Modifier la date |
Modifier la description |
19 juillet 2023 |
|
8 août 2023 |
|
9 août 2023 |
|
9 avril 2024 |
|
16 avril 2024 |
|
Résumé
Cet article fournit des conseils pour une nouvelle classe de vulnérabilités de canal auxiliaire d’exécution spéculative et microarchitectural basées sur le silicium qui affectent de nombreux processeurs et systèmes d’exploitation modernes. Cela inclut Intel, AMD et ARM. Vous trouverez des détails spécifiques pour ces vulnérabilités basées sur le silicium dans les AMV (Avis de sécurité) et les CVE (Common Vulnerabilities and Exposures) suivants :
-
ADV180012 | Instructions de Microsoft concernant la vulnérabilité Speculative Store Bypass
-
ADV180013 | Instructions de Microsoft concernant la vulnérabilité « Rogue System Register Read
-
ADV180016 | Conseils Microsoft pour la restauration différée de l’état FP
-
ADV220002 | Conseils Microsoft sur les vulnérabilités de données obsolètes MMIO du processeur Intel
-
CVE-2022-23825 Confusion du type de branche du processeur AMD
-
CVE-2023-20569 | Prédicteur de l’adresse de retour du processeur AMD
Important : Ce problème affecte également d'autres systèmes d'exploitation, tels qu' Android, Chrome, iOS et macOS. Nous conseillons dès lors à nos clients de rechercher des instructions auprès du fournisseur correspondant.
Nous avons publié plusieurs mises à jour pour contribuer à atténuer ces vulnérabilités. Nous avons également pris des mesures pour sécuriser nos services cloud. Pour plus d’informations, consultez les sections suivantes.
Microsoft n’a encore reçu aucune information faisant état d’une utilisation de ces vulnérabilités dans le but d’attaquer des clients. Nous collaborons étroitement avec des partenaires du secteur, notamment des fabricants de puces, des fabricants de matériel OEM et des fournisseurs d’applications, afin de protéger nos clients. Pour bénéficier de toutes les protections disponibles, des mises à jour du microprogramme (microcode) et des mises à jour logicielles sont requises. Cela concerne notamment le microcode des fabricants d’appareils OEM et, dans certains cas, des mises à jour de l’antivirus.
Cet article concerne les vulnérabilités suivantes :
Windows Update propose également des atténuations pour Internet Explorer et Edge. Nous continuerons à améliorer ces atténuations contre cette classe de vulnérabilités.
Pour en savoir plus sur cette catégorie de vulnérabilités, voir ce qui suit :
Vulnérabilités
Le 14 mai 2019, Intel a publié des informations concernant une nouvelle sous-classe de vulnérabilités de canal auxiliaire d’exécution spéculative appelées « Microarchitectural Data Sampling ». Ces vulnérabilités sont traitées dans les CVE suivants :
-
CVE-2019-11091 | MDSUM (Microarchitectural Data Sampling Uncacheable Memory)
-
CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)
-
CVE-2018-12127 - Microarchitectural Fill Buffer Data Sampling (MFBDS)
-
CVE-2018-12130 | Microarchitectural Charger le Port d'Échantillonnage des Données (MLPDS)
Important : Ces problèmes affecteront d'autres systèmes d'exploitation tels qu'Android, Chrome, iOS et MacOS. Nous vous conseillons de demander conseil à ces fournisseurs respectifs.
Microsoft a publié des mises à jour pour contribuer à atténuer ces vulnérabilités. Pour bénéficier de toutes les protections disponibles, des mises à jour du microprogramme (microcode) et des mises à jour logicielles sont requises. Cela peut concerner notamment le microcode des fabricants d’appareils OEM. Dans certains cas, l’installation de ces mises à jour a un impact sur les performances. Microsoft a également pris des mesures pour sécuriser ses services cloud. Microsoft recommande vivement de déployer ces mises à jour.
Pour plus d’informations sur ce problème, consultez l’avis de sécurité suivant et utilisez les instructions propres à chaque scénario pour déterminer les actions nécessaires pour atténuer la menace :
Remarque : Microsoft vous recommande d’installer toutes les dernières mises à jour de Windows Update avant d’installer des mises à jour du microcode.
Le 6 août 2019, Intel a publié des détails sur une vulnérabilité de divulgation d’informations dans le noyau Windows. Cette vulnérabilité est une variante de la vulnérabilité de canal auxiliaire d’exécution spéculative variante 1 de Spectre et a été affectée CVE-2019-1125.
Le 9 juillet 2019, Microsoft a publié des mises à jour de sécurité pour le système d’exploitation Windows afin d’atténuer ce problème. Microsoft n’a publié les informations sur cette atténuation que le mardi 6 août 2019, lors de la divulgation coordonnée à l’échelle du secteur.
Les clients ayant activé Windows Update et appliqué les mises à jour de sécurité publiées le 9 juillet 2019 sont automatiquement protégés. Aucune configuration supplémentaire n’est nécessaire.
Remarque : Remarque Cette vulnérabilité ne nécessite pas de mise à jour du microcode du fabricant de l’appareil (OEM).
Pour plus d’informations sur cette vulnérabilité et sur les mises à jour applicables, consultez le guide des mises à jour de sécurité Microsoft :
Le 12 novembre 2019, Intel a publié un avis technique autour de la vulnérabilité Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort qui est assignée CVE-2019-11135. Nous avons publié des mises à jour pour atténuer cette vulnérabilité. Par défaut, les protections du système d'exploitation sont activées pour les éditions du système d'exploitation Windows Client.
Le 14 juin 2022, nous avons publié ADV220002 | Conseils de Microsoft sur les vulnérabilités des données périmées du processeur Intel MMIO. Ces vulnérabilités sont classées dans les CVE suivants :
-
CVE-2022-21123 | Lecture des données du tampon partagé (SBDR)
-
CVE-2022-21125 | Échantillonnage des données du tampon partagé (SBDS)
-
CVE-2022-21166 | Écriture partielle du registre de l'appareil (DRPW)
Actions recommandées
Vous devez prendre les mesures suivantes pour vous protéger contre ces vulnérabilités :
-
Appliquer toutes les mises à jour disponibles pour le système d’exploitation Windows, y compris les mises à jour de sécurité Windows mensuelles.
-
Appliquer la mise à jour applicable du microprogramme (microcode) fournie par le fabricant de l’appareil.
-
Évaluez le risque pour votre environnement en vous basant sur les informations fournies dans les avis de sécurité Microsoft ADV180002, ADV180012,ADV190013 et ADV220002,en plus des informations fournies dans cet article.ies dans cet article de la base de connaissances.
-
Prenez les mesures nécessaires en utilisant les avis et les informations sur les clés de registre fournis dans cet article.
Remarque : Les clients Surface recevront une mise à jour du microcode par le biais de Windows Update. Pour obtenir une liste des dernières mises à jour disponibles du microcode des appareils Surface, voir KB4073065.
Le 12 juillet 2022, nous avons publié CVE-2022-23825 | Confusion du type de branche du processeur AMD qui décrit que les alias dans le prédicteur de branche peuvent amener certains processeurs AMD à prédire le type de branche incorrect. Ce problème peut potentiellement entraîner la divulgation d’informations.
Pour vous protéger contre cette vulnérabilité, nous vous recommandons d’installer les mises à jour Windows qui datent de juillet 2022 ou après, puis de prendre les mesures requises par CVE-2022-23825 et les informations de clé de Registre fournies dans cet article base de connaissances.
Pour plus d’informations, consultez le bulletin de sécurité AMD-SB-1037 .
Le 8 août 2023, nous avons publié CVE-2023-20569 | Prédiction d’adresse de retour du processeur AMD (également appelé Inception) qui décrit une nouvelle attaque de canal latéral spéculatif qui peut entraîner une exécution spéculative à une adresse contrôlée par l’attaquant. Ce problème affecte certains processeurs AMD et peut potentiellement entraîner la divulgation d’informations.
Pour vous protéger contre cette vulnérabilité, nous vous recommandons d’installer les mises à jour Windows qui datent d’août 2023 ou après, puis de prendre les mesures requises par CVE-2023-20569 et les informations de clé de Registre fournies dans cet article base de connaissances.
Pour plus d’informations, consultez le bulletin de sécurité AMD-SB-7005 .
Le 9 avril 2024, nous avons publié CVE-2022-0001 | L’injection d’historique de branche Intel qui décrit l’injection d’historique de branche (BHI) qui est une forme spécifique de BTI intra-mode. Cette vulnérabilité se produit lorsqu’un attaquant peut manipuler l’historique de branche avant de passer du mode utilisateur au mode superviseur (ou du mode VMX non racine/invité au mode racine). Cette manipulation peut entraîner la sélection d’une entrée de prédiction spécifique pour une branche indirecte par un prédicteur indirect, et un gadget de divulgation sur la cible prédite s’exécutera temporairement. Cela peut être possible, car l’historique de branche pertinent peut contenir des branches prises dans des contextes de sécurité précédents, et en particulier d’autres modes de prédiction.
Paramètres d’atténuation pour les clients Windows
Les avis de sécurité ADV180002, ADV180012 et ADV190013 fournissent des informations sur les risques que présentent ces vulnérabilités et permettent de déterminer l’état par défaut des atténuations pour les systèmes clients Windows. Le tableau ci-dessous récapitule la nécessité d’un microcode du processeur et l’état par défaut des atténuations pour les clients Windows.
CVE |
Microcode/microprogramme du processeur nécessaire ? |
État par défaut des atténuations |
---|---|---|
CVE-2017-5753 |
Non |
Activées par défaut (pas d’option de désactivation) Veuillez vous référer à ADV180002 pour plus d'informations. |
CVE-2017-5715 |
Oui |
Activées par défaut. Les utilisateurs de systèmes basés sur des processeurs AMD doivent consulter la FAQ #15 et les utilisateurs de processeurs ARM doivent consulter la FAQ #20 sur ADV180002 pour des actions supplémentaires et cet article KB pour les paramètres de clé de registre applicables. Remarque Par défaut, Retpoline est activé pour les appareils fonctionnant sous Windows 10, version 1809 ou plus récente, si la variante 2 de Spectre (CVE-2017-5715 ) est activée. Pour plus d'informations, autour de Retpoline, suivez les conseils de l'article de blog Mitigating Spectre variant 2 avec Retpoline sur Windows. |
CVE-2017-5754 |
Non |
Activées par défaut. Veuillez vous référer à ADV180002 pour plus d'informations. |
CVE-2018-3639 |
Intel : Oui AMD : Non ARM : Oui |
Intel et AMD : désactivé par défaut. Voir ADV180012 pour plus d'informations et cet article KB pour les paramètres de clé de registre applicables. ARM : Activé par défaut sans possibilité de le désactiver. |
CVE-2019-11091 |
Intel : Oui |
Activées par défaut. Voir ADV190013 pour plus d'informations et cet article pour les paramètres de clé de registre applicables. |
CVE-2018-12126 |
Intel : Oui |
Activées par défaut. Voir ADV190013 pour plus d'informations et cet article pour les paramètres de clé de registre applicables. |
CVE-2018-12127 |
Intel : Oui |
Activées par défaut. Voir ADV190013 pour plus d'informations et cet article pour les paramètres de clé de registre applicables. |
CVE-2018-12130 |
Intel : Oui |
Activées par défaut. Consultez ADV190013 pour plus d’informations et cet article pour connaître les paramètres de clé de Registre applicables. |
CVE-2019-11135 |
Intel : Oui |
Activées par défaut. Consultez CVE-2019-11135 pour plus d’informations et cet article pour connaître les paramètres de clé de Registre applicables. |
CVE-2022-21123 (partie de MMIO ADV220002) |
Intel : Oui |
Windows 10, version 1809 et versions ultérieures : activé par défaut. Windows 10, version 1607 et versions antérieures : désactivé par défaut.Consultez CVE-2022-21123 pour plus d’informations et cet article pour les paramètres de clé de registre applicables. |
CVE-2022-21125 (partie de MMIO ADV220002) |
Intel : Oui |
Windows 10, version 1809 et versions ultérieures : activé par défaut. Windows 10, version 1607 et versions antérieures : désactivé par défaut.Consultez CVE-2022-21125 pour plus d’informations. |
CVE-2022-21127 (partie de MMIO ADV220002) |
Intel : Oui |
Windows 10, version 1809 et versions ultérieures : activé par défaut. Windows 10, version 1607 et versions antérieures : désactivé par défaut.Consultez CVE-2022-21127 pour plus d’informations. |
CVE-2022-21166 (partie de MMIO ADV220002) |
Intel : Oui |
Windows 10, version 1809 et versions ultérieures : activé par défaut. Windows 10, version 1607 et versions antérieures : désactivé par défaut.Consultez CVE-2022-21166 pour plus d’informations. |
CVE-2022-23825 (confusion de type de branche UC AMD) |
AMD : Non |
Voir CVE-2022-23825 pour plus d'informations et cet article pour les paramètres de clé de registre applicables. |
CVE-2023-20569 (Prédicteur d’adresse de retour du processeur AMD) |
AMD : Oui |
Consultez CVE-2023-20569 pour plus d’informations, et cet article pour connaître les paramètres de clé du Registre applicables. |
Intel : Non |
désactivées par défaut. Consultez CVE-2022-0001 pour plus d’informations et cet article pour connaître les paramètres de clé de Registre applicables. |
Remarque : Par défaut, l'activation de mesures d'atténuation désactivées peut affecter les performances de l'appareil. L’impact réel sur les performances varie en fonction de différents facteurs, comme le circuit microprogrammé de l’appareil et les charges de travail exécutées.
Paramètres du Registre
Microsoft fournit les informations suivantes sur le Registre afin d’activer les atténuations qui ne le sont pas par défaut, comme indiqué dans les avis de sécurité ADV180002 et ADV180012. De plus, Microsoft fournit les paramètres de clé de Registre pour les utilisateurs souhaitant désactiver les atténuations liées aux vulnérabilités CVE-2017-5715 et CVE-2017-5754 pour les clients Windows.
Important : Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde et la restauration du registre, consultez l'article suivant dans la base de connaissances Microsoft :322756 Comment sauvegarder et restaurer le registre dans Windows
Important : Par défaut, Retpoline est activé sur les appareils Windows 10, version 1809 si Spectre, Variante 2 ( CVE-2017-5715) est activé. L’activation de Retpoline sur la dernière version de Windows 10 peut améliorer les performances sur les appareils Windows 10 version 1809 pour la variante 2 de Spectre, en particulier sur les anciens processeurs.
Pour activer les atténuations par défaut pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Redémarrez l’appareil pour que les modifications prennent effet. Pour désactiver les atténuations pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) : reg ajouter " HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management " /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Redémarrez l’appareil pour que les modifications prennent effet. |
Remarque : La valeur 3 est exacte pour FeatureSettingsOverrideMask pour les paramètres « activation » et « désactivation ». (Pour plus d’informations sur les clés de Registre, consultez la section « Forum aux questions ».)
Pour désactiver les atténuations pour CVE-2017-5715 (variante 2 de Spectre) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Redémarrez l’appareil pour que les modifications prennent effet. Pour activer les atténuations par défaut pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Redémarrez l’appareil pour que les modifications prennent effet. |
Par défaut, la protection de l'utilisateur vers le noyau pour CVE-2017-5715 est désactivée pour les processeurs AMD et ARM. Vous devez activer l'atténuation pour bénéficier de protections supplémentaires pour CVE-2017-5715. Pour plus d'informations, voir la FAQ #15 dans ADV180002 pour les processeurs AMD et la FAQ #20 dansADV180002 pour les processeurs ARM.
Activer la protection utilisateur-noyau sur les processeurs AMD et ARM avec les autres protections pour CVE-2017-5715 : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Redémarrez l’appareil pour que les modifications prennent effet. |
Pour activer les atténuations pour CVE-2018-3639 (Speculative Store Bypass) et les atténuations par défaut pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Redémarrez l’appareil pour que les modifications prennent effet. Remarque : les processeurs AMD ne sont pas vulnérables à CVE-2017-5754 (Meltdown). Cette clé de Registre est utilisée dans les systèmes équipés de processeurs AMD pour activer les atténuations par défaut pour CVE-2017-5715 sur les processeurs AMD et l’atténuation pour CVE-2018-3639. Pour désactiver les atténuations pour CVE-2018-3639 (Speculative Store Bypass) *ET* les atténuations pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Redémarrez l’appareil pour que les modifications prennent effet. |
Par défaut, la protection de l'utilisateur vers le noyau pour CVE-2017-5715 est désactivée pour les processeurs AMD. Les clients doivent activer l'atténuation pour bénéficier de protections supplémentaires pour CVE-2017-5715. Pour plus d'informations, voir la FAQ #15 dans ADV180002.
Activer la protection utilisateur-noyau sur les processeurs AMD avec les autres protections pour CVE-2017-5715 et les protections pour CVE-2018-3639 (Speculative Store Bypass) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Redémarrez l’appareil pour que les modifications prennent effet. |
Pour permettre des atténuations de la vulnérabilité Intel Pour permettre des atténuations de la vulnérabilité Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) et Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) avec les variantes Spectre (CVE-2017-5753 & CVE-2017-5715) et Meltdown (CVE-2017-5754), y compris Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) ainsi que L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, et CVE-2018-3646) sans désactiver l'Hyper-Threading. reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant : reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées. Redémarrez l’appareil pour que les modifications prennent effet. Pour permettre des atténuations de la vulnérabilité Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) et Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) ainsi que les variantes Spectre (CVE-2017-5753 & CVE-2017-5715) et Meltdown (CVE-2017-5754), y compris Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) ainsi que L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, et CVE-2018-3646) avec Hyper-Threading désactivé : : reg ajouter " HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management " /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant : reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez complètement toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées. Redémarrez l’appareil pour que les modifications prennent effet. Pour désactiver les atténuations de la vulnérabilité Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort (CVE-2019-11135) et Microarchitectural Data Sampling ( CVE-2019-11091, CVE-2018-12126, CVE-2018-12127...) ainsi que les variantes Spectre (CVE-2017-5753 & CVE-2017-5715) et Meltdown (CVE-2017-5754), y compris la désactivation du contournement du magasin spéculatif, CVE-2018-12130 ) ainsi que les variantes Spectre (CVE-2017-5753 & CVE-2017-5715) et Meltdown (CVE-2017-5754), y compris Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) ainsi que L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, et CVE-2018-3646) : reg ajouter " HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management " /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Redémarrez l’appareil pour que les modifications prennent effet. |
Pour activer l’atténuation pour CVE-2022-23825 sur les processeurs AMD :
reg ajouter « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management » /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Pour être entièrement protégés, les clients devront peut-être également désactiver Hyper-Threading (également appelé SMT (Simultaneous Multi Threading). Consultez l’article KB4073757 pour obtenir des conseils sur la protection des appareils Windows.
Pour activer l’atténuation pour CVE-2023-20569 sur les processeurs AMD :
reg ajouter "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Pour activer l’atténuation de la CVE-2022-0001 sur les processeurs Intel :
ajout regg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
ajout reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Activation de plusieurs atténuations
Pour activer plusieurs atténuations, vous devez ajouter la valeur REG_DWORD de chaque atténuation.
Par exemple :
Atténuation de vulnérabilité d’abandon asynchrone de la transaction, échantillonnage de données microarchitecturales, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) et L1 Terminal Fault (L1TF) avec Hyper-Threading désactivé |
ajout de reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
REMARQUE 8264 (en décimal) = 0x2048 (en hexadécimal) Pour activer BHI et d’autres paramètres existants, vous devez utiliser la valeur de bit OU actuelle avec 8 388 608 (0x800000). 0x800000 OU 0x2048(8264 en décimal) et il deviendra 8 396 872 (0x802048). Même chose avec FeatureSettingsOverrideMask. |
|
Activer les mesures d’atténuation pour CVE-2022-0001 sur les processeurs Intel |
ajout de reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Atténuation combinée |
ajout de reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Atténuation de vulnérabilité d’abandon asynchrone de la transaction, échantillonnage de données microarchitecturales, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) et L1 Terminal Fault (L1TF) avec Hyper-Threading désactivé |
ajout de reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Activer les mesures d’atténuation pour CVE-2022-0001 sur les processeurs Intel |
ajout de reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Atténuation combinée |
ajout de reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Vérifier que les protections sont activées
Pour vous aider à vérifier que les protections sont activées, nous avons publié un script PowerShell que vous pouvez exécuter sur vos appareils. Installez et exécutez le script à l’aide de l’une des méthodes suivantes.
Installation du module PowerShell : PS> Install-Module SpeculationControl Exécution du module PowerShell pour vérifier que les protections sont activées : PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Installation du module PowerShell à partir de TechNet ScriptCenter : Accéder à https://aka.ms/SpeculationControlPS Téléchargez le fichier SpeculationControl.zip dans un dossier local. Extrayez le contenu dans un dossier local, par exemple C:\ADV180002. Exécution du module PowerShell pour vérifier que les protections sont activées : Démarrez PowerShell, puis (à l’aide de l’exemple précédent) copiez et exécutez les commandes suivantes : PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Pour une explication détaillée de la sortie du script PowerShell, veuillez consulter KB4074629.
Forum aux questions
Le microcode est fourni par le biais d’une mise à jour du microprogramme. Vous devez vérifier auprès du fabricant de votre processeur (chipset) et de votre appareil la disponibilité des mises à jour de sécurité du micrologiciel applicables à leur appareil spécifique, y compris le guide de révision du microcode d' Intels.
La résolution d’une vulnérabilité matérielle à l’aide d’une mise à jour logicielle constitue un défi considérable. En outre, les atténuations pour les systèmes d’exploitation antérieurs nécessitent des modifications importantes de l’architecture. Microsoft collabore avec les fabricants de puces concernés pour déterminer le meilleur moyen de proposer les atténuations, qui pourront être fournies dans des mises à jour ultérieures.
Les mises à jour pour les appareils Microsoft Surface seront proposées aux clients par le biais de Windows Update en même temps que les mises à jour du système d’exploitation Windows. Pour une liste des mises à jour disponibles du microcode des appareils Surface, voir KB4073065.
Dans le cas d’un appareil non-Microsoft, appliquez le microprogramme du fabricant de l’appareil. Pour plus d’informations, contactez le fabricant d’appareil OEM.
En février et en mars 2018, Microsoft a publié une protection supplémentaire pour certains systèmes x86. Pour plus d'informations, voir KB4073757 et l'avis de sécurité Microsoft ADV180002.
Les mises à jour pour Windows 10 pour HoloLens sont disponibles pour les clients HoloLens par le biais de Windows Update.
Après avoir appliqué la mise à jour de sécurité Windows de février 2018 , les clientsHoloLens n'ont pas besoin de prendre des mesures supplémentaires pour mettre à jour le micrologiciel de leur appareil. Ces atténuations seront également incluses dans toutes les versions futures de Windows 10 pour HoloLens.
Non. Les mises à jour de sécurité uniquement ne sont pas cumulatives. Selon la version du système d’exploitation que vous utilisez, vous devez installer chaque mise à jour mensuelle de sécurité uniquement pour bénéficier d’une protection contre ces vulnérabilités. Par exemple, si vous utilisez Windows 7 pour systèmes 32 bits sur un processeur Intel concerné, vous devez installer toutes les mises à jour de sécurité uniquement. Nous recommandons d’installer ces mises à jour de sécurité uniquement dans leur ordre de publication.
Remarque Une version antérieure de cette FAQ indiquait à tort que la mise à jour sécurité uniquement de février incluait les correctifs de sécurité publiés en janvier. En réalité, ce n’est pas le cas.
Non. La mise à jour de sécurité 4078130 était un correctif spécifique destiné à éviter les comportements imprévisibles du système, les problèmes de performance et/ou les redémarrages inattendus après l'installation d'un microcode. L’application des mises à jour de sécurité de février sur les systèmes d’exploitation clients Windows active toutes les trois atténuations.
Intel a récemment annoncé qu'elle avait achevé ses validations et commencé à publier des microcodes pour les nouvelles plates-formes de processeurs. Microsoft publie les mises à jour du microcode validées par Intel disponibles en ce qui concerne la variante 2 de Spectre (CVE-2017-5715, « Branch Target Injection »). KB4093836 répertorie les articles spécifiques de la base de connaissances par version de Windows. Chaque article contient les mises à jour du microcode Intel disponibles par processeur.
Ce problème a été résolu dans KB4093118.
AMD a récemment annoncé qu'elle avait commencé à publier des microcodes pour les nouvelles plateformes de CPU autour de la variante 2 de Spectre (CVE-2017-5715 « Branch Target Injection »). Pour plus d'informations, consultez les mises à jour de sécurité AMDet le livre blanc AMD: Directives d'architecture autour du contrôle de branche indirect . Ces documents sont disponibles à partir du canal de microprogramme OEM.
Microsoft publie les mises à jour du microcode validées par Intel disponibles en ce qui concerne la variante 2 de Spectre (CVE-2017-5715, « Branch Target Injection »). Pour obtenir les dernières mises à jour du microcode Intel au moyen de Windows Update, vous devez avoir installé le microcode Intel sur un appareil Windows 10 avant de procéder à la mise à niveau vers la mise à jour d’avril 2018 de Windows 10 (version 1803).
La mise à jour du microcode est également disponible directement à partir du Catalogue si elle n’était pas installée sur l’appareil avant la mise à niveau du système d’exploitation. Le microcode Intel est disponible par le biais de Windows Update, de WSUS ou du Catalogue Microsoft Update. Pour plus d’informations et pour obtenir des instructions de téléchargement, consultez KB4100347.
Pour plus d’informations, consultez les ressources suivantes :
Pour plus de détails, voir les sections «Actions recommandées» et «FAQ» dans ADV180012 | Microsoft Guidance pour le contournement de la mémoire spéculative.
Pour vérifier l’état de la fonctionnalité SSBD, le script PowerShell Get-SpeculationControlSettings a été mis à jour pour détecter les processeurs concernés, l’état des mises à jour du système d’exploitation SSBD et l’état du microcode du processeur, le cas échéant. Pour plus d’informations et pour obtenir le script PowerShell, consultez KB4074629.
Le 13 juin 2018, une vulnérabilité supplémentaire impliquant une exécution spéculative par canal latéral, connue sous le nom de Lazy FP State Restore, a été annoncée et assignée CVE-2018-3665. Aucun paramètre de configuration (Registre) n’est nécessaire pour Lazy FP State Restore.
Pour plus d'informations sur cette vulnérabilité et les actions recommandées, consultez l'avis de sécurité ADV180016 | Conseils de Microsoft pour la restauration paresseuse de l'état du PC.
Remarque : Aucun paramètre de configuration (Registre) n’est nécessaire pour Lazy FP State Restore.
La vulnérabilité « Bounds Check Bypass Store » (BCBS) a été divulguée le 10 juillet 2018 et attribuée à la CVE-2018-3693. Nous estimons que BCBS appartient à la même classe de vulnérabilités que « Bounds Check Bypass » (variante 1). À ce jour, nous n’avons connaissance d’aucune instance de BCBS dans nos logiciels. Nous poursuivons toutefois nos recherches sur cette classe de vulnérabilités et nous collaborerons avec des partenaires du secteur pour publier des atténuations, le cas échéant. Nous continuons d'encourager les chercheurs à soumettre toute découverte pertinente au programme de primes de Microsoft pour le canal latéral d'exécution spéculative Speculative Execution Side Channel, y compris toute instance exploitable de BCBS. Les développeurs de logiciels sont invités à consulter le guide du développeur qui a été mis à jour pour le BCBS à l'adresse suivante : https://aka.ms/sescdevguide.
Le 14 août 2018, L1 Terminal Fault (L1TF) a été annoncé et s'est vu attribuer plusieurs CVE. Ces nouvelles vulnérabilités de canal auxiliaire d’exécution spéculative peuvent servir à lire le contenu de la mémoire sur une limite approuvée et, en cas d’exploitation, peuvent entraîner une divulgation d’informations. Un attaquant pourrait déclencher les vulnérabilités à l’aide de plusieurs vecteurs en fonction de l’environnement configuré. La vulnérabilité L1TF touche les processeurs Intel® Core® et Intel® Xeon®.
Pour plus d’informations sur cette vulnérabilité et pour obtenir une présentation détaillée des scénarios concernés, entre autres l’approche de Microsoft en ce qui concerne l’atténuation de L1TF, consultez les ressources suivantes :
Les clients qui utilisent des processeurs ARM 64 bits doivent vérifier la prise en charge du micrologiciel auprès de l'équipementier de l'appareil, car les protections du système d'exploitation ARM64 qui atténuent la CVE-2017-5715 | Branch target injection (Spectre, Variant 2) nécessitent la dernière mise à jour du micrologiciel par les équipementiers de l'appareil pour être prises en compte.
Pour plus d’informations, consultez les avis de sécurité suivants :
Pour plus d’informations, consultez les avis de sécurité suivants :
Des conseils supplémentaires sont disponibles dans le guide Windows pour la protection contre les vulnérabilités des canaux latéraux de l'exécution spéculative
Veuillez vous référer aux conseils de Windows pour vous protéger contre les vulnérabilités des canaux latéraux d'exécution spéculative
Pour les conseils concernant Azure, veuillez vous référer à cet article : Conseils pour atténuer les vulnérabilités des canaux latéraux d'exécution spéculative dans Azure
Pour plus d'informations sur l'activation de Retpoline, consultez notre article de blog :Atténuer la variante 2 de Spectre avec Retpoline sur Windows.
Pour plus de détails sur cette vulnérabilité, voir le Guide de sécurité de Microsoft : CVE-2019-1125 | Vulnérabilité de divulgation d'informations du noyau Windows.
Microsoft n’a connaissance d’aucun cas où cette vulnérabilité de divulgation d’informations touche son infrastructure de services cloud.
Dès qu’elle a eu connaissance de ce problème, Microsoft a cherché rapidement une solution à ce problème et a publié une mise à jour. Microsoft est convaincue qu’une étroite collaboration avec les chercheurs et les partenaires du secteur permet de renforcer la sécurité des clients. Elle n’a dès lors publié les détails que le mardi 6 août, conformément à des pratiques de divulgation de vulnérabilité coordonnée.
Vous trouverez des instructions supplémentaires dans l’article Instructions Windows concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative.
Vous trouverez des instructions supplémentaires dans l’article Instructions Windows concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative.
Vous trouverez des instructions supplémentaires dans l’article Instructions pour désactiver la fonctionnalité Intel® Transactional Synchronization Extensions (Intel® TSX).
Références
Microsoft fournit des informations de contact de sociétés tierces afin de vous aider à obtenir un support technique. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant les sociétés tierces.