Instructions des clients Windows destinées aux professionnels de l’informatique concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative

S’applique à : Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Plus

Résumé


Microsoft a connaissance d’une nouvelle classe de vulnérabilités appelée « attaques par canal auxiliaire d’exécution spéculative » qui touche de nombreux processeurs modernes, dont Intel, AMD et ARM.

Remarque Ce problème concerne également d’autres systèmes d’exploitation tels qu’Android, Chrome, iOS et Mac OS. Nous conseillons dès lors à nos clients de rechercher des instructions auprès du fournisseur correspondant.

Microsoft a publié plusieurs mises à jour pour contribuer à atténuer ces vulnérabilités. Nous avons également pris des mesures pour sécuriser nos services cloud. Pour plus d’informations, consultez les sections suivantes.

Microsoft n’a encore reçu aucune information faisant état d’une utilisation de ces vulnérabilités dans le but d’attaquer des clients. Microsoft collabore étroitement avec des partenaires du secteur, notamment des fabricants de puces, des fabricants de matériel OEM et des fournisseurs d’application, afin de protéger ses clients. Pour bénéficier de toutes les protections disponibles, des mises à jour du microprogramme (microcode) et des mises à jour logicielles sont requises. Cela concerne notamment le microcode des fabricants d’appareils OEM et, dans certains cas, des mises à jour de l’antivirus.

Cet article concerne les vulnérabilités suivantes :

Windows Update propose également des atténuations pour Internet Explorer et Edge. Nous continuerons à améliorer ces atténuations contre cette classe de vulnérabilités.

Pour en savoir plus sur cette classe de vulnérabilités, consultez les avis ADV180002 et ADV180012.

Actions recommandées


Les clients doivent prendre les mesures suivantes pour bénéficier d’une protection contre les vulnérabilités :

  1. Appliquer toutes les mises à jour disponibles pour le système d’exploitation Windows, y compris les mises à jour de sécurité Windows mensuelles.
  2. Appliquer la mise à jour applicable du microprogramme (microcode) fournie par le fabricant de l’appareil.
  3. Évaluer le risque pour l’environnement en fonction des informations contenues dans les avis de sécurité Microsoft ADV180002 et ADV180012, ainsi que dans cet article de la Base de connaissances.
  4. Prendre les mesures requises mentionnées dans les avis et dans les informations sur les clés de Registre contenues dans cet article de la Base de connaissances.

Remarque Les clients Surface recevront une mise à jour du microcode par le biais de Windows Update. Pour obtenir la liste des mises à jour du microprogramme (microcode) disponibles pour les appareils Surface, consultez l’article KB 4073065.

Paramètres d’atténuation pour les clients Windows


Les avis de sécurité ADV180002 et ADV180012 fournissent des informations relatives aux risques que présentent ces vulnérabilités et déterminent l’état par défaut des atténuations pour les systèmes clients Windows. Le tableau ci-dessous récapitule la nécessité d’un microcode du processeur et l’état par défaut des atténuations pour les clients Windows.

CVE

Microcode/microprogramme du processeur nécessaire ?

État par défaut des atténuations

CVE-2017-5753

Non

Activées par défaut (pas d’option de désactivation)

CVE-2017-5715

Oui

Activées par défaut. Les utilisateurs de systèmes reposant sur des processeurs AMD doivent consulter le point 15 du forum aux questions et les utilisateurs de processeurs ARM doivent consulter le point 20 du forum aux questions dans l’avis ADV180002 pour connaître l’action supplémentaire et cet article pour les paramètres de clé de Registre applicables.

CVE-2017-5754

Non

Activées par défaut.

CVE-2018-3639

Intel : Oui
AMD : Non
ARM : Oui

Intel et AMD : désactivées par défaut. Consultez l’avis ADV180012 pour plus d’informations et cet article pour les paramètres de clé de Registre applicables.

ARM : activées par défaut sans option de désactivation.


Remarque L’activation d’atténuations qui sont désactivées par défaut risque de réduire les performances. L’impact réel sur les performances varie en fonction de différents facteurs, comme le circuit microprogrammé de l’appareil et les charges de travail exécutées.

Paramètres du Registre


Nous fournissons les informations suivantes sur le Registre afin d’activer les atténuations qui ne le sont pas par défaut, comme indiqué dans les avis de sécurité ADV180002 et ADV180012. De plus, nous fournissons les paramètres de clé de Registre pour les utilisateurs souhaitant désactiver les atténuations liées aux vulnérabilités CVE-2017-5715 et CVE-2017-5754 pour les clients Windows.

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d’informations sur les procédures de sauvegarde et de restauration du Registre, consultez l’article suivant de la Base de connaissances Microsoft :

322756 Comment sauvegarder et restaurer le Registre dans Windows

Gérer les atténuations pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown)


Pour activer les atténuations par défaut pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Pour désactiver les atténuations pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Remarque La valeur 3 pour le paramètre FeatureSettingsOverrideMask convient pour les paramètres d’activation et de désactivation. (Pour plus d’informations sur les clés de Registre, consultez la section « Forum aux questions ».)

Gérer l’atténuation pour CVE-2017-5715 (variante 2 de Spectre)


Pour désactiver les atténuations pour CVE-2017-5715 (variante 2 de Spectre) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Pour activer les atténuations par défaut pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Processeurs AMD et ARM uniquement : activer l’atténuation complète pour CVE-2017-5715 (variante 2 de Spectre)


Par défaut, la protection utilisateur-noyau pour CVE-2017-5715 est désactivée pour les processeurs AMD et ARM. Les clients doivent activer l’atténuation pour bénéficier des protections supplémentaires pour la vulnérabilité CVE-2017-5715. Pour plus d’informations, consultez le point 15 du forum aux questions dans l’avis ADV180002 pour les processeurs AMD et le point 20 du forum aux questions dans l’avis ADV180002 pour les processeurs ARM.

Activer la protection utilisateur-noyau sur les processeurs AMD et ARM avec les autres protections pour CVE-2017-5715 :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Gérer les atténuations pour CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown)


Pour activer les atténuations pour CVE-2018-3639 (Speculative Store Bypass) et les atténuations par défaut pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Remarque : les processeurs AMD ne sont pas vulnérables à CVE-2017-5754 (Meltdown). Cette clé de Registre est utilisée dans les systèmes équipés de processeurs AMD pour activer les atténuations par défaut pour CVE-2017-5715 sur les processeurs AMD et l’atténuation pour CVE-2018-3639.

Pour désactiver les atténuations pour CVE-2018-3639 (Speculative Store Bypass) *et* les atténuations pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Processeurs AMD uniquement : activer l’atténuation complète pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2018-3639 (Speculative Store Bypass)


Par défaut, la protection utilisateur-noyau pour CVE-2017-5715 est désactivée pour les processeurs AMD. Les clients doivent activer l’atténuation pour bénéficier des protections supplémentaires pour la vulnérabilité CVE-2017-5715. Pour plus d’informations, consultez le point 15 du forum aux questions dans l’avis ADV180002.

Activer la protection utilisateur-noyau sur les processeurs AMD avec les autres protections pour CVE-2017-5715 et les protections pour CVE-2018-3639 (Speculative Store Bypass) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Vérification de l’activation des protections


Pour vous aider à vérifier que les protections sont activées, Microsoft a publié un script PowerShell à exécuter sur votre système. Installez et exécutez le script à l’aide des commandes suivantes.

Vérification PowerShell à l’aide de PowerShell Gallery (Windows Server 2016 ou WMF 5.0/5.1)

Installation du module PowerShell :

PS> Install-Module SpeculationControl

Exécution du module PowerShell pour vérifier que les protections sont activées :

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Vérification PowerShell à l’aide d’un téléchargement depuis TechNet (versions antérieures du système d’exploitation et de WMF)

Installation du module PowerShell à partir de TechNet ScriptCenter :

Accédez à https://aka.ms/SpeculationControlPS

Téléchargez le fichier SpeculationControl.zip dans un dossier local.

Extrayez le contenu dans un dossier local, par exemple C:\ADV180002.

Exécution du module PowerShell pour vérifier que les protections sont activées :

Démarrez PowerShell, puis (à l’aide de l’exemple précédent) copiez et exécutez les commandes suivantes :

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Pour obtenir des explications détaillées sur les résultats du script PowerShell, consultez l’
article 4074629 de la Base de connaissances.

Forum aux questions