|
Modifier la date |
Description de la modification |
|---|---|
|
20 Avril 2023 |
|
|
8 août 2023 |
|
|
9 août 2023 |
|
|
9 avril 2024 |
|
|
16 avril 2024 |
|
Résumé
Cet article fournit des conseils pour une nouvelle classe de vulnérabilités de canal auxiliaire d’exécution spéculative et microarchitectural basées sur le silicium qui affectent de nombreux processeurs et systèmes d’exploitation modernes. Cela inclut Intel, AMD et ARM. Vous trouverez des détails spécifiques pour ces vulnérabilités basées sur le silicium dans les AMV (Avis de sécurité) et les CVE (Common Vulnerabilities and Exposures) suivants :
-
ADV180012 | Instructions de Microsoft concernant la vulnérabilité Speculative Store Bypass
-
ADV180013 | Instructions de Microsoft concernant la vulnérabilité « Rogue System Register Read
-
ADV180016 | Conseils Microsoft pour la restauration différée de l’état FP
-
ADV220002 | Conseils Microsoft sur les vulnérabilités de données obsolètes MMIO du processeur Intel
-
CVE-2022-23825 | Confusion de type de branche du processeur AMD
-
CVE-2023-20569 | Prédicteur de l’adresse de retour du processeur AMD
Important : Ces problèmes affectent également d’autres systèmes d’exploitation, tels que Android, Chrome, iOS et MacOS. Nous conseillons aux clients de rechercher des conseils auprès de ces fournisseurs.
Nous avons publié plusieurs mises à jour pour contribuer à atténuer ces vulnérabilités. Nous avons également pris des mesures pour sécuriser nos services cloud. Pour plus d’informations, consultez les sections suivantes.
Microsoft n’a encore reçu aucune information faisant état d’une utilisation de ces vulnérabilités dans le but d’attaquer des clients. Nous collaborons étroitement avec des partenaires du secteur, notamment des fabricants de puces, des fabricants de matériel OEM et des fournisseurs d’applications, afin de protéger nos clients. Pour bénéficier de toutes les protections disponibles, des mises à jour du microprogramme (microcode) et des mises à jour logicielles sont requises. Cela concerne notamment le microcode des fabricants d’appareils OEM et, dans certains cas, des mises à jour de l’antivirus.
Vulnérabilités
Cet article traite des vulnérabilités d’exécution spéculative suivantes :
Windows Update propose également des atténuations pour Internet Explorer et Edge. Nous continuerons à améliorer ces atténuations contre cette classe de vulnérabilités.
Pour en savoir plus sur cette classe de vulnérabilités, consultez les avis suivants :
Le 14 mai 2019, Intel a publié des informations sur une nouvelle sous-classe de vulnérabilités de canal auxiliaire d’exécution spéculative, appelée Microarchitectural Data Sampling, et documentées dans ADV190013 | Échantillonnage de données microarchitectural. Ces vulnérabilités ont été attribuées aux CVE suivantes :
-
CVE-2019-11091 | MDSUM (Microarchitectural Data Sampling Uncacheable Memory)
-
CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)
-
CVE-2018-12127 - Microarchitectural Fill Buffer Data Sampling (MFBDS)
-
CVE-2018-12130 | d’échantillonnage des données de port de charge microarchitectural (MLPDS)
Important : ces problèmes concernent d’autres systèmes tels qu’Android, Chrome, iOS et Mac OS. Nous conseillons aux clients de rechercher des conseils auprès de ces fournisseurs.
Microsoft a publié des mises à jour pour contribuer à atténuer ces vulnérabilités. Pour bénéficier de toutes les protections disponibles, des mises à jour du microprogramme (microcode) et des mises à jour logicielles sont requises. Cela peut concerner notamment le microcode des fabricants d’appareils OEM. Dans certains cas, l’installation de ces mises à jour a un impact sur les performances. Microsoft a également pris des mesures pour sécuriser ses services cloud. Microsoft recommande vivement de déployer ces mises à jour.
Pour plus d’informations sur ce problème, consultez l’avis de sécurité suivant et utilisez les instructions propres à chaque scénario pour déterminer les actions nécessaires pour atténuer la menace :
Remarque : Microsoft vous recommande d’installer toutes les dernières mises à jour de Windows Update avant d’installer des mises à jour du microcode.
Le 6 août 2019, Intel a publié des détails sur une vulnérabilité de divulgation d’informations dans le noyau Windows. Cette vulnérabilité est une variante de la vulnérabilité de canal auxiliaire d'exécution spéculative Spectre, variante 1 et a été attribuée CVE-2019-1125.
Le 9 juillet 2019, Microsoft a publié des mises à jour de sécurité pour le système d’exploitation Windows afin d’atténuer ce problème. Microsoft n’a publié les informations sur cette atténuation que le mardi 6 août 2019, lors de la divulgation coordonnée à l’échelle du secteur.
Les clients ayant activé Windows Update et appliqué les mises à jour de sécurité publiées le 9 juillet 2019 sont automatiquement protégés. Aucune configuration supplémentaire n’est nécessaire.
Remarque : Remarque Cette vulnérabilité ne nécessite pas de mise à jour du microcode du fabricant de l’appareil (OEM).
Pour plus d’informations sur cette vulnérabilité et sur les mises à jour applicables, consultez le guide des mises à jour de sécurité Microsoft :
Le 12 novembre 2019, Intel a publié un avis technique concernant la vulnérabilité d’abandon asynchrone de transaction Intel TSX (Intel® Transactional Synchronization Extensions) affectée CVE-2019-11135. Microsoft a publié des mises à jour pour atténuer cette vulnérabilité et les protections du système d’exploitation sont activées par défaut pour Windows Server 2019, mais désactivées par défaut pour Windows Server 2016 et les éditions antérieures du système d’exploitation Windows Server.
Le 14 juin 2022, nous avons publié ADV220002 | Conseils Microsoft sur les vulnérabilités de données obsolètes MMIO du processeur Intel et affectation des CVE suivantes :
-
CVE-2022-21123 | Lecture des données de mémoire tampon partagée (SBDR)
-
CVE-2022-21125 | Échantillonnage des données de mémoire tampon partagée (SBDS)
-
CVE-2022-21166 | Enregistrement d’appareil - Écriture partielle (DRPW)
Actions recommandées
Les clients doivent prendre les mesures suivantes pour bénéficier d’une protection contre les vulnérabilités :
-
Appliquer toutes les mises à jour disponibles pour le système d’exploitation Windows, y compris les mises à jour de sécurité Windows mensuelles.
-
Appliquer la mise à jour applicable du microprogramme (microcode) fournie par le fabricant de l’appareil.
-
Évaluez le risque pour votre environnement en vous basant sur les informations fournies dans les avis de sécurité de Microsoft : ADV180002, ADV180012, ADV190013, et ADV220002 en plus des informations fournies dans cet article de la base de connaissances.
-
Prenez les mesures nécessaires en utilisant les avis et informations de clé de Registre fournies dans cet article de la base de connaissances.
Remarque : Les clients Surface recevront une mise à jour du microcode via Windows Update. Pour obtenir la liste des dernières mises à jour du microcode de l’appareil Surface, consultez KB4073065.
Le 12 juillet 2022, nous avons publié CVE-2022-23825 | AMD CPU Branch Type Confusion qui décrit que les alias dans le prédicteur de branche peuvent amener certains processeurs AMD à prédire le mauvais type de branche. Ce problème peut potentiellement entraîner la divulgation d’informations.
Pour se protéger contre cette vulnérabilité, il est recommandé d'installer les mises à jour de Windows datées du mois de juillet 2022 ou d'une date ultérieure, puis de prendre les mesures requises par la CVE-2022-23825 et les informations sur les clés de registre fournies dans cet article de la base de connaissances.
Pour plus d’informations, consultez le bulletin de sécurité AMD-SB-1037 .
Le 8 août 2023, nous avons publié CVE-2023-20569 | Return Address Predictor (également appelé Inception) qui décrit une nouvelle attaque de canal latéral spéculatif qui peut entraîner une exécution spéculative à une adresse contrôlée par l’attaquant. Ce problème affecte certains processeurs AMD et peut potentiellement entraîner la divulgation d’informations.
Pour vous protéger contre cette vulnérabilité, nous vous recommandons d’installer les mises à jour Windows qui datent d’août 2023 ou après, puis de prendre les mesures requises par CVE-2023-20569 et les informations de clé de Registre fournies dans cet article base de connaissances.
Pour plus d’informations, consultez le bulletin de sécurité AMD-SB-7005 .
Le 9 avril 2024, nous avons publié CVE-2022-0001 | L’injection d’historique de branche Intel qui décrit l’injection d’historique de branche (BHI) qui est une forme spécifique de BTI intra-mode. Cette vulnérabilité se produit lorsqu’un attaquant peut manipuler l’historique des branches avant de passer du mode utilisateur au mode superviseur (ou du mode VMX non racine/invité au mode racine). Cette manipulation peut entraîner la sélection d’une entrée de prédiction spécifique pour une branche indirecte par un prédicteur indirect, et un gadget de divulgation sur la cible prédite s’exécutera temporairement. Cela peut être possible, car l’historique de branche pertinent peut contenir des branches prises dans des contextes de sécurité précédents, et en particulier d’autres modes de prédiction.
Paramètres d’atténuation pour Windows Server et Azure Stack HCI
Les avis de sécurité (ADV) et les CVE fournissent des informations sur le risque que présentent ces vulnérabilités. Ils vous aident également à identifier les vulnérabilités et à identifier l’état par défaut des atténuations pour les systèmes Windows Server. Le tableau ci-dessous récapitule la nécessité d’un microcode du processeur et l’état par défaut des atténuations sous Windows Server.
|
CVE |
Microcode/microprogramme du processeur nécessaire ? |
État par défaut des atténuations |
|---|---|---|
|
Non |
Activées par défaut (pas d’option de désactivation) Pour plus d’informations, consultez ADV180002 |
|
|
Oui |
désactivées par défaut. Prière de se référer à ADV180002 pour plus d'informations et cet article de la base de connaissances pour les informations applicables paramètres de clé de registre. Remarque “Retpoline” est activé par défaut pour les appareils exécutant Windows 10 1809 ou une version ultérieure si la variante 2 de Spectre (CVE-2017-5715) est activée. Pour plus d’informations sur “Retpoline”, suivez Atténuation de Spectre variant 2 avec Retpoline sur Windows billet de blog. |
|
|
Non |
Windows Server 2019, Windows Server 2022 et Azure Stack HCI : activé par défaut. Pour plus d’informations, consultez ADV180002. |
|
|
Intel : Oui AMD : Non |
désactivées par défaut. Voir ADV180012 pour plus d'informations et cet article pour les paramètres de clé de registre applicables. |
|
|
Intel : Oui |
Windows Server 2019, Windows Server 2022 et Azure Stack HCI : activé par défaut. Voir ADV190013 pour plus d'informations et cet article pour les paramètres de clé de registre applicables. |
|
|
Intel : Oui |
Windows Server 2019, Windows Server 2022 et Azure Stack HCI : activé par défaut. Voir ADV190013 pour plus d'informations et cet article pour les paramètres de clé de registre applicables. |
|
|
Intel : Oui |
Windows Server 2019, Windows Server 2022 et Azure Stack HCI : activé par défaut. Voir ADV190013 pour plus d'informations et cet article pour les paramètres de clé de registre applicables. |
|
|
Intel : Oui |
Windows Server 2019, Windows Server 2022 et Azure Stack HCI : activé par défaut. Voir ADV190013 pour plus d'informations et cet article pour les paramètres de clé de registre applicables. |
|
|
Intel : Oui |
Windows Server 2019, Windows Server 2022 et Azure Stack HCI : activé par défaut. Voir CVE-2019-11135 pour plus d'informations et cet article pour applicable paramètres de clé de registre. |
|
|
CVE-2022-21123 (partie de MMIOADV220002) |
Intel : Oui |
Windows Server 2019, Windows Server 2022 et Azure Stack HCI : activé par défaut. Consultez CVE-2022-21123 pour plus d’informations et cet article pour connaître les paramètres de clé de Registre applicables. |
|
CVE-2022-21125 (partie de MMIOADV220002) |
Intel : Oui |
Windows Server 2019, Windows Server 2022 et Azure Stack HCI : activé par défaut. Voir CVE-2022-21125 pour plus d'informations et cet article pour les paramètres de clé de registre applicables. |
|
CVE-2022-21127 (partie de MMIOADV220002) |
Intel : Oui |
Windows Server 2019, Windows Server 2022 et Azure Stack HCI : activé par défaut. Voir CVE-2022-21127 pour plus d'informations et cet article pour les paramètres de clé de registre applicables. |
|
CVE-2022-21166 (partie de MMIOADV220002) |
Intel : Oui |
Windows Server 2019, Windows Server 2022 et Azure Stack HCI : activé par défaut. Voir CVE-2022-21166 pour plus d'informations et cet article pour les paramètres de clé de registre applicables. |
|
CVE-2022-23825 (confusion de type de branche UC AMD) |
AMD : Non |
Consultez CVE-2022-23825 pour plus d’informations et cet article pour les paramètres de clé de registreapplicables. |
|
CVE-2023-20569
|
AMD : Oui |
Consultez CVE-2023-20569 pour plus d’informations et cet article pour connaître les paramètres de clé de Registre applicables. |
|
Intel : Non |
Désactivées par défaut Consultez CVE-2022-0001 pour plus d’informations et cet article pour connaître les paramètres de clé de Registre applicables. |
* Suivez les instructions d’atténuation pour Meltdown ci-dessous.
Si vous souhaitez obtenir toutes les protections disponibles contre ces vulnérabilités, vous devez apporter des modifications de clé de Registre pour activer ces atténuations qui sont désactivées par défaut.
L’activation de ces atténuations peut réduire les performances. L’ampleur de l’impact sur les performances varie en fonction de différents facteurs, comme le circuit microprogrammé de l’hôte physique et les charges de travail exécutées. Nous vous recommandons d’évaluer les effets sur les performances de votre environnement et d’effectuer les ajustements nécessaires.
Votre serveur est exposé à un risque accru s’il relève de l’une des catégories suivantes :
-
Hôtes Hyper-V : nécessite une protection pour les attaques de machine virtuelle à machine virtuelle et de machine virtuelle à hôte.
-
Services Bureau à distance Hosts (RDSH) : requiert une protection d’une session à une autre ou contre les attaques de session à hôte.
-
Les ordinateurs hôtes physiques ou les machines virtuelles qui exécutent code non approuvé, tels que des conteneurs ou des extensions non approuvées pour la base de données, le contenu web non approuvé ou les charges de travail qui exécutent du code provenant de sources externes. nécessitent une protection contre les attaques d’un processus non approuvé vers un autre processus ou d’un processus non approuvé vers le noyau.
Utilisez les paramètres de clé de Registre suivants pour activer les atténuations sur le serveur et redémarrez l’appareil pour que les modifications prennent effet.
Remarque : Par défaut, l’activation des atténuations désactivées peut affecter les performances. L’impact réel sur les performances varie en fonction de différents facteurs, comme le circuit microprogrammé de l’appareil et les charges de travail exécutées.
Paramètres du Registre
Nous fournissons les informations de Registre suivantes pour activer les atténuations qui ne sont pas activées par défaut, comme indiqué dans les avis de sécurité (ADV) et les CVE. De plus, Microsoft fournit les paramètres de clé de Registre pour les utilisateurs souhaitant désactiver les atténuations liées aux vulnérabilités CVE-2017-5715 et CVE-2017-5754 pour les clients Windows.
IMPORTANT Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d’informations sur les procédures de sauvegarde et de restauration du Registre, consultez l’article suivant de la Base de connaissances Microsoft :
KB322756 Comment sauvegarder et restaurer le registre dans Windows
IMPORTANT Par défaut, Retpoline est configuré comme suit si l'atténuation Spectre, variante 2 (CVE-2017-5715) est activée :
- L'atténuation de Retpoline est activée sur Windows 10, version 1809 et versions ultérieures de Windows.
- L'atténuation de Retpoline est désactivée sur Windows Server 2019 et les versions ultérieures de Windows Server.
Pour plus d'informations sur la configuration de Retpoline, consultez Atténuation de la variante 2 de Spectre avec Retpoline sous Windows.
|
Remarque : La définition de FeatureSettingsOverrideMask sur 3 est précise pour les paramètres « Activer » et « Désactiver ». (Pour plus d’informations sur les clés de Registre, consultez la section « Forum aux questions ».)
|
Pour désactiver la variante 2 : (CVE-2017-5715 | Injection de cible de branche) d’atténuation : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Redémarrez l’appareil pour que les modifications prennent effet. Pour activer la variante 2 : (CVE-2017-5715 | Injection de cible de branche) d’atténuation : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Redémarrez l’appareil pour que les modifications prennent effet. |
Par défaut, la protection utilisateur-noyau pour CVE-2017-5715 est désactivée pour les processeurs AMD. Les clients doivent activer l’atténuation pour bénéficier des protections supplémentaires pour la vulnérabilité CVE-2017-5715. Pour plus d’informations, consultez le point 15 du forum aux questions dans l’avis ADV180002.
|
Activez la protection utilisateur-noyau sur les processeurs AMD ainsi que d'autres protections pour CVE 2017-5715 : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant : reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f s’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées. Redémarrez l’appareil pour que les modifications prennent effet. |
|
Pour activer les mesures d’atténuation de CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) et CVE-2017-5754 (Meltdown) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant : reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f s’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées. Redémarrez l’appareil pour que les modifications prennent effet. Pour désactiver les atténuations pour CVE-2018-3639 (Speculative Store Bypass) ET les atténuations pour CVE-2017-5715 (Spectre Variant 2) et CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Redémarrez l’appareil pour que les modifications prennent effet. |
Par défaut, la protection utilisateur-noyau pour CVE-2017-5715 est désactivée pour les processeurs AMD. Les clients doivent activer l’atténuation pour bénéficier des protections supplémentaires pour la vulnérabilité CVE-2017-5715. Pour plus d’informations, consultez faq #15 dans ADV180002.
|
Activer la protection utilisateur-noyau sur les processeurs AMD ainsi que d’autres protections pour CVE 2017-5715 et de protections pour CVE-2018-3639 (Speculative Store Bypass) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant : reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f s’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées. Redémarrez l’appareil pour que les modifications prennent effet. |
|
Pour activer les mesures d’atténuation de la vulnérabilité d’abandon asynchrone de transaction des extensions d’Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) et l’échantillonnage des données microarchitecturales ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) avec les variantes Spectre [CVE-2017-5753 et CVE-2017-5715], Meltdown [CVE-2017-5754] MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, et CVE-2022-21166) y compris Speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ] ainsi que L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646] sans désactiver Hyper-Threading : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant : reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez complètement toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées. Redémarrez l’appareil pour que les modifications prennent effet. Pour activer les mesures d'atténuation de la vulnérabilité d’abandon asynchrone d’Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) et l’échantillonnage de données microarchitecturales ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) avec les variantes Spectre [CVE-2017-5753 et CVE-2017-5715] et Meltdown [CVE-2017-5754] y compris Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] ainsi que L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620, et CVE-2018-3646] avec Hyper-Threading désactivé : reg ajouter " HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management " /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant : reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées. Redémarrez l’appareil pour que les modifications prennent effet. Pour désactiver les mesures d'atténuation de la vulnérabilité d'abandon asynchrone d’Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) et l’échantillonnage de données microarchitecturales ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) avec les variantes Spectre [CVE-2017-5753 et CVE-2017-5715] et Meltdown [CVE-2017-5754] y compris Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] ainsi que L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620, et CVE-2018-3646] : reg ajouter " HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management " /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Redémarrez l’appareil pour que les modifications prennent effet. |
Pour activer les mesures d’atténuation de CVE-2022-23825 sur les processeurs AMD :
reg ajouter « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management » /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Pour être entièrement protégés, les clients devront peut-être également désactiver Hyper-Threading (également appelé SMT (Simultaneous Multi Threading). Consultez l’article KB4073757 pour obtenir des conseils sur la protection des appareils Windows.
Pour activer les mesures d’atténuation de CVE-2023-20569 sur les processeurs AMD :
reg ajouter "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Pour activer les mesures d’atténuation de CVE-2022-0001 sur les processeurs Intel :
ajout regg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
ajout reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Activation de plusieurs atténuations
Pour activer plusieurs atténuations, vous devez ajouter la valeur REG_DWORD de chaque atténuation.
Par exemple :
|
Atténuation de vulnérabilité d’abandon asynchrone de la transaction, échantillonnage de données microarchitecturales, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) et L1 Terminal Fault (L1TF) avec Hyper-Threading désactivé |
ajout de reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
|
REMARQUE 8264 (en décimal) = 0x2048 (en hexadécimal) Pour activer le BHI en même temps que les autres paramètres existants, vous devez utiliser la valeur de bit OU de la valeur actuelle avec 8 388 608 (0x800000). 0x800000 OU 0x2048(8264 en décimal) et il deviendra 8 396 872(0x802048). Même chose avec FeatureSettingsOverrideMask. |
|
|
Activer les mesures d’atténuation pour CVE-2022-0001 sur les processeurs Intel |
ajout de reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
|
Atténuation combinée |
ajout de reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
|
Atténuation de vulnérabilité d’abandon asynchrone de la transaction, échantillonnage de données microarchitecturales, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) et L1 Terminal Fault (L1TF) avec Hyper-Threading désactivé |
ajout de reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
|
Activer les mesures d’atténuation pour CVE-2022-0001 sur les processeurs Intel |
ajout de reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
|
Atténuation combinée |
ajout de reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Vérification de l’activation des protections
Pour vous aider à vérifier que les protections sont activées, nous avons publié un script PowerShell que vous pouvez exécuter sur vos appareils. Installez et exécutez le script à l’aide de l’une des méthodes suivantes.
|
Installation du module PowerShell : PS> Install-Module SpeculationControl Exécution du module PowerShell pour vérifier que les protections sont activées : PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
Installation du module PowerShell à partir de TechNet ScriptCenter :
Exécution du module PowerShell pour vérifier que les protections sont activées : Démarrez PowerShell, puis utilisez l’exemple précédent pour copier et exécuter les commandes suivantes : PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Pour obtenir une explication détaillée de la sortie du script PowerShell, consultez KB4074629 .
Forum aux questions
Afin d’éviter tout impact négatif sur les appareils, les mises à jour de sécurité Windows publiées en janvier et en février 2018 n’étaient pas proposées à tous les clients. Pour plus d’informations, consultez KB407269 .
Le microcode est fourni par le biais d’une mise à jour du microprogramme. Contactez votre fabricant OEM pour connaître la version du microprogramme bénéficiant de la mise à jour appropriée pour votre ordinateur.
Plusieurs facteurs ont un impact sur les performances, de la version du système aux charges de travail exécutées. Pour certains systèmes, l’impact sur les performances est négligeable, contrairement à d’autres systèmes.
Nous vous recommandons d’évaluer l’impact sur les performances de vos systèmes et d’apporter les modifications nécessaires.
Outre les instructions de cet article concernant les machines virtuelles, vous devez contacter votre fournisseur de services pour vous assurer que les hôtes exécutant vos machines virtuelles sont protégés de manière adéquate.
Pour les machines virtuelles Windows Server fonctionnant dans Azure, voir Conseils pour atténuer les vulnérabilités des canaux latéraux d'exécution spéculative dans Azure. Pour obtenir des conseils sur l’utilisation d’Azure Update Management pour atténuer ce problème sur les machines virtuelles invitées, consultez KB4077467.
Les mises à jour publiées pour les images de conteneur Windows Server pour Windows Server 2016 et Windows 10 version 1709 contiennent les atténuations pour cet ensemble de vulnérabilités. Aucune configuration supplémentaire n’est requise.
Remarque Vous devez toujours vous assurer que l’hôte sur lequel ces conteneurs s’exécutent est configuré pour activer les atténuations appropriées.
Non, l’ordre d’installation n’a pas d’importance.
Oui, vous devez effectuer un redémarrage après la mise à jour du microprogramme (microcode) ainsi qu’après la mise à jour du système.
Voici les détails concernant les clés de Registre :
FeatureSettingsOverride représente un bitmap qui remplace le paramètre par défaut et détermine les atténuations désactivées. Le bit 0 détermine l’atténuation correspondant à CVE-2017-5715, Bit 1 contrôle les mesures d’atténuation qui correspondent à CVE-2017-5754. Les bits sont définis sur la valeur « 0 » pour activer l’atténuation et « 1 » pour la désactiver.
FeatureSettingsOverrideMask représente un masque bitmap utilisé avec FeatureSettingsOverride. Dans ce cas, nous utilisons la valeur 3 (représentée comme 11 dans le système numérique binaire ou base-2) pour indiquer les deux premiers bits qui correspondent aux atténuations disponibles. Cette clé de Registre a la valeur 3 pour activer ou désactiver les atténuations.
La clé MinVmVersionForCpuBasedMitigations est destinée aux hôtes Hyper-V. Cette clé de Registre définit la version de machine virtuelle minimale requise pour utiliser les fonctionnalités du microprogramme mis à jour (CVE-2017-5715). Attribuez la valeur 1.0 pour couvrir toutes les versions de machine virtuelle. Cette valeur de Registre est ignorée (bénigne) sur les hôtes non-Hyper-V. Pour plus d’informations, consultez Protection des machines virtuelles invitées à partir de CVE-2017-5715 (injection cible de branche).
Oui, il n’y a aucun effet secondaire si ces paramètres de Registre sont appliqués avant l’installation des correctifs connexes de janvier 2018.
Consultez une description détaillée de la sortie du script à l'KB4074629 : présentation de la sortie de script PowerShell .
Oui, pour les hôtes Hyper-V Windows Server 2016 pour lesquels la mise à jour du microprogramme n’est pas encore disponible, nous avons publié des instructions alternatives permettant d’atténuer les attaques d’une machine virtuelle vers une autre machine virtuelle ou d’une machine virtuelle vers un hôte. Consultez Autres protections pour les hôtes Hyper-V Windows Server 2016 contre les vulnérabilités de canal auxiliaire d’exécution spéculative .
Les mises à jour de sécurité uniquement ne sont pas cumulatives. Selon la version de votre système d’exploitation, vous devrez peut-être installer plusieurs mises à jour de sécurité pour bénéficier d’une protection intégrale. En général, les clients doivent installer les mises à jour de janvier, de février, de mars et d’avril 2018. Les systèmes disposant de processeurs AMD nécessitent une mise à jour supplémentaire indiquée dans le tableau suivant :
|
Version du système d’exploitation |
Mise à jour de sécurité |
|
Windows 8.1, Windows Server 2012 R2 |
KB4338815 - Correctif cumulatif mensuel |
|
KB4338824- Sécurité uniquement |
|
|
Windows 7 SP1, Windows Server 2008 R2 SP1 ou Windows Server 2008 R2 SP1 (installation Server Core) |
KB4284826 - Correctif cumulatif mensuel |
|
KB4284867 - Sécurité uniquement |
|
|
Windows Server 2008 SP2 |
KB4340583 - Mise à jour de sécurité |
Nous vous recommandons d’installer les mises à jour de sécurité uniquement dans l’ordre de publication.
Remarque : Une version antérieure de ce FORUM aux questions a indiqué à tort que la mise à jour de sécurité uniquement de février incluait les correctifs de sécurité publiés en janvier. En réalité, ce n’est pas le cas.
Non. La mise à jour de sécurité KB4078130 était un correctif spécifique pour éviter les comportements imprévisibles du système, les problèmes de performances et les redémarrages inattendus après l’installation du microcode. L’application des mises à jour de sécurité sur les systèmes d’exploitation clients Windows active toutes les trois atténuations. Sur les systèmes d’exploitation Windows Server, vous devez encore activer les atténuations une fois les tests appropriés effectués. Pour plus d’informations, consultez KB4072698.
Ce problème a été résolu dans KB4093118.
En février 2018, Intel a annoncé qu’il avait terminé ses validations et commencé à publier le microcode pour les plateformes d’UC plus récentes. Microsoft met à disposition des mises à jour de microcode validées par Intel qui concernent la variante 2 de Spectre 2 (CVE-2017-5715 | Injection de cible de branche). KB4093836 répertorie des articles spécifiques de la base de connaissances par version de Windows. Chaque article contient les mises à jour du microcode Intel disponibles par processeur.
Le 11 janvier 2018,Intel a signalé des problèmes dans le microcode récemment publié destiné à résoudre la variante 2 de Spectre (CVE-2017-5715 | Injection de cible de branche). Plus précisément, Intel a noté que ce microcode peut entraîner “redémarrages plus élevés que prévu et d’autres” de comportement imprévisible du système et que ces scénarios peuvent entraîner «perte ou altération des données.D’après notre expérience, l’instabilité du système peut, dans certains cas, provoquer la perte ou l’altération des données. Le 22 janvier, Intel a recommandé aux clients d’arrêter le déploiement de la version actuelle du microcode sur les processeurs concernés, tandis qu’Intel effectue des tests supplémentaires sur la solution mise à jour. Nous comprenons qu’Intel poursuit ses recherches sur les effets potentiels de la version actuelle du microcode. Nous invitons nos clients à consulter régulièrement ses instructions pour les aider à prendre des décisions.
Bien qu’Intel teste, met à jour et déploie un nouveau microcode, nous mettons à disposition une mise à jour hors bande , KB4078130, qui désactive spécifiquement uniquement l’atténuation contre CVE-2017-5715. Nos tests confirment que cette mise à jour empêche le comportement décrit. Pour obtenir la liste complète des appareils, consultez les conseils de révision du microcode d’Intel. Cette mise à jour concerne Windows 7 Service Pack 1 (SP1), Windows 8.1 et toutes les versions de Windows 10 (client et serveur). Si vous exécutez un appareil affecté, cette mise à jour peut être appliquée en la téléchargeant à partir du site web du catalogueMicrosoft Update. L’application de cette charge utile désactive en particulier uniquement l’atténuation contre la vulnérabilité CVE-2017-5715.
À ce stade, aucun rapport connu n’indique que cette variante 2 de Spectre (CVE-2017-5715 | Injection de cible de branche) a été utilisé pour attaquer des clients. Nous recommandons aux utilisateurs Windows de réactiver, le cas échéant, l’atténuation contre CVE-2017-5715 dès qu’Intel aura signalé que ce comportement imprévisible du système est résolu pour l’appareil concerné.
En février 2018, Intel a annoncé qu’il a terminé ses validations et commencé à publier le microcode pour les plateformes d’UC plus récentes. Microsoft met à disposition des mises à jour de microcode validées par Intel liées à la variante 2 de Spectre 2 de Spectre (CVE-2017-5715 | Injection de cible de branche). KB4093836 répertorie des articles spécifiques de la base de connaissances par version de Windows. Les articles répertorient les mises à jour du microcode Intel disponibles par processeur.
Pour plus d’informations, consultez mises à jour de sécurité AMD et livre blanc AMD : Recommandations en matière d’architecture concernant les de contrôle de branche indirect. Ces documents sont disponibles à partir du canal de microprogramme OEM.
Nous mettons à disposition des mises à jour de microcode validées par Intel qui concernent la variante 2 de Spectre (CVE-2017-5715 | Injection de cible de branche). Pour obtenir les dernières mises à jour du microcode Intel au moyen de Windows Update, vous devez avoir installé le microcode Intel sur un appareil Windows 10 avant de procéder à la mise à niveau vers la mise à jour d’avril 2018 de Windows 10 (version 1803).
La mise à jour du microcode est également disponible directement à partir du Catalogue Microsoft Update si elle n’était pas installée sur l’appareil avant la mise à niveau du système. Le microcode Intel est disponible via Windows Update, Windows Server Update Services (WSUS) ou le catalogue Microsoft Update. Pour plus d’informations et pour obtenir des instructions de téléchargement, consultez KB4100347.
Pour plus d’informations, consultez les ressources suivantes :
-
ADV180012 | Conseils Microsoft pour Speculative Store Bypass pour CVE-2018-3639
-
ADV180013 | Guide Microsoft pour les de lecture de registre système non autorisés pour CVE-2018-3640 et KB 4073065 | Conseils pour les clients Surface
-
Guide du développeur pour le contournement du magasin spéculatif
Consultez les “sections Actions recommandées” et “FAQ” de ADV180012 | Conseils Microsoft pour le contournement du magasin spéculatif.
Pour vérifier l’état de la fonctionnalité SSBD, le script PowerShell Get-SpeculationControlSettings a été mis à jour pour détecter les processeurs concernés, l’état des mises à jour du système d’exploitation SSBD et l’état du microcode du processeur, le cas échéant. Pour plus d’informations et pour obtenir le script PowerShell, consultez KB4074629.
Le 13 juin 2018, une vulnérabilité supplémentaire impliquant l’exécution spéculative de canal auxiliaire, appelée Lazy FP State Restore, a été annoncée et attribuée CVE-2018-3665 . Pour plus d’informations sur cette vulnérabilité et les actions recommandées, consultez l’avis de sécuritéADV180016 | Conseils Microsoft pour la restauration différée de l’état FP .
Remarque Il n’existe aucun paramètre de configuration (Registre) requis pour la restauration différée fp restore.
Bounds Check Bypass Store (BCBS) a été divulgué le 10 juillet 2018 et affecté CVE-2018-3693. Nous estimons que BCBS appartient à la même classe de vulnérabilités que « Bounds Check Bypass » (variante 1). À ce jour, nous n’avons connaissance d’aucune instance de BCBS dans nos logiciels. Nous poursuivons toutefois nos recherches sur cette classe de vulnérabilités et nous collaborerons avec des partenaires du secteur pour publier des atténuations, le cas échéant. Nous encourageons les chercheurs à soumettre des résultats pertinents au programme de primes Microsoft Speculative Execution Side Channel, y compris toutes les instances exploitables de BCBS. Les développeurs de logiciels doivent consulter les conseils des développeurs mis à jour pour BCBS à C++ Developer Guidance for Speculative Execution Side Channels
Le 14 août 2018, L1 Terminal Fault (L1TF) a été annoncé et a reçu plusieurs CVE. Ces nouvelles vulnérabilités de canal auxiliaire d’exécution spéculative peuvent servir à lire le contenu de la mémoire sur une limite approuvée et, en cas d’exploitation, pourraient entraîner une divulgation d’informations. Il existe plusieurs vecteurs permettant à un attaquant de déclencher les vulnérabilités en fonction de l’environnement configuré. La vulnérabilité L1TF touche les processeurs Intel® Core® et Intel® Xeon®.
Pour plus d’informations sur cette vulnérabilité et pour obtenir une présentation détaillée des scénarios concernés, entre autres l’approche de Microsoft en ce qui concerne l’atténuation de L1TF, consultez les ressources suivantes :
La procédure à suivre pour désactiver l’hyperthreading varie d’un fabricant à l’autre, mais elle est généralement effectuée à l’aide des outils de configuration du BIOS ou du microprogramme.
Les clients qui utilisent des processeurs ARM 64 bits doivent contacter l'équipementier de l'appareil pour obtenir une assistance micrologicielle, car les protections du système d'exploitation ARM64 qui atténuent la CVE-2017-5715 | Branch target injection (Spectre, Variant 2) nécessitent la dernière mise à jour du micrologiciel des équipementiers de l'appareil pour prendre effet.
Pour plus d’informations, consultez les avis de sécurité suivants :
Vous trouverez des conseils supplémentaires dans conseils Windows pour vous protéger contre les vulnérabilités de canal auxiliaire d’exécution spéculative
Reportez-vous aux conseils de Windows pour vous protéger contre les vulnérabilités de canal auxiliaire d’exécution spéculative
Pour obtenir des conseils sur Azure, reportez-vous à cet article : Conseils pour atténuer les vulnérabilités de canal auxiliaire d’exécution spéculative dans Azure.
Pour plus d’informations sur l’activation de Retpoline, reportez-vous à notre billet de blog : Atténuation de Spectre variant 2 avec retpoline sur Windows .
Pour plus d’informations sur cette vulnérabilité, consultez le Guide de sécurité Microsoft : CVE-2019-1125 | Vulnérabilité de divulgation d’informations dans le noyau Windows.
Microsoft n’a connaissance d’aucun cas où cette vulnérabilité de divulgation d’informations touche son infrastructure de services cloud.
Dès qu’elle a eu connaissance de ce problème, Microsoft a cherché rapidement une solution à ce problème et a publié une mise à jour. Microsoft est convaincue qu’une étroite collaboration avec les chercheurs et les partenaires du secteur permet de renforcer la sécurité des clients. Elle n’a dès lors publié les détails que le mardi 6 août, conformément à des pratiques de divulgation de vulnérabilité coordonnée.
Vous trouverez des instructions supplémentaires dans l’article Instructions Windows concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative.
Vous trouverez des instructions supplémentaires dans l’article Instructions Windows concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative.
Vous trouverez des conseils supplémentaires dans Guidance pour la désactivation d’Intel Extensions de synchronisation transactionnelle (Intel TSX).
Références
Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.
Microsoft fournit des informations de contact de sociétés tierces afin de vous aider à obtenir un support technique. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant les sociétés tierces.
