|
Cambiar fecha |
Cambiar descripción |
|
19 de julio de 2023 |
|
|
8 de agosto de 2023 |
|
|
9 de agosto de 2023 |
|
|
9 de abril de 2024 |
|
|
16 de abril de 2024 |
|
Resumen
En este artículo se proporcionan instrucciones para una nueva clase de vulnerabilidades de canal lateral de ejecución especulativa y microarquitectura basadas en silicio que afectan a muchos procesadores y sistemas operativos modernos. Esto incluye Intel, AMD y ARM. Puede encontrar detalles específicos de estas vulnerabilidades basadas en silicio en los siguientes ADV (avisos de seguridad) y CVE (vulnerabilidades y riesgos comunes):
-
ADV180002 | Instrucciones para mitigar vulnerabilidades de canal lateral de ejecución especulativa
-
ADV180013 | Guía de Microsoft para la lectura de registros de sistemas no autorizados
-
ADV180016 | Guía de Microsoft para la restauración del estado de FP diferida
-
ADV220002 | Guía de Microsoft sobre vulnerabilidades de datos obsoletos de PROCESADOR Intel MMIO
-
CVE-2022-23825 | Confusión de tipo de rama de CPU de AMD (BTC)
-
CVE-2023-20569 | Predictor de dirección de devolución de CPU de AMD
Importante: Este problema también afecta a otros sistemas operativos, como Android, Chrome, iOS y MacOS. Por ello, aconsejamos a los clientes que pidan asistencia a dichos proveedores.
Hemos lanzado varias actualizaciones para ayudar a mitigar estas vulnerabilidades. Así mismo, también ha tomado medidas para proteger sus servicios en la nube. Para obtener más detalles, consulte las secciones siguientes:
Todavía no hemos recibido información que indique que estas vulnerabilidades se usaron para atacar a los clientes. Seguimos trabajando estrechamente con asociados del sector, como fabricantes de chips, OEM de hardware y proveedores de aplicaciones para proteger a los clientes. Para poder disfrutar de todas las protecciones disponibles, se requieren actualizaciones de firmware (microcódigo) y software. Esto incluye microcódigo de los OEM del dispositivo y, en algunos casos, actualizaciones del software antivirus.
En este artículo, se abordan las siguientes vulnerabilidades:
Windows Update también proporcionará mitigaciones de Internet Explorer y Edge. Continuaremos mejorando estas mitigaciones contra esta clase de vulnerabilidades.
Para más información sobre esta clase de vulnerabilidades, consulte lo siguiente:
Vulnerabilidades
El 14 de mayo de 2019, Intel publicó información acerca de una nueva subclase de vulnerabilidades del canal de ejecución especulativa, conocida como Muestreo de datos de microarquitectura. Estas vulnerabilidades se abordan en los siguientes CVEs:
-
CVE-2018-12126 | Muestreo de datos de búfer del almacén de microarquitecturas (MSBDS)
-
CVE-2018-12127 | Muestreo de datos de búfer de relleno microarchitectural (MFBDS)
-
CVE-2018-12130 | Muestreo de datos de puertos de carga microarchitectural (MLPDS)
Importante: Estos problemas también afectan a otros sistemas operativos, como Android, Chrome, iOS y MacOS. Le recomendamos que busque orientación de estos respectivos proveedores.
Hemos publicado actualizaciones para ayudar a mitigar estas vulnerabilidades. Para poder disfrutar de todas las protecciones disponibles, se requieren actualizaciones de firmware (microcódigo) y software. Esto puedo incluir microcódigo de los OEM del dispositivo. En algunos casos, la instalación de estas actualizaciones afectará al rendimiento. Así mismo, también hemos tomado medidas para proteger sus servicios en la nube. Le recomendamos que implemente estas actualizaciones.
Para obtener más información sobre este problema, consulte el siguiente Aviso de seguridad y siga los consejos basados en escenario para determinar cuáles son las acciones necesarias para mitigar la amenaza:
Nota: Se recomienda instalar todas las actualizaciones más recientes de Windows Update antes de instalar las actualizaciones de microcódigo.
El 6 de agosto de 2019, Intel publicó información detallada sobre una vulnerabilidad de divulgación de información del kernel de Windows. Esta vulnerabilidad es una variante de la vulnerabilidad de canal lateral de ejecución especulativa de la variante 1 de Spectre y se ha asignado CVE-2019-1125.
El 9 de julio de 2019, publicamos actualizaciones de seguridad para el sistema operativo Windows con el fin de ayudar a mitigar este problema. Tenga en cuenta que aplazamos la documentación pública de esta mitigación hasta la divulgación coordinada en el sector del martes 6 de agosto de 2019.
Los clientes que tengan habilitado Windows Update y que hayan aplicado las actualizaciones de seguridad publicadas el 9 de julio de 2019 están protegidos automáticamente. No es necesario realizar ninguna configuración adicional.
Nota: Esta vulnerabilidad no requiere una actualización del microcódigo del fabricante (OEM) del dispositivo.
Para obtener más información sobre esta vulnerabilidad y las actualizaciones aplicables, consulte la Guía de actualizaciones de seguridad de Microsoft:
El 12 de noviembre de 2019, Intel publicó un aviso técnico sobre la vulnerabilidad de anulación asincrónica de transacciones de Intel Transactional Synchronization Extensions (Intel TSX) que se asigna CVE-2019-11135. Hemos publicado actualizaciones para ayudar a mitigar esta vulnerabilidad. De forma predeterminada, las protecciones del sistema operativo están habilitadas para las ediciones de SO de cliente de Windows.
El 14 de junio de 2022, publicamos ADV220002 | Las instrucciones de Microsoft sobre las vulnerabilidades de datos obsoletos del procesador MMIO de Intel. Las vulnerabilidades se asignan en los siguientes CVEs:
-
CVE-2022-21123 | Lectura de datos del búfer compartido (SBDR)
-
CVE-2022-21125 | Muestreo de datos de búfer compartido (SBDS)
-
CVE-2022-21166 | Escritura parcial de registro de dispositivos (DRPW)
Acciones recomendadas
Debe realizar las siguientes acciones para ayudar a protegerse contra estas vulnerabilidades:
-
Aplique todas las actualizaciones disponibles del sistema operativo Windows, incluidas las actualizaciones de seguridad de Windows mensuales.
-
Aplique la actualización del firmware (microcódigo) correspondiente que proporciona el fabricante del dispositivo.
-
Evalúe el riesgo para su entorno en función de la información que se proporciona en los avisos de seguridad de Microsoft: ADV180002, ADV180012, ADV190013 y ADV220002, además de la información proporcionada en este artículo.
-
Tome medidas según sea necesario mediante los avisos y información de clave del Registro que se proporcionan en este artículo.
Nota: Los clientes de Surface recibirán una actualización de microcódigo a través de Windows Update. Para obtener una lista de las actualizaciones de firmware (microcódigo) más recientes para los dispositivos Surface, consulte KB4073065.
El 12 de julio de 2022, publicamos CVE-2022-23825 | Confusión de tipo de rama de CPU de AMD que describe que los alias en el predictor de rama pueden hacer que ciertos procesadores AMD predigan el tipo de rama incorrecto. Este problema podría provocar la divulgación de información.
Para ayudar a protegerse contra esta vulnerabilidad, recomendamos instalar las actualizaciones de Windows con fecha de julio de 2022 o posterior y luego tomar las medidas requeridas por CVE-2022-23825 y la información de la clave de registro que se proporciona en este artículo de base de conocimiento.
Para obtener más información, consulte el boletín de seguridad AMD-SB-1037.
El 8 de agosto de 2023, publicamos CVE-2023-20569 | Predictor de direcciones de retorno de CPU de AMD(también conocido como Inicio) que describe un nuevo ataque de canal lateral especulativo que puede dar lugar a una ejecución especulativa en una dirección controlada por un atacante. Este problema afecta a determinados procesadores AMD y podría provocar la divulgación de información.
Para ayudar a protegerse contra esta vulnerabilidad, recomendamos instalar las actualizaciones de Windows con fecha de agosto de 2023 o posterior y luego tomar las medidas requeridas por CVE-2023-20569 y la información clave del registro que se proporciona en este artículo de base de conocimiento.
Para obtener más información, consulte el boletín de seguridad AMD-SB-7005.
El 9 de abril de 2024 publicamos CVE-2022-0001 | Inserción de historial de ramas de Intel que describe la inserción de historial de ramas (BHI), que es una forma específica de BTI dentro del modo. Esta vulnerabilidad se produce cuando un atacante puede manipular el historial de ramas antes de pasar del usuario al modo supervisor (o del modo VMX que no es de raíz/invitado al modo raíz). Esta manipulación podría provocar que un predictor de rama indirecta seleccione una entrada de predictor específica para una rama indirecta, y se ejecutará de forma transitoria un gadget de divulgación en el destino previsto. Esto puede ser posible porque el historial de ramas relevante puede contener ramas tomadas en contextos de seguridad anteriores y, en particular, otros modos de predicción.
Configuración de mitigación para clientes Windows
En los avisos de seguridad (ADV) y CVE se proporciona información sobre el riesgo que representan estas vulnerabilidades y cómo le ayudan a identificar el estado predeterminado de las mitigaciones para los sistemas cliente Windows. En la siguiente tabla, se resumen los requisitos de microcódigo de la CPU y el estado predeterminado de las mitigaciones en el cliente Windows.
|
CVE |
¿Se requiere microcódigo o firmware de la CPU? |
Estado predeterminado de la mitigación |
|---|---|---|
|
CVE-2017-5753 |
No |
Habilitado de manera predeterminada (no existe la opción de deshabilitarlo). Consulte ADV180002 para obtener más información. |
|
CVE-2017-5715 |
Sí |
Habilitado de manera predeterminada. Los usuarios de sistemas basados en procesadores AMD deben consultar la P+F 15 y los usuarios de procesadores ARM deben consultar la P+F 20 en ADV180002 para ver las acciones adicionales y leer este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente. Nota De manera predeterminada, Retpoline está habilitado en los dispositivos que ejecutan la versión 1809 de Windows 10 o una posterior o si la variante 2de Spectre (CVE-2017-5715) está habilitada. Para obtener más información sobre Retpoline, consulte nuestra guía en la entrada de blog Mitigating Spectre variant 2 with Retpoline on Windows (Mitigación de la variante 2 de Spectre con Retpoline en Windows). |
|
CVE-2017-5754 |
No |
Habilitado de manera predeterminada. Consulte ADV180002 para obtener más información. |
|
CVE-2018-3639 |
Intel: Sí |
Intel y AMD: deshabilitados de manera predeterminada. Consulte ADV180012 para obtener más información y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente. ARM: habilitado de manera predeterminada (no existe la opción de deshabilitarlo). |
|
CVE-2019-11091 |
Intel: Sí |
Habilitado de manera predeterminada. Consulte ADV190013 para obtener más información y este artículo sobre la configuración de claves del Registro aplicable. |
|
CVE-2018-12126 |
Intel: Sí |
Habilitado de manera predeterminada. Consulte ADV190013 para obtener más información y este artículo sobre la configuración de claves del Registro aplicable. |
|
CVE-2018-12127 |
Intel: Sí |
Habilitado de manera predeterminada. Consulte ADV190013 para obtener más información y este artículo sobre la configuración de claves del Registro aplicable. |
|
CVE-2018-12130 |
Intel: Sí |
Habilitado de manera predeterminada. Consulte ADV190013 para obtener más información y este artículo sobre la configuración de claves del Registro aplicable. |
|
CVE-2019-11135 |
Intel: Sí |
Habilitado de manera predeterminada. Consulte CVE-2019-11135 para obtener más información y este artículo para la configuración de clave del Registro aplicable. |
|
CVE-2022-21123 (parte de MMIO ADV220002) |
Intel: Sí |
Windows 10, versión 1809 y versiones posteriores: habilitado de forma predeterminada. Consulte CVE-2022-21123 para obtener más información y este artículo sobre la configuración de claves del Registro aplicable. |
|
CVE-2022-21125 (parte de MMIO ADV220002) |
Intel: Sí |
Windows 10, versión 1809 y versiones posteriores: habilitado de forma predeterminada. Consulte CVE-2022-21125 para obtener más información. |
|
CVE-2022-21127 (parte de MMIO ADV220002) |
Intel: Sí |
Windows 10, versión 1809 y versiones posteriores: habilitado de forma predeterminada. Consulte CVE-2022-21127 para obtener más información. |
|
CVE-2022-21166 (parte de MMIO ADV220002) |
Intel: Sí |
Windows 10, versión 1809 y versiones posteriores: habilitado de forma predeterminada. Consulte CVE-2022-21166 para obtener más información. |
|
CVE-2022-23825 (Confusión de tipo de rama de CPU DE AMD) |
AMD: No |
Consulte CVE-2022-23825 para obtener más información y este artículo sobre la configuración de claves del Registro aplicable. |
|
CVE-2023-20569
|
AMD: Sí |
Consulte CVE-2023-20569 para obtener más información y este artículo sobre la configuración de claves del Registro aplicable. |
|
Intel: No |
Deshabilitado de manera predeterminada. Consulte CVE-2022-0001 para obtener más información y este artículo sobre la configuración de claves del Registro aplicable. |
Nota: De forma predeterminada, habilitar mitigaciones que están desactivadas puede afectar al rendimiento del dispositivo. El impacto real en el rendimiento depende de varios factores, como el conjunto de chips del dispositivo y las cargas de trabajo que se ejecutan.
Configuración del Registro
Proporcionamos la siguiente información del registro para habilitar las mitigaciones que no están habilitadas de manera predeterminada, como se documenta en los Avisos de seguridad (ADV) y CVE. Además, proporcionamos la configuración de clave del registro para los usuarios que deseen deshabilitar las mitigaciones cuando sea aplicable para los clientes de Windows.
Importante: Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo realizar una copia de seguridad y restaurar el Registro, consulte al artículo siguiente en Microsoft Knowledge Base:
322756 Cómo realizar una copia de seguridad y restaurar el Registro en Windows
Importante: De forma predeterminada, Retpoline está habilitado en los dispositivos con Windows 10, versión 1809 si spectre, variante 2 (CVE-2017-5715) está habilitada. Habilitar Retpoline en la versión más reciente de Windows 10 puede mejorar el rendimiento en los dispositivos que ejecutan Windows 10, versión 1809 para la variante 2 de Spectre, sobre todo en procesadores antiguos.
|
Para habilitar mitigaciones predeterminadas para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie el dispositivo para que los cambios surtan efecto. Para deshabilitar mitigaciones para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie el dispositivo para que los cambios surtan efecto. |
Nota: Un valor de 3 es preciso para FeatureSettingsOverrideMask para la configuración de "habilitación" y "deshabilitación". (Consulte la sección "Preguntas frecuentes" para obtener más detalles sobre las claves del Registro).
|
Para deshabilitar las mitigaciones para CVE-2017-5715 (variante 2 de Spectre) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie el dispositivo para que los cambios surtan efecto. Para habilitar las mitigaciones predeterminadas para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie el dispositivo para que los cambios surtan efecto. |
De manera predeterminada, la protección de usuario a kernel para CVE-2017-5715 está deshabilitada para las CPU AMD y ARM. Debe habilitar la mitigación para recibir protecciones adicionales para CVE-2017-5715. Para obtener más información, consulte Preguntas frecuentes #15 en ADV180002 para procesadores AMD y Preguntas frecuentes #20 en ADV180002 para procesadores ARM.
|
Habilitar la protección de usuario a kernel en procesadores AMD y ARM junto con otras protecciones para CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie el dispositivo para que los cambios surtan efecto. |
|
Para habilitar mitigaciones para CVE-2018-3639 (derivación de almacenamiento especulativo), mitigaciones predeterminadas para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie el dispositivo para que los cambios surtan efecto. Nota: Los procesadores AMD no son vulnerables a CVE-2017-5754 (Meltdown). Esta clave del Registro se usa en sistemas con procesadores AMD para habilitar las mitigaciones predeterminadas para CVE-2017-5715 en procesadores AMD y la mitigación para CVE-2018-3639. Para deshabilitar las mitigaciones para CVE-2018-3639 (derivación de almacenamiento especulativo) *y* las mitigaciones para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie el dispositivo para que los cambios surtan efecto. |
De manera predeterminada, la protección de usuario a kernel para CVE-2017-5715 está deshabilitada para los procesadores AMD. Los clientes deben habilitar la mitigación para recibir protecciones adicionales para CVE-2017-5715. Para obtener más información, vea las preguntas más frecuentes n.º 15 en ADV180002.
|
Habilitar la protección de usuario a kernel en procesadores AMD junto con otras protecciones para CVE 2017-5715 y protecciones para CVE-2018-3639 (derivación de almacenamiento especulativo): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie el dispositivo para que los cambios surtan efecto. |
|
Habilitar mitigaciones para la vulnerabilidad de anulación asincrónica de transacciones de Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) y muestreo de datos de microarquitectura ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) junto con Spectre [CVE-2017-5753 & CVE-2017-5715] y Meltdown [CVE-2017-5754] variantes, incluida la deshabilitación de derivación del almacén especulativo (SSBD) [CVE-2018-3639], así como L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646] sin deshabilitar Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Si se trata de un host de Hyper-V y se han aplicado las actualizaciones del firmware: apague por completo todas las máquinas virtuales. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician. Reinicie el dispositivo para que los cambios surtan efecto. Habilitar mitigaciones para la vulnerabilidad de anulación asincrónica de transacciones de Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) y el muestreo de datos de microarquitectura (CVE-2019-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) junto con Spectre [CVE-2017-5753 y CVE-2017-5715] y Meltdown variantes [CVE-2017-5754] incluida la deshabilitación de derivación del almacén especulativo (SSBD) [CVE-2018-3639], así como L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646] con Hyper-Threading deshabilitado: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Si se trata de un host de Hyper-V y se han aplicado las actualizaciones de firmware: apagar completamente todos los Virtual Machines. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician. Reinicie el dispositivo para que los cambios surtan efecto. Para deshabilitar las mitigaciones de la vulnerabilidad Anulación asincrónica de transacciones de Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) y el muestreo de datos de microarquitectura (CVE-2019-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) junto con las variantes de Spectre (CVE-2017-5753 y CVE-2017-5715) y Meltdown (CVE-2017-5754), incluida la deshabilitación de la derivación de almacenamiento especulativo (SSBD) (CVE-2018-3639) así como L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie el dispositivo para que los cambios surtan efecto. |
Para habilitar la mitigación de CVE-2022-23825 en procesadores AMD :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Para estar totalmente protegidos, es posible que los clientes también necesiten deshabilitar Hyper-Threading (también conocido como multiproceso simultáneo (SMT)). Consulte KB4073757 para obtener instrucciones sobre cómo proteger dispositivos Windows.
Para habilitar la mitigación de CVE-2023-20569 en procesadores AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Para habilitar la mitigación de CVE-2022-0001 en procesadores Intel:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Habilitación de varias mitigaciones
Para habilitar varias mitigaciones, debe agregar juntos el valor de REG_DWORD de cada mitigación.
Por ejemplo:
|
Mitigación de vulnerabilidad de anulación asincrónica de transacciones, muestreo de datos de Microarquitectura, Spectre, Meltdown, MMIO, deshabilitación de derivación de almacenamiento especulativo (SSBD) y error de terminal L1 (L1TF) con Hyper-Threading deshabilitado |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
|
NOTA 8264 (en decimal) = 0x2048 (en hexadecimal) Para habilitar BHI junto con otras configuraciones existentes, deberá usar el OR bit a bit o del valor actual con 8 388 608 (0x800000). 0x800000 O 0x2048(8264 en decimal) y se convertirá en 8 396 872 (0x802048). Igual que con FeatureSettingsOverrideMask. |
|
|
Mitigación para CVE-2022-0001 en procesadores Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
|
Mitigación combinada |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
|
Mitigación de vulnerabilidad de anulación asincrónica de transacciones, muestreo de datos de Microarquitectura, Spectre, Meltdown, MMIO, deshabilitación de derivación de almacenamiento especulativo (SSBD) y error de terminal L1 (L1TF) con Hyper-Threading deshabilitado |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
|
Mitigación para CVE-2022-0001 en procesadores Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
|
Mitigación combinada |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Verificar si las protecciones están habilitadas
Para ayudar a comprobar que las protecciones están habilitadas, hemos publicado un script de PowerShell que puede ejecutar en los dispositivos. Instale y ejecute el script mediante uno de los métodos siguientes.
|
Instale el módulo de PowerShell: PS> Install-Module SpeculationControl Ejecute el módulo de PowerShell para verificar si las protecciones están habilitadas: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
Instale el módulo PowerShell desde Technet ScriptCenter: Vaya a https://aka.ms/SpeculationControlPS. Descargue SpeculationControl.zip en una carpeta local. Extraiga el contenido en una carpeta local, por ejemplo, C:\ADV180002. Ejecute el módulo de PowerShell para verificar si las protecciones están habilitadas: Inicie PowerShell y, a continuación (usando el ejemplo anterior) copie y ejecute los comandos siguientes: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Para obtener una explicación detallada de la salida del script de PowerShell, consulte KB4074629.
Preguntas más frecuentes
El microcódigo se obtiene a través de una actualización de firmware. Debe comprobar con los fabricantes de la CPU (conjunto de chips) y los dispositivos si existe alguna actualización de seguridad de firmware que se pueda aplicar a un dispositivo en particular; también se recomienda comprobar las instrucciones de revisión de microcódigo de Intel.
Abordar una vulnerabilidad de hardware a través de una actualización de software presenta grandes desafíos. Además, las mitigaciones para los sistemas operativos más antiguos requieren cambios arquitectónicos de gran alcance. Estamos trabajando con los fabricantes de los chips afectados para determinar la mejor manera de proporcionar mitigaciones, que es posible que se publiquen en actualizaciones futuras.
Las actualizaciones de los dispositivos Microsoft Surface se proporcionarán a los clientes a través de Windows Update junto con las actualizaciones del sistema operativo Windows. Para obtener una lista de las actualizaciones de firmware (microcódigo) de dispositivos Surface, consulte KB4073065.
Si el dispositivo no es de Microsoft, aplique el firmware del fabricante del dispositivo. Para obtener más información, póngase en contacto con el fabricante de dispositivos OEM.
En febrero y marzo de 2018, Microsoft lanzó protección adicional para algunos sistemas basados en x86. Para obtener más información, consulte KB4073757 y Aviso de seguridad de Microsoft ADV180002.
Las actualizaciones de Windows 10 para HoloLens están disponibles para los clientes de HoloLens a través de Windows Update.
Después de aplicar la actualización de seguridad de febrero de 2018 de Windows, los clientes de HoloLens no deben realizar ninguna acción adicional para actualizar el firmware de sus dispositivos. Estas mitigaciones también se incluirán en las próximas versiones de Windows 10 para HoloLens.
No. Las actualizaciones de solo seguridad no son acumulativas. En función de la versión de sistema operativo que ejecute, debe instalar todas las actualizaciones de solo seguridad mensuales para protegerse contra estas vulnerabilidades. Por ejemplo, si ejecuta Windows 7 para sistemas de 32 bits en una CPU Intel afectada, debe instalar todas las actualizaciones de solo seguridad. Se recomienda instalar estas actualizaciones de solo seguridad según el orden de lanzamiento.
Nota Una versión anterior de estas Preguntas frecuentes indicaba de forma incorrecta que la actualización de solo seguridad de febrero incluía las correcciones de seguridad publicadas en enero. De hecho, no lo hace.
No. La actualización de seguridad 4078130 era una corrección específica para evitar comportamientos inesperados del sistema, problemas de desempeño o rearranques inesperados después de la instalación del microcódigo. La aplicación de las actualizaciones de seguridad de febrero en los sistemas operativos cliente de Windows habilita las tres mitigaciones.
Intel anunció recientemente que ha completado las validaciones y ha comenzado a distribuir el microcódigo para nuevas plataformas de CPU. Microsoft pondrá a disposición de sus usuarios las actualizaciones de microcódigo de la variante 2 de Spectre (CVE-2017-5715 "inserción de destino de bifurcación") que haya validado Intel. KB4093836 enumera artículos de knowledge base específicos por versión de Windows. Cada artículo de KB contiene las actualizaciones disponibles de microcódigo de Intel según la CPU.
Este problema se ha resuelto en KB4093118.
AMD anunció recientemente que ha comenzado a distribuir el microcódigo para nuevas plataformas de CPU de la variante 2 de Spectre (CVE-2017-5715 "Inserción de destino de bifurcación"). Para obtener más información, consulte amd Security Updates y AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . Está disponible en el canal de firmware de OEM.
Microsoft pondrá a disposición de sus usuarios las actualizaciones de microcódigo de la variante 2 de Spectre (CVE-2017-5715 “Inserción de destino de bifurcación"”) que haya validado Intel. Para obtener las actualizaciones más recientes de microcódigo de Intel a través de Windows Update, los clientes deben haber instalado un microcódigo de Intel en dispositivos que ejecutan un sistema operativo de Windows 10 antes actualizarlo a la versión de abril de 2018 de Windows 10 (versión 1803).
La actualización de microcódigo también está disponible directamente desde el Catálogo si no se instaló en el dispositivo antes de actualizar el SO. El microcódigo de Intel está disponible a través de Windows Update, de WSUS o del sitio web del Catálogo de Microsoft Update. Para obtener más información e instrucciones de descarga, consulte KB4100347.
Para obtener más información, consulte los recursos siguientes:
-
ADV180012 | Guía de Microsoft para la de derivación de almacenamiento especulativo para CVE-2018-3639
-
ADV180013 | Guía de Microsoft para la lectura de registros de sistemas no autorizados para CVE-2018-3640 y KB4073065
-
Guía para desarrolladores para la omisión del almacén especulativo
Para obtener detalles, consulte las secciones “Acciones recomendadas” y “P+F” de ADV180012 | Asistencia de Microsoft para la derivación de almacenamiento especulativo.
Para comprobar el estado de SSBD, el script de PowerShell Get-SpeculationControlSettings se actualizó para detectar los procesadores afectados, el estado de las actualizaciones del sistema operativo para SSBD y el estado del microcódigo del procesador, si procede. Para obtener más información y obtener el script de PowerShell, consulte KB4074629.
El 13 de junio de 2018, se anunció una nueva vulnerabilidad relacionada con la ejecución especulativa del canal lateral conocida como Lazy FP State Restore a la que se asignó CVE-2018-3665. No se requiere configurar ninguna opción del Registro para Lazy Restore FP Restore.
Para más información sobre esta vulnerabilidad y conocer las acciones recomendadas, consulte el aviso de seguridad ADV180016 | Microsoft Guidance for Lazy FP State Restore.
Nota: No se requiere configurar ninguna opción del Registro para Lazy Restore FP Restore.
Bounds Check Bypass Store (BCBS) se divulgó el 10 de julio de 2018 y se le asignó CVE-2018-3693. Consideramos que BCBS pertenece a la misma clase de vulnerabilidades que Bounds Check Bypass (variante 1). Actualmente, no conocemos de instancias de BCBS en nuestro software, pero seguimos investigando esta clase de vulnerabilidades y trabajaremos con los partners del sector para publicar mitigaciones según sea necesario. Seguimos animando a los investigadores a que envíen las conclusiones pertinentes al programa de recompensa de canal lateral de ejecución especulativa de Microsoft, incluso toda instancia aprovechable de BCBS. Los desarrolladores de software deben consultar la ayuda para desarrolladores que se haya actualizado para BCBS en https://aka.ms/sescdevguide.
El 14 de agosto de 2018, se anunció L1 Terminal Fault (L1TF) y se asignaron varios CVE. Estas nuevas vulnerabilidades de canal lateral de ejecución especulativa pueden utilizarse para leer el contenido de la memoria a través de un límite de confianza y, si se explotan, pueden provocar que se divulgue información. Un atacante podría desencadenar vulnerabilidades a través de varios vectores en función del entorno configurado. L1TF afecta a los procesadores de Intel® Core® e Intel® Xeon®.
Para obtener más información sobre esta vulnerabilidad y una vista detallada de los escenarios afectados, incluido el enfoque de Microsoft para mitigar L1TF, consulte los siguientes recursos:
Los clientes que usan procesadores ARM de 64 bits deben comprobar con el OEM del dispositivo si tienen soporte técnico de firmware, ya que las protecciones del sistema operativo de ARM64 que mitigan la CVE-2017-5715 - inserción de destino de bifurcación (variante 2 de Spectre) requieren la última actualización de firmware de los OEM del dispositivo para surtir efecto.
Para obtener más información al respecto, consulte los avisos de seguridad siguientes:
Para obtener más información al respecto, consulte los avisos de seguridad siguientes:
Puede encontrar más instrucciones en guía de Windows para protegerse frente a vulnerabilidades de canal lateral de ejecución especulativa
Obtenga más información en la Guía de Windows para protegerse contra vulnerabilidades del canal lateral de ejecución especulativa
Para obtener instrucciones de Azure, consulte este artículo: guía para mitigar vulnerabilidades de canal lateral de ejecución especulativa en Azure.
Para obtener más información sobre la habilitación de Retpoline, consulte nuestra entrada de blog: mitigación de la variante 2 de Spectre con Retpoline en Windows.
Para obtener más información sobre esta vulnerabilidad, consulte la Guía de seguridad de Microsoft: CVE-2019-1125 | Vulnerabilidad de divulgación de información del kernel de Windows.
No tenemos conocimientos de instancias en las que esta vulnerabilidad de divulgación de información haya afectado a nuestra infraestructura de servicios en la nube.
Tan pronto conocimos el problema, trabajamos rápidamente para solucionarlo y publicar una actualización. Creemos firmemente en establecer asociaciones estrechas con investigadores y partners del sector para la protección de nuestros clientes y no publicamos detalles hasta el martes, 6 de agosto, de acuerdo con las prácticas de divulgación de vulnerabilidades coordinadas.
Puede encontrar más información en Guía de Windows para protegerse contra vulnerabilidades del canal lateral de ejecución especulativa.
Puede encontrar más información en Guía de Windows para protegerse contra vulnerabilidades del canal lateral de ejecución especulativa.
Puede encontrar más instrucciones en Guidance for disabling Intel® Transactional Synchronization Extensions (Intel® TSX) capability.
Referencias
Proporcionamos información de contacto de otros proveedores para ayudarle a encontrar soporte técnico. Dicha información de contacto puede cambiar sin notificación previa. No garantizamos la precisión de esta información de contacto de terceros.
