KB4073119: Windows-asiakasohjeet IT-ammattilaisille, jotka suojaavat piipohjaisilta mikroarchitectural- ja spekulatiivisilta suorituspuolen kanavan haavoittuvuuksilta

Intel julkaisi 14. toukokuuta 2019 tietoja spekulatiivisen suorituspuolen kanavan haavoittuvuuksien uudesta alaluokasta, joka tunnetaan nimellä Microarchitectural Data Sampling. Nämä haavoittuvuudet on korjattu seuraavissa ansioluetteloissa:

• CVE-2019-11091 | Mikroarkkitektural Data Sampling Uncacheable Memory (MDSUM)

• CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)

• CVE-2018-12127 | Mikroarkkitektural fill buffer data sampling (MFBDS)

• CVE-2018-12130 | Mikroarkkitectural Load Port Data Sampling (MLPDS)

Olemme julkaisseet päivityksiä näiden haavoittuvuuksien lieventämiseksi. Kaikkien käytettävissä olevien suojausten saamiseksi tarvitaan laiteohjelmisto (mikrokoodi) ja ohjelmistopäivitykset. Tämä voi sisältää laitteen alkuperäisten laitevalmistajien mikrokoodin. Joissakin tapauksissa näiden päivitysten asentaminen vaikuttaa suorituskykyyn. Olemme myös toimineet pilvipalveluidemme suojaamiseksi. On erittäin suositeltavaa ottaa nämä päivitykset käyttöön.

Lisätietoja tästä ongelmasta on seuraavissa suojausneuvonnassa ja skenaariopohjaisissa ohjeissa, joiden avulla määritetään uhan lieventämiseen tarvittavat toimet:

• ADV190013 | Microsoftin ohjeet Mikroarkkitektural Data Sampling -haavoittuvuuksien lieventämiseen

• Windowsin ohjeet spekulatiivisen suorituspuolen kanavan haavoittuvuuksilta suojautumiseen

6. elokuuta 2019 Intel julkaisi tietoja Windows-ytimen tietojen paljastamisen haavoittuvuudesta. Tämä haavoittuvuus on spectre-variantin 1 spekulatiivisen suorituspuolen kanavahaavoittuvuuden muunnelma, ja sille on määritetty CVE-2019-1125.

Julkaisimme 9. heinäkuuta 2019 Windows-käyttöjärjestelmän suojauspäivitykset ongelman lieventämiseksi. Huomaa, että olemme pidättäneet tämän lievennyksen dokumentoinnin julkisesti, kunnes koordinoitu teollisuuden julkistaminen tiistaina 6. elokuuta 2019.

Asiakkaat, joilla on Windows Update käytössä ja jotka ovat ottaneet käyttöön 9. heinäkuuta 2019 julkaistut suojauspäivitykset, suojataan automaattisesti. Lisämäärityksiä ei tarvita.

Lisätietoja tästä haavoittuvuudesta ja soveltuvista päivityksistä on Microsoft security update -oppaassa:

• CVE-2019-1125 | Windows-ytimen tietojen paljastumisen haavoittuvuus

Intel julkaisi 12. marraskuuta 2019 teknisen tiedotteen Intel Transactional Syncation Extensions (Intel TSX) Transaction Asynchronous Abort -haavoittuvuudesta, jolle on määritetty CVE-2019-11135. Olemme julkaisseet päivityksiä tämän haavoittuvuuden lieventämiseksi. Käyttöjärjestelmäsuojaukset ovat oletusarvoisesti käytössä Windows-asiakaskäyttöjärjestelmäversioissa.

Julkaisimme 14. kesäkuuta 2022 ADV220002 | Microsoftin ohjeet Intel Processorin MMIO Stale Data -haavoittuvuuksista. Haavoittuvuudet määritetään seuraavissa ansioluetteloissa:

• CVE-2022-21123 | Jaetun puskurin tietojen lukeminen (SBDR)

• CVE-2022-21125 | Jaettu puskuritietojen näytteenotto (SBDS)

• CVE-2022-21127 | Erityinen rekisteripuskuritietojen otantapäivitys (SRBDS-päivitys)

• CVE-2022-21166 | Laiterekisteröi osittainen kirjoitus (DRPW)

Suositellut toiminnot

Voit suojautua näiltä haavoittuvuuksilta toimilla seuraavasti:

1. Ota käyttöön kaikki saatavilla olevat Windows-käyttöjärjestelmäpäivitykset, mukaan lukien kuukausittaiset Windowsin suojauspäivitykset.

2. Ota käyttöön laitteen valmistajan toimittama soveltuva laiteohjelmistopäivitys (mikrokoodi).

3. Arvioi ympäristöllesi aiheutuva riski Microsoft security advisories ADV180002-, ADV180012-, ADV190013- ja ADV220002-tiedoissa annettujen tietojen perusteella tämän artikkelin tietojen lisäksi.

4. Toimi tarvittaessa käyttämällä tässä artikkelissa annettuja tietoja ja rekisteriavaintietoja.

Oletusarvoisesti käyttäjän ja ytimen suojaus CVE-2017-5715 :lle on poistettu käytöstä AMD- ja ARM-suorittimien osalta. Sinun on otettava lievennys käyttöön, jotta saat lisäsuojauksia CVE-2017-5715:lle. Lisätietoja on artikkelissa ADV180002 :n usein kysytyt kysymykset #15 AMD-suorittimien ja ARM-suorittimien usein kysytyt kysymykset # 20 ADV180002 :ssä.

Oletusarvoisesti käyttäjän ja ytimen suojaus CVE-2017-5715 :lle on poistettu käytöstä AMD-suorittimilla. Asiakkaiden on otettava lievennys käyttöön saadakseen lisäsuojauksia CVE-2017-5715:lle.  Lisätietoja on artikkelissa Usein kysytyt kysymykset #15 kohteessa ADV180002.

Ota käyttöön käyttäjästä ytimeen -suojaus AMD-suorittimilla:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Jotta asiakkaat voivat olla täysin suojattuja, heidän on ehkä myös poistettava käytöstä Hyper-Threading (kutsutaan myös nimellä Samanaikainen monisäikeinen (SMT)). Lisätietoja Windows-laitteiden suojaamisesta on artikkelissa KB4073757. 

Lisätietoja PowerShell-komentosarjan tuotosta on artikkelissa KB4074629.

Mikrokoodi toimitetaan laiteohjelmistopäivityksen kautta. Tarkista suorittimen (piirisarjan) ja laitevalmistajien kanssa, onko heidän laitteelleen saatavilla soveltuvia laiteohjelmistosuojauspäivityksiä, mukaan lukien Intels Microcode Revision -ohjeet.

Laitteiston haavoittuvuuden korjaaminen ohjelmistopäivityksen avulla aiheuttaa merkittäviä haasteita. Myös vanhojen käyttöjärjestelmien lievennykset edellyttävät laajoja arkkitehtonisia muutoksia. Pyrimme yhdessä siruvalmistajien kanssa määrittämään parhaan tavan tarjota lievennyksiä, jotka voidaan toimittaa tulevissa päivityksissä.

microsoft Surface -laitteiden Päivitykset toimitetaan asiakkaille Windows Update windows-käyttöjärjestelmän päivitysten kanssa. Luettelo saatavilla olevista Surface-laitteen laiteohjelmistopäivityksistä (mikrokoodi) on artikkelissa KB4073065.

Jos laitteesi ei ole Microsoftilta, ota laiteohjelmisto käyttöön laitteen valmistajalta. Saat lisätietoja OEM-laitteen valmistajalta.

Helmikuussa ja maaliskuussa 2018 Microsoft julkaisi lisäsuojauksen joillekin x86-pohjaisille järjestelmille. Lisätietoja on artikkelissa KB4073757 ja Microsoft security advisory ADV180002.

holoLensin Päivitykset Windows 10 hololens -asiakkaille Windows Update kautta.

Helmikuun 2018 Windowsin suojaus päivityksen käyttöönoton jälkeen HoloLensin asiakkaiden ei tarvitse tehdä lisätoimia laitteen laiteohjelmiston päivittämiseksi. Nämä lievennykset sisältyvät myös kaikkiin holoLensin tuleviin Windows 10 julkaisuihin.

Ei. Vain suojauspäivitykset eivät ole kumulatiivisia. Käytössä olevan käyttöjärjestelmäversion mukaan sinun on asennettava kaikki kuukausittaiset vain suojauspäivitykset, jotta voit suojautua näheiltä haavoittuvuuksilta. Jos käytössäsi on esimerkiksi Windows 7 32-bittisille järjestelmille intel-suorittimen kanssa, johon ongelma vaikuttaa, sinun on asennettava kaikki vain suojauspäivitykset. Suosittelemme, että asennat nämä vain suojauspäivitykset julkaisujärjestyksessä.

Huomautus Näiden usein kysyttyjen kyselyjen aiemmassa versiossa todettiin virheellisesti, että helmikuun vain suojaukseen liittyvä päivitys sisälsi tammikuussa julkaistut suojauskorjaukset. Itse asiassa se ei.

Ei. Suojauspäivityksen 4078130 oli erityinen korjaus, jolla estettiin järjestelmän arvaamattomat toimintatavat, suorituskykyongelmat ja/tai odottamattomat uudelleenkäynnistykset mikrokoodin asentamisen jälkeen. Helmikuun suojauspäivitysten käyttöönotto Windows-asiakaskäyttöjärjestelmissä mahdollistaa kaikki kolme lievennystä.

Intel ilmoitti äskettäin suorittaneensa validointinsa ja alkaneensa julkaista mikrokoodia uudempaa suoritinympäristöä varten. Microsoft tuo saataville Intelin vahvistamia mikrokoodipäivityksiä Spectre-variantin 2 ympärille (CVE-2017-5715 "Branch Target Injection"). KB4093836 näyttää tietyt Knowledge Base -artikkelit Windows-version mukaan. Jokainen tietty KB sisältää suorittimen käytettävissä olevat Intel-mikrokoodipäivitykset.

Tämä ongelma on korjattu versiossa KB4093118.

AMD ilmoitti äskettäin, että he ovat alkaneet julkaista mikrokoodia uudempaan suoritinalustaan Spectre-variantin 2 ympärillä (CVE-2017-5715 "Branch Target Injection"). Lisätietoja on artikkelissa AMD Security Päivitykset ja AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Nämä ovat saatavilla OEM-laiteohjelmistokanavalta.

Julkaisemme Intelin vahvistamia mikrokoodipäivityksiä Spectre-variantin 2 ympärille (CVE-2017-5715 "Branch Target Injection "). Jotta asiakkaat voivat hankkia uusimmat Intel-mikrokoodipäivitykset Windows Update kautta, heidän on oltava asentaneet Intel-mikrokoodin laitteisiin, joissa on Windows 10 käyttöjärjestelmä, ennen päivittämistä Windows 10 huhtikuun 2018 päivitykseen (versio 1803).

Mikrokoodipäivitys on saatavilla myös suoraan Luettelosta, jos sitä ei ole asennettu laitteeseen ennen käyttöjärjestelmän päivittämistä. Intel-mikrokoodi on saatavilla Windows Update, WSUS:n tai Microsoft Update -luettelon kautta. Lisätietoja ja latausohjeita on artikkelissa KB4100347.

Lisätietoja on seuraavissa resursseissa:

• ADV180012 | Microsoftin ohjeet spekulatiivisen Kaupan ohittamiseen CVE-2018-3639:lle

• ADV180013 | Microsoftin ohjeet rogue system register read for CVE-2018-3640 and KB4073065

• Microsoft Security Research and Defense -blogi

• Kehittäjän ohjeet spekulatiiviselle Kaupan ohituksella

Lisätietoja on ohjeaiheen ADV180012 suositellut toiminnot ja usein kysytyt kysymykset -osioissa | Microsoftin ohjeet spekulatiivisen Kaupan ohittamiseen.

SSBD:n tilan tarkistamista varten Get-SpeculationControlSettings PowerShell -komentosarja päivitettiin havaitsemaan kyseiset suorittimet, SSBD-käyttöjärjestelmäpäivitysten tila ja suorittimen mikrokoodin tila tarvittaessa. Lisätietoja ja PowerShell-komentosarjan hankkiminen on artikkelissa KB4074629.

13. kesäkuuta 2018 ilmoitettiin lisähaavoittuvuus, johon liittyi sivukanavan spekulatiivista toteutusta, joka tunnetaan nimellä Lazy FP State Restore, ja sille annettiin CVE-2018-3665. Lazy Restore FP Restore -palautus ei edellytä määritysasetuksia (rekisteriasetuksia).

Lisätietoja tästä haavoittuvuudesta ja suositelluista toiminnoista on suojausneuvonnassa ADV180016 | Microsoftin ohjeet Laiskan FP-tilan palauttamiseen.

Bounds Check Bypass Store (BCBS) julkistettiin 10. heinäkuuta 2018 ja sille annettiin CVE-2018-3693. Katsomme, että BCBS kuuluu samaan haavoittuvuusluokkaan kuin Bounds Check Bypass (muuttuja 1). Emme ole tällä hetkellä tietoisia BCBS-esiintymistä ohjelmistossamme, mutta jatkamme tämän haavoittuvuusluokan tutkimista ja teemme yhteistyötä alan kumppaneiden kanssa vapauttaaksemme lievennyksiä tarpeen mukaan. Kannustamme edelleen tutkijoita toimittamaan kaikki asiaankuuluvat havainnot Microsoftin spekulatiivisen suorituspuolen kanavan palkkio-ohjelmaan, mukaan lukien BCBS:n hyväksikäytettävät esiintymät. Ohjelmistokehittäjien tulee tutustua kehittäjän ohjeisiin, jotka on päivitetty BCBS:lle https://aka.ms/sescdevguide.

14. elokuuta 2018 ilmoitettiin L1 Terminal Fault (L1TF) -terminaaliviasta , ja sille annettiin useita cv:tä. Näitä uusia spekulatiivisen suorituspuolen kanavan haavoittuvuuksia voidaan käyttää muistin sisällön lukemiseen luotetun rajan yli, ja jos sitä käytetään hyväksi, se voi johtaa tietojen paljastamiseen. Hyökkääjä voi laukaista haavoittuvuudet useiden vektorien kautta määritetyn ympäristön mukaan. L1TF vaikuttaa Intel® Core -® suorittimeen ja Intel® Xeon® -suorittimeen.

Lisätietoja tästä haavoittuvuudesta ja yksityiskohtainen näkymä skenaarioista, joihin ongelma vaikuttaa, mukaan lukien Microsoftin lähestymistapa L1TF:n lieventämiseen, on seuraavissa resursseissa:

• ADV180018 | Microsoftin ohjeet L1TF-variantin lieventämiseen

• Security Advisory Security Research -blogi

• L1-päätevirheen palvelinohjeet

64-bittisiä ARM-suorittimia käyttävien asiakkaiden tulisi tarkistaa laiteohjelmiston tuki laitteen OEM-laitteelta, koska ARM64-käyttöjärjestelmän suojaus, joka lieventää CVE-2017-5715-| Haaran kohdelisäys (Spectre, variantti 2) edellyttää laitteen alkuperäisten laitevalmistajien uusimman laiteohjelmistopäivityksen asentamista voimaan.

Lisätietoja on seuraavissa suojausneuvonannuksessa 

• Intelin suojaustiedote

• ADV190013 | Microsoftin ohjeet Mikroarkkitektural Data Sampling -haavoittuvuuksien lieventämiseen

Lisätietoja on seuraavissa suojausneuvonannuksessa

• Intelin suojaustiedote

• ADV190013 | Microsoftin ohjeet Mikroarkkitektural Data Sampling -haavoittuvuuksien lieventämiseen

Lisäohjeita on Windowsin ohjeissa spekulatiivisilta suorituspuolen kanavan haavoittuvuuksilta suojautumiseen

Tutustu Windowsin ohjeisiin, joiden avulla voit suojautua spekulatiivisilta suorituspuolen kanavan haavoittuvuuksilta

Lisätietoja Azuresta on tässä artikkelissa: Ohjeita spekulatiivisen suorituspuolen kanavan haavoittuvuuksien lieventämiseen Azuressa.  

Lisätietoja Retpoline-käyttöönotosta on blogikirjoituksessamme Spectre-variantin 2 lieventäminen Retpolinella Windowsissa. 

Lisätietoja tästä haavoittuvuudesta on Microsoftin suojausoppaassa : CVE-2019-1125 | Windows-ytimen tietojen paljastumisen haavoittuvuus.

Emme ole tietoisia tämän tiedon paljastumisen haavoittuvuudesta, joka vaikuttaa pilvipalveluinfrastruktuuriimme.

Heti kun saimme tietää tästä ongelmasta, työskentelimme nopeasti sen korjaamiseksi ja päivityksen julkaisemiseksi. Uskomme vahvasti tiiviisiin kumppanuuksiin sekä tutkijoiden että alan kumppaneiden kanssa asiakkaiden turvallisuuden parantamiseksi, ja julkaisimme tiedot vasta tiistaina 6. elokuuta koordinoitujen haavoittuvuuksien paljastuskäytäntöjen mukaisesti.

Lisäohjeita on Windowsin ohjeissa spekulatiivisen suorituspuolen kanavan haavoittuvuuksilta suojautumiseen.

Lisäohjeita on Windowsin ohjeissa spekulatiivisen suorituspuolen kanavan haavoittuvuuksilta suojautumiseen.

Lisätietoja on ohjeissa Intel® Transactional Synchronization Extensions (Intel® TSX) -ominaisuuden poistaminen käytöstä.

Tarjoamme kolmannen osapuolen yhteystiedot teknisen tuen löytämiseksi. Nämä yhteystiedot voivat muuttua ilman ennakkoilmoitusta. Emme takaa näiden kolmannen osapuolen yhteystietojen oikeellisuutta.