la deshabilitación de la derivación de almacenamiento especulativo (SSBD) (CVE-2018-3639) así como L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646) con Hyper-Threading deshabilitado:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

 

Si se trata de un host de Hyper-V y se han aplicado las actualizaciones del firmware: apague por completo todas las máquinas virtuales. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician.

Reinicie el equipo para que los cambios surtan efecto.

Para deshabilitar las mitigaciones de la vulnerabilidad Anulación asincrónica de transacciones de Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) y el muestreo de datos de microarquitectura ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) junto con las variantes de Spectre (CVE-2017-5753 y CVE-2017-5715) y Meltdown (CVE-2017-5754), incluida la deshabilitación de la derivación de almacenamiento especulativo (SSBD) (CVE-2018-3639) así como L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Verificar si las protecciones están habilitadas

Hemos publicado un script de PowerShell que los clientes pueden ejecutar en sus sistemas para verificar que las protecciones estén habilitadas. Instale y ejecute el script mediante la ejecución de los siguientes comandos.

Verificación de PowerShell mediante la Galería de PowerShell (Windows Server 2016 o WMF 5.0/5.1)

Instale el módulo de PowerShell:

PS> Install-Module SpeculationControl

Ejecute el módulo de PowerShell para verificar si las protecciones están habilitadas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

 

Verificación de PowerShell mediante una descarga de Technet (versiones anteriores de sistemas operativos y de WMF)

Instale el módulo PowerShell desde Technet ScriptCenter:

Vaya a https://aka.ms/SpeculationControlPS

Descargue SpeculationControl.zip en una carpeta local.

Extraiga el contenido en una carpeta local, por ejemplo, C:\ADV180002.

Ejecute el módulo de PowerShell para verificar si las protecciones están habilitadas:

Inicie PowerShell y, a continuación (usando el ejemplo anterior) copie y ejecute los comandos siguientes:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Para obtener una explicación detallada de la salida del script de PowerShell, consulte el artículo 4074629 de Knowledge Base.

Preguntas más frecuentes

El microcódigo se obtiene a través de una actualización de firmware. Los clientes deben comprobar con los fabricantes de la CPU (conjunto de chips) y los dispositivos si existe alguna actualización de seguridad de firmware que se pueda aplicar a un dispositivo en particular; también se recomienda comprobar las instrucciones de revisión de microcódigo de Intel.

Abordar una vulnerabilidad de hardware a través de una actualización de software presenta grandes desafíos. Además, las mitigaciones para los sistemas operativos más antiguos requieren cambios arquitectónicos de gran alcance. Estamos trabajando con los fabricantes de los chips afectados para determinar la mejor manera de proporcionar mitigaciones, que es posible que se publiquen en actualizaciones futuras.

Las actualizaciones de los dispositivos Microsoft Surface se proporcionarán a los clientes a través de Windows Update junto con las actualizaciones del sistema operativo Windows. Para obtener una lista de las actualizaciones de firmware (microcódigo) de dispositivos Surface, consulte KB 4073065.

Si el dispositivo no es de Microsoft, aplique el firmware del fabricante del dispositivo. Para obtener más información, póngase en contacto con el fabricante de dispositivos OEM.

En febrero y marzo de 2018, Microsoft lanzó protección adicional para algunos sistemas basados en x86. Para obtener más información, consulte KB 4073757 y Aviso de seguridad de Microsoft ADV180002.

Las actualizaciones de Windows 10 para HoloLens están disponibles para los clientes de HoloLens a través de Windows Update.

Después  de aplicar la actualización de seguridad de febrero de 2018 de Windows, los clientes de HoloLens no deben  realizar ninguna acción adicional para actualizar el firmware de sus dispositivos. Estas mitigaciones también se incluirán en las próximas versiones de Windows 10 para HoloLens.

No. Las actualizaciones de solo seguridad no son acumulativas. En función de la versión de sistema operativo que ejecute, debe instalar todas las actualizaciones de solo seguridad  mensuales para protegerse contra estas vulnerabilidades. Por ejemplo, si ejecuta Windows 7 para sistemas de 32 bits en una CPU Intel afectada, debe  instalar todas las  actualizaciones de solo seguridad. Se recomienda instalar estas actualizaciones de solo seguridad según el orden de lanzamiento.

Nota: Una versión anterior de estas Preguntas frecuentes indicaba de forma incorrecta que la actualización de solo seguridad de febrero incluía las correcciones de seguridad publicadas en enero. De hecho, no lo hace.

No. La actualización de seguridad 4078130 era una corrección específica para evitar comportamientos inesperados del sistema, problemas de desempeño o rearranques inesperados después de la instalación del microcódigo. La aplicación de las actualizaciones de seguridad de febrero en los sistemas operativos cliente de Windows habilita las tres mitigaciones.

Intel anunció recientemente que ha completado las validaciones y ha comenzado a distribuir el microcódigo para nuevas plataformas de CPU. Microsoft pondrá a disposición de sus usuarios las actualizaciones de microcódigo de la variante 2 de Spectre (CVE-2017-5715 "inserción de destino de bifurcación") que haya validado Intel. KB 4093836 enumera una serie específica de artículos de Knowledge Base según cada versión de Windows. Cada artículo de KB contiene las actualizaciones disponibles de microcódigo de Intel según la CPU.

Este problema se resuelve en KB 4093118.

AMD anunció recientemente que ha comenzado a distribuir el microcódigo para nuevas plataformas de CPU de la variante 2 de Spectre (CVE-2017-5715 "Inserción de destino de bifurcación"). Para obtener más información, consulte las Actualizaciones de seguridad de los procesadores AMD y AMD Whitepaper: Guía de arquitectura de Indirect Branch Control. Está disponible en el canal de firmware de OEM.

Microsoft pondrá a disposición de sus usuarios las actualizaciones de microcódigo de la variante 2 de Spectre (CVE-2017-5715 “Inserción de destino de bifurcación") que haya validado Intel. Para obtener las actualizaciones más recientes de microcódigo de Intel a través de  Windows Update, los clientes deben haber instalado un microcódigo de Intel en dispositivos que ejecutan un sistema operativo de Windows 10 antes actualizarlo a la versión de abril de 2018 de Windows 10 (versión 1803).

La actualización de microcódigo también está disponible directamente desde el Catálogo si no se instaló en el dispositivo antes de actualizar el SO. El microcódigo de Intel está disponible a través de  Windows Update, de WSUS o del sitio web del Catálogo de Microsoft Update. Para obtener más información e instrucciones de descarga, consulte KB 4100347.

Para obtener detalles, consulte las secciones “Acciones recomendadas” y “P+F” de ADV180012 | Asistencia de Microsoft para la derivación de almacenamiento especulativo.

Para comprobar el estado de SSBD, el script de PowerShell Get-SpeculationControlSettings se actualizó para detectar los procesadores afectados, el estado de las actualizaciones del sistema operativo para SSBD y el estado del microcódigo del procesador, si procede. Para obtener más información y el script de PowerShell, consulte KB 4074629.

El 13 de junio de 2018, se anunció una nueva vulnerabilidad relacionada con la ejecución especulativa del canal lateral conocida como Lazy FP State Restore a la que se asignó CVE-2018-3665. No se requiere configurar ninguna opción del Registro para Lazy Restore FP Restore.

Para más información sobre esta vulnerabilidad y conocer las acciones recomendadas, consulte el aviso de seguridad ADV180016 | Microsoft Guidance for Lazy FP State Restore.

Nota No se requiere configurar ninguna opción del Registro para Lazy Restore FP Restore.

Bounds Check Bypass Store (BCBS) se divulgó el 10 de julio de 2018 y se le asignó CVE-2018-3693. Consideramos que BCBS pertenece a la misma clase de vulnerabilidades que Bounds Check Bypass (variante 1). Actualmente, no conocemos de instancias de BCBS en nuestro software, pero seguimos investigando esta clase de vulnerabilidades y trabajaremos con los partners del sector para publicar mitigaciones según sea necesario. Seguimos animando a los investigadores a que envíen las conclusiones pertinentes al programa de recompensa de canal lateral de ejecución especulativa de Microsoft, incluso toda instancia aprovechable de BCBS. Los desarrolladores de software deben consultar la ayuda para desarrolladores que se haya actualizado para BCBS en https://aka.ms/sescdevguide.

El 14 de agosto de 2018, se anunció la vulnerabilidad  L1 Terminal Fault (L1TF) y se le asignaron múltiples CVE. Estas nuevas vulnerabilidades de canal lateral de ejecución especulativa pueden utilizarse para leer el contenido de la memoria a través de un límite de confianza y, si se explotan, pueden provocar que se divulgue información. Un atacante podría desencadenar vulnerabilidades a través de varios vectores en función del entorno configurado. L1TF afecta a los procesadores de Intel® Core® e Intel® Xeon®.

Para obtener más información sobre esta vulnerabilidad y una vista detallada de los escenarios afectados, incluido el enfoque de Microsoft para mitigar L1TF,  consulte los siguientes recursos:

Los clientes que usan procesadores ARM de 64 bits deben comprobar con el OEM del dispositivo si tienen soporte técnico de firmware, ya que las protecciones del sistema operativo de ARM64 que mitigan la CVE-2017-5715 - inserción de destino de bifurcación (variante 2 de Spectre) requieren la última actualización de firmware de los OEM del dispositivo para surtir efecto.

Para obtener más información al respecto, consulte los avisos de seguridad siguientes: 

Para obtener más información al respecto, consulte los avisos de seguridad siguientes:

Para obtener más información sobre la habilitación de Retpoline, consulte nuestra entrada de blog: Mitigating Spectre variant 2 with Retpoline on Windows (Mitigación de la variante 2 de Spectre con Retpoline en Windows). 

Para obtener más detalles sobre esta vulnerabilidad, consulte la Guía de actualizaciones de seguridad de Microsoft: CVE-2019-1125 | Vulnerabilidad de divulgación de información de Windows Kernel.

No tenemos conocimientos de instancias en las que esta vulnerabilidad de divulgación de información haya afectado a nuestra infraestructura de servicios en la nube.

Tan pronto conocimos el problema, trabajamos rápidamente para solucionarlo y publicar una actualización. Creemos firmemente en establecer asociaciones estrechas con investigadores y partners del sector para la protección de nuestros clientes y no publicamos detalles hasta el martes, 6 de agosto, de acuerdo con las prácticas de divulgación de vulnerabilidades coordinadas.

 

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

×