Guía del cliente Windows para profesionales de TI para protegerse contra vulnerabilidades del canal lateral de ejecución especulativa

Se aplica a: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Más

Resumen


Microsoft es consciente de una nueva clase de vulnerabilidades publicadas que se conocen como “ataques de canal lateral de ejecución especulativa” que  afectan a muchos procesadores, incluidos Intel, AMD y ARM.

Nota Este problema también afecta a otros sistemas operativos, como Android, Chrome, iOS y MacOS. Por ello, aconsejamos a los clientes que pidan asistencia a dichos proveedores.

Microsoft ha publicado varias actualizaciones para ayudar a mitigar estas vulnerabilidades. Así mismo, también ha tomado medidas para proteger sus servicios en la nube. Para obtener más detalles, consulte las secciones siguientes:

Microsoft todavía no ha recibido información que indique que estas vulnerabilidades se han utilizado para atacar a los clientes. Microsoft está trabajando estrechamente con asociados del sector, como fabricantes de chips, fabricantes de equipos originales de hardware y proveedores de aplicaciones, para proteger a los clientes. Para poder disfrutar de todas las protecciones disponibles, se requieren actualizaciones de firmware (microcódigo) y software. Esto incluye microcódigo de los OEM del dispositivo y, en algunos casos, actualizaciones del software antivirus.

En este artículo, se abordan las siguientes vulnerabilidades:

Windows Update también proporcionará mitigaciones de Internet Explorer y Edge. Continuaremos mejorando estas mitigaciones contra esta clase de vulnerabilidades.

Para obtener más información sobre esta clase de vulnerabilidades, consulte ADV180002 y ADV180012.

Acciones recomendadas


Los clientes deben tomar las siguientes medidas para ayudar a protegerse contra las vulnerabilidades:

  1. Aplique todas las actualizaciones disponibles del sistema operativo Windows, incluidas las actualizaciones de seguridad de Windows mensuales.
  2. Aplique la actualización del firmware (microcódigo) correspondiente que proporciona el fabricante del dispositivo.
  3. Evalúe el riesgo de su entorno en función de la información proporcionada en los avisos de seguridad de Microsoft ADV180002 y ADV180012, y en este artículo de Knowledge Base.
  4. Adopte las medidas necesarias según los documentos informativos y la información de la clave del Registro indicada en el artículo de Knowledge Base.

Nota Los clientes de Surface recibirán una actualización de microcódigo a través de Windows Update. Para obtener una lista de las actualizaciones de firmware (microcódigo) de dispositivos Surface, consulte KB 4073065.

Configuración de mitigación para el cliente de Windows


En los avisos de seguridad ADV180002 y ADV180012, se proporciona información sobre el riesgo que representan estas vulnerabilidades y se identifica el estado de las mitigaciones para los sistemas de clientes de Windows. En la siguiente tabla, se resumen los requisitos de microcódigo de la CPU y el estado predeterminado de las mitigaciones en el cliente de Windows.

CVE

¿Se requiere microcódigo de la CPU?

Estado predeterminado de la mitigación

CVE-2017-5753

No

Habilitado de manera predeterminada (no existe la opción de deshabilitarlo).

CVE-2017-5715

Habilitado de manera predeterminada. Los usuarios de sistemas basados en procesadores AMD deben consultar la pregunta frecuente n.º 15 en ADV180002 para ver las acciones adicionales y leer este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.

CVE-2017-5754

No

Habilitado de manera predeterminada.

CVE-2018-3639

Deshabilitado de manera predeterminada. Consulte ADV180012 para obtener más información y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.

Habilitar las mitigaciones que están deshabilitadas de manera predeterminada puede afectar el rendimiento. El impacto real en el rendimiento depende de varios factores, como el conjunto de chips del dispositivo y las cargas de trabajo que se ejecutan.

Conmutador | Configuración del Registro


Proporcionamos la siguiente información de registro para habilitar las mitigaciones que están deshabilitadas de manera predeterminada, como se muestra en los avisos de seguridad ADV180002 y ADV180012. Además, ofrecemos una configuración de la clave del Registro para los usuarios que desean deshabilitar las mitigaciones relacionadas con CVE-2017-5715 y CVE-2017-5754 para los clientes de Windows.

Importante Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. Sin embargo, se pueden producir problemas graves si modifica el Registro incorrectamente. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para mayor protección, realice una copia de seguridad del Registro antes de modificarlo. De esta manera podrá restaurar el Registro en caso de que se produzca un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

322756 Cómo realizar una copia de seguridad y restaurar el Registro en Windows

Administrar las mitigaciones para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)


Para habilitar mitigaciones para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Para deshabilitar mitigaciones para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Nota Establecer FeatureSettingsOverrideMask en 3 es preciso para la configuración de “habilitación” o “deshabilitación”. (Consulte la sección "Preguntas frecuentes" para obtener más detalles sobre las claves del Registro).

Administrar las mitigaciones para CVE-2017-5715 (variante 2 de Spectre)


Mientras Intel realiza pruebas del nuevo microcódigo, lo actualiza y lo implementa, ofrecemos a los usuarios avanzados de los dispositivos afectados una nueva opción para que deshabiliten y habiliten manualmente la mitigación contra la variante 2 de Spectre (CVE-2017-5715 – “Inserción de destino de rama”) de manera independiente a través de unos cambios en la configuración del Registro.

Si instaló el microcódigo, pero desea deshabilitar la mitigación de CVE-2017-5715 debido a problemas de reinicios inesperados o de estabilidad del sistema, siga las siguientes instrucciones.

Para deshabilitar la variante 2: Mitigación (CVE-2017 “Inserción de destino de rama”):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Para habilitar la variante 2: Mitigación (CVE-2017-5715“Inserción de destino de rama”):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Habilitar el uso de Indirect Branch Prediction Barrier (IBPB) para la variante 2 de Spectre en procesadores AMD (CPU)


Algunos procesadores AMD (CPU) ofrecen una característica de control de rama indirecta para mitigar las inserciones de destino de rama indirectas a través de un mecanismo Indirect Branch Prediction Barrier (IBPB). (Para obtener más información, consulte la pregunta frecuente n.º 15 en ADV180002, Instrucciones de arquitectura de AMD en torno al control indirecto de rama y Actualizaciones de seguridad de AMD).

Siga las siguientes instrucciones para controlar IBPB a la hora de cambiar de un contexto de usuario a un contexto de kernel.

Para habilitar el uso de Indirect Branch Prediction Barrier (IBPB) a la hora de cambiar de un contexto de usuario a un contexto de kernel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Administrar mitigaciones para CVE-2018-3639 (derivación de almacenamiento especulativo), CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)


Para habilitar mitigaciones para CVE-2018-3639 (derivación de almacenamiento especulativo), CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Para deshabilitar mitigaciones para CVE-2018-3639 (derivación de almacenamiento especulativo) Y mitigaciones para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Verificar si las protecciones están habilitadas


Para confirmar si las protecciones están habilitadas, Microsoft publicó un script de PowerShell que los clientes pueden ejecutar en sus sistemas. Instale y ejecute el script mediante la ejecución de los siguientes comandos.

Verificación de PowerShell mediante la Galería de PowerShell (Windows Server 2016 o WMF 5.0/5.1)

Instale el módulo de PowerShell:

PS> Install-Module SpeculationControl

Ejecute el módulo de PowerShell para verificar si las protecciones están habilitadas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Verificación de PowerShell mediante una descarga de Technet (versiones anteriores de sistemas operativos y de WMF)

Instale el módulo PowerShell desde Technet ScriptCenter:

Vaya a https://aka.ms/SpeculationControlPS.

Descargue SpeculationControl.zip en una carpeta local.

Extraiga el contenido en una carpeta local, por ejemplo, C:\ADV180002.

Ejecute el módulo de PowerShell para verificar si las protecciones están habilitadas:

Inicie PowerShell y, a continuación (usando el ejemplo anterior) copie y ejecute los comandos siguientes:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Para obtener una explicación detallada de la salida del script de PowerShell, consulte el artículo 4074629 de Knowledge Base.

Preguntas más frecuentes


¿Cómo puedo saber si tengo la versión correcta del microcódigo de la CPU?

El microcódigo se obtiene a través de una actualización de firmware. Los clientes deben comprobar con los fabricantes de la CPU (conjunto de chips) y los dispositivos si existe alguna actualización de seguridad de firmware que se pueda aplicar a un dispositivo en particular; también se recomienda comprobar las instrucciones de revisión de microcódigo de Intel.