KB4072698 : Conseils windows Server et Azure Stack HCI pour se protéger contre les vulnérabilités du canal latéral de microarchitectural et d’exécution spéculative basée sur le silicium

S’applique à
Azure Local Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012
Journal des modifications
Modifier la date Description de la modification
20 Avril 2023
  • Ajout des informations de Registre MMIO.
8 août 2023
  • Suppression du contenu à propos du CVE-2022-23816 car le numéro CVE n'est pas utilisé
  • Ajout de « Confusion du type de branche » sous la section « Vulnérabilités »
  • Ajout d’informations supplémentaires à « CVE-2022-23825 | Section du Registre « Confusion du type de branche de l’UC AMD (BTC) »
9 août 2023
  • Mise à jour de « CVE-2022-23825 | Section du Registre RELATIVE à la confusion du type de branche du processeur AMD (AMD CPU Branch Type Confusion)
  • Ajout de « CVE-2023-20569 | Prédiction de l’adresse de retour du processeur AMD » à la section « Résumé »
  • Ajout de « CVE-2023-20569 | Section du Registre du prédicteur de l’adresse de retour du processeur AMD
9 avril 2024
  • Ajout de CVE-2022-0001 | Injection d’historique de branche Intel
16 avril 2024
  • Ajout de la section « Activation de plusieurs atténuations »

Récapitulatif

Cet article fournit des conseils pour une nouvelle classe de vulnérabilités de microarchitectectural et d’exécution spéculative side-channel basée sur le silicium qui affectent de nombreux processeurs et systèmes d’exploitation modernes. Cela inclut Intel, AMD et ARM. Vous trouverez des détails spécifiques pour ces vulnérabilités basées sur le silicium dans les AMV (Avis de sécurité) et les CVE (Common Vulnerabilities and Exposures) suivants :

Important

Ces problèmes affectent également d’autres systèmes d’exploitation, tels que Android, Chrome, iOS et MacOS. Nous conseillons aux clients de rechercher des conseils auprès de ces fournisseurs.

Nous avons publié plusieurs mises à jour pour contribuer à atténuer ces vulnérabilités. Nous avons également pris des mesures pour sécuriser nos services cloud. Pour plus d’informations, consultez les sections suivantes.

Microsoft n’a encore reçu aucune information faisant état d’une utilisation de ces vulnérabilités dans le but d’attaquer des clients. Nous collaborons étroitement avec des partenaires du secteur, notamment des fabricants de puces, des fabricants de matériel OEM et des fournisseurs d’applications, afin de protéger nos clients. Pour bénéficier de toutes les protections disponibles, des mises à jour du microprogramme (microcode) et des mises à jour logicielles sont requises. Cela concerne notamment le microcode des fabricants d’appareils OEM et, dans certains cas, des mises à jour de l’antivirus.

Vulnérabilités

Exécution spéculative

Cet article traite des vulnérabilités d’exécution spéculative suivantes :

Windows Update propose également des atténuations pour Internet Explorer et Edge. Nous continuerons à améliorer ces atténuations contre cette classe de vulnérabilités.

Pour en savoir plus sur cette classe de vulnérabilités, consultez les avis suivants :

Vulnérabilité d’échantillonnage de données microarchitectural

Le 14 mai 2019, Intel a publié des informations sur une nouvelle sous-classe de vulnérabilités de canal latéral d’exécution spéculative connue sous le nom d’échantillonnage des données microarchitecturales et documentées dans ADV190013 | Échantillonnage des données microarchitecturales. Ces vulnérabilités ont été attribuées aux CVE suivantes :

Important

ces problèmes concernent d’autres systèmes tels qu’Android, Chrome, iOS et Mac OS. Nous conseillons aux clients de rechercher des conseils auprès de ces fournisseurs.

Microsoft a publié des mises à jour pour contribuer à atténuer ces vulnérabilités. Pour bénéficier de toutes les protections disponibles, des mises à jour du microprogramme (microcode) et des mises à jour logicielles sont requises. Cela peut concerner notamment le microcode des fabricants d’appareils OEM. Dans certains cas, l’installation de ces mises à jour a un impact sur les performances. Microsoft a également pris des mesures pour sécuriser ses services cloud. Microsoft recommande vivement de déployer ces mises à jour.

Pour plus d’informations sur ce problème, consultez l’avis de sécurité suivant et utilisez les instructions propres à chaque scénario pour déterminer les actions nécessaires pour atténuer la menace :

Remarque

Microsoft vous recommande d’installer toutes les dernières mises à jour de Windows Update avant d’installer des mises à jour du microcode.

Spectre, Vulnérabilité de variante 1

Le 6 août 2019, Intel a publié des détails sur une vulnérabilité de divulgation d’informations dans le noyau Windows. Cette vulnérabilité est une variante de la vulnérabilité de canal latéral d’exécution spéculative Spectre 1 et a été affectée à CVE-2019-1125.

Le 9 juillet 2019, Microsoft a publié des mises à jour de sécurité pour le système d’exploitation Windows afin d’atténuer ce problème. Microsoft n’a publié les informations sur cette atténuation que le mardi 6 août 2019, lors de la divulgation coordonnée à l’échelle du secteur.

Les clients ayant activé Windows Update et appliqué les mises à jour de sécurité publiées le 9 juillet 2019 sont automatiquement protégés. Aucune configuration supplémentaire n’est nécessaire.

Remarque

Remarque Cette vulnérabilité ne nécessite pas de mise à jour du microcode du fabricant de l’appareil (OEM).

Pour plus d’informations sur cette vulnérabilité et sur les mises à jour applicables, consultez le guide des mises à jour de sécurité Microsoft :

Vulnérabilité d’abandon asynchrone de transaction

Le 12 novembre 2019, Intel a publié un avis technique sur la vulnérabilité d’abandon asynchrone de transaction asynchrone Intel® Transactional Synchronization Extensions (Intel TSX) affectée CVE-2019-11135. Microsoft a publié des mises à jour pour atténuer cette vulnérabilité et les protections du système d’exploitation sont activées par défaut pour Windows Server 2019, mais désactivées par défaut pour Windows Server 2016 et les éditions antérieures du système d’exploitation Windows Server.

Vulnérabilité d’échantillonnage de données obsolètes MMIO

Le 14 juin 2022, nous avons publié ADV220002 | Conseils Microsoft sur les vulnérabilités de données obsolètes MMIO du processeur Intel et les éléments suivants :

Actions recommandées

Les clients doivent prendre les mesures suivantes pour bénéficier d’une protection contre les vulnérabilités :

  1. Appliquer toutes les mises à jour disponibles pour le système d’exploitation Windows, y compris les mises à jour de sécurité Windows mensuelles.
  2. Appliquer la mise à jour applicable du microprogramme (microcode) fournie par le fabricant de l’appareil.
  3. Évaluez le risque pour votre environnement en fonction des informations fournies dans les avis de sécurité Microsoft : ADV180002, ADV180012, ADV190013 et ADV220002, en plus des informations fournies dans cet article base de connaissances.
  4. Prenez les mesures nécessaires en utilisant les avis et informations de clé de Registre fournies dans cet article de la base de connaissances.

Remarque

Les clients Surface recevront une mise à jour du microcode via Windows Update. Pour obtenir la liste des dernières mises à jour du microcode (microcode) du microprogramme de l’appareil Surface, consultez KB4073065.

Confusion du type de branche

Le 12 juillet 2022, nous avons publié CVE-2022-23825 | Confusion du type de branche du processeur AMD qui décrit que les alias dans le prédicteur de branche peuvent amener certains processeurs AMD à prédire le type de branche incorrect. Ce problème peut potentiellement entraîner la divulgation d’informations.

Pour vous protéger contre cette vulnérabilité, nous vous recommandons d’installer les mises à jour Windows qui datent de juillet 2022 ou après, puis de prendre les mesures requises par CVE-2022-23825 et lesinformations de clé de Registre fournies dans cet article base de connaissances.

Pour plus d’informations, consultez le bulletin de sécurité AMD-SB-1037 .

Prédicteur d’adresse de retour

Le 8 août 2023, nous avons publié CVE-2023-20569 | Return Address Predictor (également appelé Inception) qui décrit une nouvelle attaque de canal latéral spéculatif qui peut entraîner une exécution spéculative à une adresse contrôlée par l’attaquant. Ce problème affecte certains processeurs AMD et peut potentiellement entraîner la divulgation d’informations.

Pour vous protéger contre cette vulnérabilité, nous vous recommandons d’installer les mises à jour Windows qui datent d’août 2023 ou après, puis de prendre les mesures requises par CVE-2023-20569 et les informations de clé de Registre fournies dans cet article base de connaissances.

Pour plus d’informations, consultez le bulletin de sécurité AMD-SB-7005 .

Injection d’historique de branche

Le 9 avril 2024, nous avons publié CVE-2022-0001 | Injection d’historique de branche Intel qui décrit l’injection d’historique de branche (BHI) qui est une forme spécifique de BTI intra-mode. Cette vulnérabilité se produit lorsqu’un attaquant peut manipuler l’historique des branches avant de passer du mode utilisateur au mode superviseur (ou du mode VMX non racine/invité au mode racine). Cette manipulation peut entraîner la sélection d’une entrée de prédiction spécifique pour une branche indirecte par un prédicteur indirect, et un gadget de divulgation sur la cible prédite s’exécutera temporairement. Cela peut être possible, car l’historique de branche pertinent peut contenir des branches prises dans des contextes de sécurité précédents, et en particulier d’autres modes de prédiction.

Paramètres d’atténuation pour Windows Server et Azure Stack HCI

Les avis de sécurité (ADV) et les CVE fournissent des informations sur le risque que présentent ces vulnérabilités. Ils vous aident également à identifier les vulnérabilités et à identifier l’état par défaut des atténuations pour les systèmes Windows Server. Le tableau ci-dessous récapitule la nécessité d’un microcode du processeur et l’état par défaut des atténuations sous Windows Server.

CVE Microcode/microprogramme du processeur nécessaire ? État par défaut des atténuations
CVE-2017-5753 Non Activées par défaut (pas d’option de désactivation)
Pour plus d’informations, consultez l’avis ADV180002.
CVE-2017-5715 Oui désactivées par défaut.
Reportez-vous à ADV180002 pour plus d’informations et à cet article de la Base de connaissances pour connaître les paramètres de clé de Registre applicables.
Note « Retpoline » est activé par défaut pour les appareils exécutant Windows 10, version 1809 et versions ultérieures si Spectre Variant 2 (CVE-2017-5715) est activé. Pour plus d’informations sur « Retpoline », consultez le billet de blog Mitigationing Spectre variant 2 with Retpoline on Windows .
CVE-2017-5754 Non Windows Server 2019, Windows Server 2022 et Azure Stack HCI : activé par défaut.
Windows Server 2016 et versions antérieures : désactivé par défaut.
Pour plus d’informations, consultez l’avis ADV180002.
CVE-2018-3639 Intel : Oui
AMD : Non
désactivées par défaut. Pour plus d’informations, consultez ADV180012 et cet article pour connaître les paramètres de clé de Registre applicables.
CVE-2018-11091 Intel : Oui Windows Server 2019, Windows Server 2022 et Azure Stack HCI : activé par défaut.
Windows Server 2016 et versions antérieures : désactivé par défaut.
Pour plus d’informations, consultez ADV190013 et cet article pour connaître les paramètres de clé de Registre applicables.
CVE-2018-12126 Intel : Oui Windows Server 2019, Windows Server 2022 et Azure Stack HCI : activé par défaut.
Windows Server 2016 et versions antérieures : désactivé par défaut.
Pour plus d’informations, consultez ADV190013 et cet article pour connaître les paramètres de clé de Registre applicables.
CVE-2018-12127 Intel : Oui Windows Server 2019, Windows Server 2022 et Azure Stack HCI : activé par défaut.
Windows Server 2016 et versions antérieures : désactivé par défaut.
Pour plus d’informations, consultez ADV190013 et cet article pour connaître les paramètres de clé de Registre applicables.
CVE-2018-12130 Intel : Oui Windows Server 2019, Windows Server 2022 et Azure Stack HCI : activé par défaut.
Windows Server 2016 et versions antérieures : désactivé par défaut.
Pour plus d’informations, consultez ADV190013 et cet article pour connaître les paramètres de clé de Registre applicables.
CVE-2019-11135 Intel : Oui Windows Server 2019, Windows Server 2022 et Azure Stack HCI : activé par défaut.
Windows Server 2016 et versions antérieures : désactivé par défaut.
Pour plus d’informations, consultez CVE-2019-11135 et cet article pour connaître les paramètres de clé de Registre applicables.
CVE-2022-21123 (partie de mmio ADV220002) Intel : Oui Windows Server 2019, Windows Server 2022 et Azure Stack HCI : activé par défaut.
Windows Server 2016 et versions antérieures : désactivé par défaut.*
Pour plus d’informations, consultez CVE-2022-21123 et cet article pour connaître les paramètres de clé de Registre applicables.
CVE-2022-21125 (partie de mmio ADV220002) Intel : Oui Windows Server 2019, Windows Server 2022 et Azure Stack HCI : activé par défaut.
Windows Server 2016 et versions antérieures : désactivé par défaut.*
Pour plus d’informations, consultez CVE-2022-21125 et cet article pour connaître les paramètres de clé de Registre applicables.
CVE-2022-21127 (partie de mmio ADV220002) Intel : Oui Windows Server 2019, Windows Server 2022 et Azure Stack HCI : activé par défaut.
Windows Server 2016 et versions antérieures : désactivé par défaut.*
Pour plus d’informations, consultez CVE-2022-21127 et cet article pour connaître les paramètres de clé de Registre applicables.
CVE-2022-21166 (partie de mmio ADV220002) Intel : Oui Windows Server 2019, Windows Server 2022 et Azure Stack HCI : activé par défaut.
Windows Server 2016 et versions antérieures : désactivé par défaut.*
Pour plus d’informations, consultez CVE-2022-21166 et cet article pour connaître les paramètres de clé de Registre applicables.
CVE-2022-23825 (Confusion du type de branche processeur AMD) AMD : Non Pour plus d’informations, consultez CVE-2022-23825 et cet article pour connaître les paramètres de clé de Registre applicables.
CVE-2023-20569
(Prédicteur d’adresse de retour du processeur AMD)
AMD : Oui Pour plus d’informations, consultez CVE-2023-20569 et cet article pour connaître les paramètres de clé de Registre applicables.
CVE-2022-0001 Intel : Non Désactivé par défaut
Pour plus d’informations, consultez CVE-2022-0001 et cet article pour connaître les paramètres de clé de Registre applicables.

Remarque

* Suivez les instructions d’atténuation pour Meltdown ci-dessous.

Si vous souhaitez obtenir toutes les protections disponibles contre ces vulnérabilités, vous devez apporter des modifications de clé de Registre pour activer ces atténuations qui sont désactivées par défaut.

L’activation de ces atténuations peut réduire les performances. L’ampleur de l’impact sur les performances varie en fonction de différents facteurs, comme le circuit microprogrammé de l’hôte physique et les charges de travail exécutées. Nous vous recommandons d’évaluer les effets sur les performances de votre environnement et d’effectuer les ajustements nécessaires.

Votre serveur est exposé à un risque accru s’il relève de l’une des catégories suivantes :

  • Hôtes Hyper-V :  nécessite une protection pour les attaques de machine virtuelle à machine virtuelle et de machine virtuelle à hôte.
  • Services Bureau à distance Hosts (RDSH) :  requiert une protection d’une session à une autre ou contre les attaques de session à hôte.
  • Les ordinateurs hôtes physiques ou les machines virtuelles qui exécutent code non approuvé, tels que des conteneurs ou des extensions non approuvées pour la base de données, le contenu web non approuvé ou les charges de travail qui exécutent du code provenant de sources externes. nécessitent une protection contre les attaques d’un processus non approuvé vers un autre processus ou d’un processus non approuvé vers le noyau.

Utilisez les paramètres de clé de Registre suivants pour activer les atténuations sur le serveur et redémarrez l’appareil pour que les modifications prennent effet.

Remarque

Par défaut, l’activation des atténuations désactivées peut affecter les performances. L’impact réel sur les performances varie en fonction de différents facteurs, comme le circuit microprogrammé de l’appareil et les charges de travail exécutées.

Paramètres du Registre

Nous fournissons les informations de Registre suivantes pour activer les atténuations qui ne sont pas activées par défaut, comme indiqué dans les avis de sécurité (ADV) et les CVE. De plus, Microsoft fournit les paramètres de clé de Registre pour les utilisateurs souhaitant désactiver les atténuations liées aux vulnérabilités CVE-2017-5715 et CVE-2017-5754 pour les clients Windows.

Remarque

  • IMPORTANT Cette section, méthode ou tâche contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d’informations sur les procédures de sauvegarde et de restauration du Registre, consultez l’article suivant de la Base de connaissances Microsoft :
  • KB322756 Comment sauvegarder et restaurer le Registre dans Windows

Gérer les atténuations pour CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) et CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

Remarque

  • IMPORTANT Par défaut, Retpoline est configuré comme suit si Spectre, l’atténuation variant 2 (CVE-2017-5715) est activée :
    • L’atténuation de la retpoline est activée sur Windows 10, version 1809 et versions ultérieures de Windows.
    • L’atténuation de la retpoline est désactivée sur les versions Windows Server Windows Server 2019 et ultérieures.
  • Pour plus d’informations sur la configuration de Retpoline, consultez Atténuation de la variante 2 de Spectre avec Retpoline sur Windows.
  • Pour activer les atténuations pour CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) et CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant :
    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
    S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez complètement toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées.
    Redémarrez l’appareil pour que les modifications prennent effet.
  • Pour désactiver les atténuations pour CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) et CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    Redémarrez l’appareil pour que les modifications prennent effet.

Remarque

La définition de FeatureSettingsOverrideMask sur 3 est précise pour les paramètres « Activer » et « Désactiver ». (Pour plus d’informations sur les clés de Registre, consultez la section « Forum aux questions ».)

Gérer l’atténuation pour CVE-2017-5715 (Spectre Variant 2)
Pour désactiver la variante 2 : (CVE-2017-5715 | Injection de cible de branche) :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Redémarrez l’appareil pour que les modifications prennent effet.
Pour activer la variante 2 : (CVE-2017-5715 | Injection de cible de branche) :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Redémarrez l’appareil pour que les modifications prennent effet.
Processeurs AMD uniquement : activez l’atténuation complète pour CVE-2017-5715 (Spectre Variant 2)

Par défaut, la protection utilisateur-noyau pour CVE-2017-5715 est désactivée pour les processeurs AMD. Les clients doivent activer l’atténuation pour bénéficier des protections supplémentaires pour la vulnérabilité CVE-2017-5715.  Pour plus d’informations, consultez le point 15 du forum aux questions dans l’avis ADV180002.

Activez la protection utilisateur-à-noyau sur les processeurs AMD, ainsi que d’autres protections pour CVE 2017-5715 :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant :
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez complètement toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées.
Redémarrez l’appareil pour que les modifications prennent effet.
Gérer les atténuations pour CVE-2018-3639 (contournement du magasin spéculatif), CVE-2017-5715 (Spectre Variant 2) et CVE-2017-5754 (Meltdown)
Pour activer les atténuations pour CVE-2018-3639 (contournement du magasin spéculatif), CVE-2017-5715 (Spectre Variant 2) et CVE-2017-5754 (Meltdown) :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant :
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez complètement toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées.
Redémarrez l’appareil pour que les modifications prennent effet.
Pour désactiver les atténuations pour CVE-2018-3639 (contournement du magasin spéculatif) ET les atténuations pour CVE-2017-5715 (Spectre Variant 2) et CVE-2017-5754 (Meltdown)
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Redémarrez l’appareil pour que les modifications prennent effet.
Processeurs AMD uniquement : activez l’atténuation complète pour CVE-2017-5715 (Spectre Variant 2) et CVE 2018-3639 (contournement du magasin spéculatif)

Par défaut, la protection utilisateur-noyau pour CVE-2017-5715 est désactivée pour les processeurs AMD. Les clients doivent activer l’atténuation pour bénéficier des protections supplémentaires pour la vulnérabilité CVE-2017-5715.  Pour plus d’informations, consultez le point 15 du forum aux questions dans l’avis ADV180002.

Activez la protection utilisateur-à-noyau sur les processeurs AMD, ainsi que d’autres protections pour CVE 2017-5715 et protections pour CVE-2018-3639 (contournement spéculatif du magasin) :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant :
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez complètement toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées.
Redémarrez l’appareil pour que les modifications prennent effet.
Gérer la vulnérabilité d’abandon asynchrone de transaction, l’échantillonnage de données microarchitectural, Spectre, Meltdown, MMIO, SSBD (Speculative Store Bypass Disable) et L1 Terminal Fault (L1TF)
Pour activer les atténuations pour la vulnérabilité d’abandon asynchrone de transaction asynchrone des extensions de synchronisation transactionnelle Intel (Intel TSX) (CVE-2019-11135) et l’échantillonnage des données microarchitecturales ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) ainsi que Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] variants, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, et CVE-2022-21166), y compris la désactivation de contournement du magasin spéculatif (SSBD) [CVE-2018-3639 ] ainsi que l’erreur terminale L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646] sans désactiver Hyper-Threading :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant :
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez complètement toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées.
Redémarrez l’appareil pour que les modifications prennent effet.
Pour activer les atténuations pour la vulnérabilité d’abandon asynchrone de transaction des extensions de synchronisation transactionnelle Intel (Intel TSX) (CVE-2019-11135) et l’échantillonnage de données microarchitectural ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) ainsi que Spectre [CVE-2017-5753 & CVE-2017-5715] et Meltdown [CVE-2017-5754] variantes, notamment La désactivation de contournement du magasin spéculatif (SSBD) [CVE-2018-3639] ainsi que l’erreur terminale L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646] avec Hyper-Threading désactivé :
reg ajouter " HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management " /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant :
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : Arrêtez complètement toutes les Machines Virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées.
Redémarrez l’appareil pour que les modifications prennent effet.
Pour désactiver les atténuations pour la vulnérabilité d’abandon asynchrone de transaction des extensions de synchronisation transactionnelle Intel (Intel TSX) (CVE-2019-11135) et l’échantillonnage de données microarchitectural ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) ainsi que Spectre [CVE-2017-5753 & CVE-2017-5715] et Meltdown [CVE-2017-5754] variantes, notamment La désactivation de contournement du magasin spéculatif (SSBD) [CVE-2018-3639] ainsi que l’erreur terminale L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646] :
reg ajouter " HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management " /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Redémarrez l’appareil pour que les modifications prennent effet.
CVE-2022-23825 \| Confusion du type de branche du processeur AMD (AMD CPU Branch Type Confusion)

Pour activer l’atténuation pour CVE-2022-23825 sur les processeurs AMD :

reg ajouter « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management » /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pour être entièrement protégés, les clients devront peut-être également désactiver Hyper-Threading (également appelé SMT (Simultaneous Multi Threading). Consultez KB4073757 pour obtenir des conseils sur la protection des appareils Windows.

CVE-2023-20569 \| Prédicteur de l’adresse de retour du processeur AMD

Pour activer l’atténuation pour CVE-2023-20569 sur les processeurs AMD :

reg ajouter "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

CVE-2022-0001 \| Injection d’historique de branche Intel

Pour activer l’atténuation de CVE-2022-0001 sur les processeurs Intel :

ajout regg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

ajout reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Activation de plusieurs atténuations

Pour activer plusieurs atténuations, vous devez ajouter la valeur REG_DWORD de chaque atténuation.

Par exemple :


Atténuation de vulnérabilité d’abandon asynchrone de la transaction, échantillonnage de données microarchitecturales, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) et L1 Terminal Fault (L1TF) avec Hyper-Threading désactivé ajout de reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f
REMARQUE 8264 (en décimal) = 0x2048 (en hexadécimal)
Pour activer le BHI en même temps que les autres paramètres existants, vous devez utiliser la valeur de bit OU de la valeur actuelle avec 8 388 608 (0x800000).
0x800000 OU 0x2048(8264 en décimal) et il deviendra 8 396 872(0x802048). Même chose avec FeatureSettingsOverrideMask.
Activer les mesures d’atténuation pour CVE-2022-0001 sur les processeurs Intel ajout de reg « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management » /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
Atténuation combinée ajout de reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Vérification de l’activation des protections

Pour vous aider à vérifier que les protections sont activées, nous avons publié un script PowerShell que vous pouvez exécuter sur vos appareils. Installez et exécutez le script à l’aide de l’une des méthodes suivantes.

Méthode 1 : vérification PowerShell à l’aide de la PowerShell Gallery (Windows Server 2016 ou WMF 5.0/5.1)
Installation du module PowerShell :
PS> Install-Module SpeculationControl
Exécution du module PowerShell pour vérifier que les protections sont activées :
PS> # Save the current execution policy so it can be reset
PS> $SaveExecutionPolicy = Get-ExecutionPolicy
PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser
PS> Import-Module SpeculationControl
PS> Get-SpeculationControlSettings
PS> # Reset the execution policy to the original state
PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser
Méthode 2 : vérification PowerShell à l’aide d’un téléchargement à partir de Technet (versions antérieures du système d’exploitation et versions antérieures de WMF)
Installation du module PowerShell à partir de TechNet ScriptCenter :

  1. Accédez à https://aka.ms/SpeculationControlPS .
  2. Téléchargez le fichier SpeculationControl.zip dans un dossier local.
  3. Extrayez le contenu dans un dossier local. Par exemple : C:\ADV180002
Exécution du module PowerShell pour vérifier que les protections sont activées :

Démarrez PowerShell, puis utilisez l’exemple précédent pour copier et exécuter les commandes suivantes :

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Pour obtenir une explication détaillée de la sortie du script PowerShell, consultez KB4074629 .

Forum Aux Questions

Les mises à jour de sécurité Windows publiées en janvier et février 2018 ne m’ont pas été proposées. Que dois-je faire ?

Afin d’éviter tout impact négatif sur les appareils, les mises à jour de sécurité Windows publiées en janvier et en février 2018 n’étaient pas proposées à tous les clients. Pour plus d’informations, consultez KB407269 .

Comment puis-je savoir si j’ai la version correcte du microcode du processeur ?

Le microcode est fourni par le biais d’une mise à jour du microprogramme. Contactez votre fabricant OEM pour connaître la version du microprogramme bénéficiant de la mise à jour appropriée pour votre ordinateur.

Quels sont les effets sur les performances des atténuations ?

Plusieurs facteurs ont un impact sur les performances, de la version du système aux charges de travail exécutées. Pour certains systèmes, l’impact sur les performances est négligeable, contrairement à d’autres systèmes.

Nous vous recommandons d’évaluer l’impact sur les performances de vos systèmes et d’apporter les modifications nécessaires.

J’exécute Windows Server dans un environnement ou un cloud hébergé par un tiers. Que dois-je faire ?

Outre les instructions de cet article concernant les machines virtuelles, vous devez contacter votre fournisseur de services pour vous assurer que les hôtes exécutant vos machines virtuelles sont protégés de manière adéquate.

Pour les machines virtuelles Windows Server qui s’exécutent dans Azure, consultez le Guide pour atténuer les vulnérabilités spéculatives de canal d’exécution dans Azure. Pour obtenir des conseils sur l’utilisation de Azure Update Management pour atténuer ce problème sur les machines virtuelles invitées, consultez KB4077467.

Existe-t-il des instructions Windows Server spécifiques au conteneur ?

Les mises à jour publiées pour les images de conteneur Windows Server pour Windows Server 2016 et Windows 10 version 1709 contiennent les atténuations pour cet ensemble de vulnérabilités. Aucune configuration supplémentaire n’est requise.

Remarque Vous devez toujours vous assurer que l’hôte sur lequel ces conteneurs s’exécutent est configuré pour activer les atténuations appropriées.

Les mises à jour logicielles et matérielles doivent-elles être installées dans un ordre particulier ?

Non, l’ordre d’installation n’a pas d’importance.

Y aura-t-il plusieurs redémarrages ?

Oui, vous devez effectuer un redémarrage après la mise à jour du microprogramme (microcode) ainsi qu’après la mise à jour du système.

Pouvez-vous fournir plus d’informations sur les clés de Registre ?

Voici les détails concernant les clés de Registre :

FeatureSettingsOverride représente un bitmap qui remplace le paramètre par défaut et détermine les atténuations désactivées. Le bit 0 détermine l’atténuation correspondant à CVE-2017-5715, Bit 1 contrôle l’atténuation qui correspond à CVE-2017-5754. Les bits sont définis sur 0 pour activer l’atténuation et sur 1 pour désactiver l’atténuation.

FeatureSettingsOverrideMask représente un masque bitmap utilisé avec FeatureSettingsOverride. Dans ce cas, nous utilisons la valeur 3 (représentée comme 11 dans le système numérique binaire ou base-2) pour indiquer les deux premiers bits qui correspondent aux atténuations disponibles. Cette clé de Registre a la valeur 3 pour activer ou désactiver les atténuations.

La clé MinVmVersionForCpuBasedMitigations est destinée aux hôtes Hyper-V. Cette clé de Registre définit la version minimale de machine virtuelle requise pour utiliser les fonctionnalités de microprogramme mises à jour (CVE-2017-5715). Attribuez la valeur 1.0 pour couvrir toutes les versions de machine virtuelle. Cette valeur de Registre est ignorée (bénigne) sur les hôtes non-Hyper-V. Pour plus d’informations, consultez Protection des machines virtuelles invitées contre CVE-2017-5715 (injection de cible de branche).

Puis-je définir les clés de Registre avant d’installer la mise à jour, puis installer la mise à jour et redémarrer pour que les modifications prennent effet ?

Oui, il n’y a aucun effet secondaire si ces paramètres de Registre sont appliqués avant l’installation des correctifs connexes de janvier 2018.

Pouvez-vous fournir plus d’informations sur la sortie du script de vérification PowerShell ?

Consultez une description détaillée de la sortie du script dans KB4074629 : Présentation de la sortie du script PowerShell SpeculationControl .

Si la mise à jour du microprogramme (microcode) n’est pas encore disponible auprès de mon OEM, existe-t-il toujours un moyen de protéger mon hôte Hyper-V ?

Oui, pour les hôtes Hyper-V Windows Server 2016 pour lesquels la mise à jour du microprogramme n’est pas encore disponible, nous avons publié des instructions alternatives permettant d’atténuer les attaques d’une machine virtuelle vers une autre machine virtuelle ou d’une machine virtuelle vers un hôte. Voir Protections alternatives pour les hôtes Windows Server 2016 Hyper-V contre les vulnérabilités de canal auxiliaire d’exécution spéculative.

Si je suis sur la branche Sécurité uniquement, quelles mises à jour de sécurité uniquement dois-je installer pour être protégé contre ces vulnérabilités ?

Les mises à jour de sécurité uniquement ne sont pas cumulatives. Selon la version de votre système d’exploitation, vous devrez peut-être installer plusieurs mises à jour de sécurité pour bénéficier d’une protection intégrale. En général, les clients doivent installer les mises à jour de janvier, de février, de mars et d’avril 2018. Les systèmes disposant de processeurs AMD nécessitent une mise à jour supplémentaire indiquée dans le tableau suivant :

Version du système d’exploitation Mise à jour de sécurité
Windows 8.1, Windows Server 2012 R2 KB4338815 - Correctif cumulatif mensuel
KB4338824- Sécurité uniquement
Windows 7 SP1, Windows Server 2008 R2 SP1 ou Windows Server 2008 R2 SP1 (installation Server Core) KB4284826 - Correctif cumulatif mensuel
KB4284867 - Sécurité uniquement
Windows Server 2008 SP2 KB4340583 - Mise à jour de sécurité

Nous vous recommandons d’installer les mises à jour de sécurité uniquement dans l’ordre de publication.

Remarque

Une version antérieure de ce FORUM aux questions a indiqué à tort que la mise à jour de sécurité uniquement de février incluait les correctifs de sécurité publiés en janvier. En réalité, ce n’est pas le cas.

Si j’applique l’une des mises à jour de sécurité applicables, désactivera-t-elle les protections pour CVE-2017-5715 de la même façon que la mise à jour de sécurité KB4078130 ?

Non. La mise à jour de sécurité KB4078130 était un correctif spécifique pour empêcher les comportements système imprévisibles, les problèmes de performances et les redémarrages inattendus après l’installation du microcode. L’application des mises à jour de sécurité sur les systèmes d’exploitation clients Windows active toutes les trois atténuations. Sur les systèmes d’exploitation Windows Server, vous devez encore activer les atténuations une fois les tests appropriés effectués. Pour plus d’informations, consultez KB4072698.

Problème connu : certains utilisateurs peuvent rencontrer des problèmes de connectivité réseau ou perdre des paramètres d’adresse IP après avoir installé la mise à jour de sécurité du 13 mars 2018 (Kb 4088875)

Ce problème a été résolu dans KB4093118.

Intel a identifié des problèmes de redémarrage qui impliquent un microcode sur certains processeurs plus anciens. Que dois-je faire ?

En février 2018, Intel a annoncé qu’il avait terminé ses validations et commencé à publier un microcode pour les nouvelles plateformes de processeur. Microsoft met à disposition des mises à jour de microcode validées Par Intel qui concernent Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Injection de cible de branche).  KB4093836 répertorie des articles base de connaissances spécifiques par version de Windows. Chaque article contient les mises à jour du microcode Intel disponibles par processeur.

Le 11 janvier 2018, Intel a signalé des problèmes dans le microcode récemment publié destiné à traiter la variante 2 de Spectre (CVE-2017-5715 | Injection de cible de branche). Plus précisément, Intel a noté que ce microcode peut entraîner « des redémarrages plus élevés que prévu et d’autres comportements imprévisibles du système » et que ces scénarios peuvent entraîner une « perte de données ou une altération ». Notre expérience est que l’instabilité du système peut entraîner une perte ou une altération des données dans certaines circonstances. Le 22 janvier, Intel a recommandé à ses clients d’arrêter le déploiement de la version actuelle du microcode sur les processeurs concernés pendant qu’il réalisait des tests supplémentaires sur la solution mise à jour. Nous comprenons qu’Intel poursuit ses recherches sur les effets potentiels de la version actuelle du microcode. Nous invitons nos clients à consulter régulièrement ses instructions pour les aider à prendre des décisions.

Bien qu’Intel teste, met à jour et déploie un nouveau microcode, nous mettons à disposition une mise à jour OOB (out-of-band), KB4078130, qui désactive spécifiquement uniquement l’atténuation contre CVE-2017-5715. Nos tests confirment que cette mise à jour empêche le comportement décrit. Pour obtenir la liste complète des appareils, consultez les conseils de révision du microcode d’Intel. Cette mise à jour concerne Windows 7 Service Pack 1 (SP1), Windows 8.1 et toutes les versions de Windows 10 (client et serveur). Si vous exécutez un appareil affecté, cette mise à jour peut être appliquée en la téléchargeant à partir du site web du catalogue Microsoft Update. L’application de cette charge utile désactive en particulier uniquement l’atténuation contre la vulnérabilité CVE-2017-5715.

À ce stade, aucun rapport connu n’indique que ce Spectre Variant 2 (CVE-2017-5715 | Injection de cible de branche) a été utilisée pour attaquer les clients. Nous recommandons aux utilisateurs Windows de réactiver, le cas échéant, l’atténuation contre CVE-2017-5715 dès qu’Intel aura signalé que ce comportement imprévisible du système est résolu pour l’appareil concerné.

J’ai entendu dire qu’Intel a publié des mises à jour de microcode. Où puis-je les trouver ?

En février 2018, Intel a annoncé qu’il avait terminé ses validations et commencé à publier des microcodes pour les plateformes de processeur plus récentes. Microsoft met à disposition des mises à jour de microcode validées par Intel liées à Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Injection de cible de branche). KB4093836 répertorie des articles base de connaissances spécifiques par version de Windows. Les articles répertorient les mises à jour du microcode Intel disponibles par processeur.

Pour plus d’informations, consultez AMD Security Mises à jour et LIVRE BLANC AMD : Architecture Guidelines around Indirect Branch Control . Ces documents sont disponibles à partir du canal de microprogramme OEM.

J’exécute Windows 10 mise à jour d’avril 2018 (version 1803). Le microcode Intel est-il disponible pour mon appareil ? Où puis-je le trouver ?

Nous mettons à disposition des mises à jour de microcode validées par Intel qui concernent Spectre Variant 2 (CVE-2017-5715 | Injection de cible de branche). Pour obtenir les dernières mises à jour du microcode Intel au moyen de Windows Update, vous devez avoir installé le microcode Intel sur un appareil Windows 10 avant de procéder à la mise à niveau vers la mise à jour d’avril 2018 de Windows 10 (version 1803).

La mise à jour du microcode est également disponible directement à partir du Catalogue Microsoft Update si elle n’était pas installée sur l’appareil avant la mise à niveau du système. Le microcode Intel est disponible via Windows Update, Windows Server Update Services (WSUS) ou le catalogue Microsoft Update. Pour plus d’informations et pour obtenir des instructions de téléchargement, consultez KB4100347.

Où puis-je trouver des informations sur les nouvelles vulnérabilités du canal latéral d’exécution spéculative (Contournement du magasin spéculatif - CVE-2018-3639 et Lecture du registre des systèmes non fiables - CVE-2018-3640) ?

Pour plus d’informations, consultez les ressources suivantes :

Où puis-je trouver plus d’informations sur la prise en charge windows de la désactivation de contournement du magasin spéculatif (SSBD) dans les processeurs Intel ?

Consultez les sections « Actions recommandées » et « FAQ » de ADV180012 | Conseils Microsoft pour la déviation des magasins spéculatifs.

Comment faire déterminer si SSBD est activé ou désactivé ?

Pour vérifier la status de SSBD, le script PowerShell Get-SpeculationControlSettings a été mis à jour pour détecter les processeurs affectés, status des mises à jour du système d’exploitation SSBD et l’état du microcode du processeur, le cas échéant. Pour plus d’informations et pour obtenir le script PowerShell, consultez l’article KB4074629.

J’ai entendu parler de « Restauration de l’état FP différée » (CVE-2018-3665). Microsoft publiera-t-il des mesures d’atténuation pour cela ?

Le 13 juin 2018, une vulnérabilité supplémentaire qui implique une exécution spéculative de canal latéral, connue sous le nom de Restauration de l’état fp paresseux, a été annoncée et affectée à CVE-2018-3665 . Pour plus d’informations sur cette vulnérabilité et les actions recommandées, consultez l’avis de sécurité ADV180016 | Conseils Microsoft pour la restauration d’état fp différée .

Remarque Aucun paramètre de configuration (Registre) n’est nécessaire pour Lazy FP State Restore.

J’ai entendu dire que CVE-2018-3693 (magasin de contournement de vérification des limites) est lié à Spectre. Microsoft publiera-t-il des mesures d’atténuation pour cela ?

Le magasin bcBS (Bounds Check Bypass Store) a été divulgué le 10 juillet 2018 et affecté à CVE-2018-3693. Nous estimons que BCBS appartient à la même classe de vulnérabilités que « Bounds Check Bypass » (variante 1). À ce jour, nous n’avons connaissance d’aucune instance de BCBS dans nos logiciels. Nous poursuivons toutefois nos recherches sur cette classe de vulnérabilités et nous collaborerons avec des partenaires du secteur pour publier des atténuations, le cas échéant. Nous encourageons les chercheurs à soumettre tous les résultats pertinents au programme de primes du canal latéral d’exécution spéculative Microsoft, y compris toutes les instances exploitables de BCBS. Les développeurs de logiciels doivent consulter les conseils pour les développeurs qui ont été mis à jour pour BCBS dans C++ Developer Guidance for Speculative Execution Side Channels

J’ai entendu dire que L1 Terminal Fault (L1TF) a été divulgué. Où puis-je trouver plus d’informations à ce sujet et la prise en charge de Windows ?

Le 14 août 2018, la vulnérabilité « L1 Terminal Fault » (L1TF) a été annoncée et attribuée à plusieurs CVE. Ces nouvelles vulnérabilités de canal auxiliaire d’exécution spéculative peuvent servir à lire le contenu de la mémoire sur une limite approuvée et, en cas d’exploitation, pourraient entraîner une divulgation d’informations. Il existe plusieurs vecteurs permettant à un attaquant de déclencher les vulnérabilités en fonction de l’environnement configuré. La vulnérabilité L1TF touche les processeurs Intel® Core® et Intel® Xeon®.

Pour plus d’informations sur cette vulnérabilité et pour obtenir une présentation détaillée des scénarios concernés, entre autres l’approche de Microsoft en ce qui concerne l’atténuation de L1TF, consultez les ressources suivantes :

Comment faire désactiver Hyper-Threading pour L1TF sur mon appareil ?

La procédure à suivre pour désactiver l’hyperthreading varie d’un fabricant à l’autre, mais elle est généralement effectuée à l’aide des outils de configuration du BIOS ou du microprogramme.

Où puis-je obtenir le microprogramme ARM64 qui atténue CVE-2017-5715 \| Injection de cible de branche (Spectre Variant 2) ?

Les clients qui utilisent des processeurs ARM 64 bits doivent contacter l’OEM de l’appareil pour la prise en charge du microprogramme, car les protections du système d’exploitation ARM64 qui atténuent CVE-2017-5715 | L’injection de cible de branche (Spectre, Variant 2) nécessite que la dernière mise à jour du microprogramme des oem de l’appareil prenne effet.

Où puis-je trouver des informations sur la divulgation d’Intel concernant l’échantillonnage de données microarchitectural (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130)

Pour plus d’informations, consultez les avis de sécurité suivants :

Où puis-je trouver les conseils basés sur des scénarios pour déterminer les actions nécessaires pour atténuer les vulnérabilités de l’échantillonnage de données microarchitectural ?

Vous trouverez des instructions supplémentaires dans l’article Instructions Windows concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative.

Comment faire désactiver Hyper-Threading pour MDS sur mon appareil ?

Consultez les instructions dans l’article Instructions Windows concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative.

Où puis-je trouver des conseils pour Azure ?

Pour obtenir des conseils Azure, reportez-vous à cet article : Conseils pour atténuer les vulnérabilités de canal latéral d’exécution spéculative dans Azure.

Où puis-je en savoir plus sur l’activation de Retpoline sur Windows 10, version 1809 ?

Pour plus d’informations sur l’activation de Retpoline, reportez-vous à notre billet de blog : Mitigationing Spectre variant 2 with Retpoline on Windows .

J’ai entendu dire qu’il existe une variante de la vulnérabilité du canal côté exécution spéculative Spectre Variant 1. Où puis-je en savoir plus ?

Pour plus d’informations sur cette vulnérabilité, consultez le Guide de sécurité Microsoft : CVE-2019-1125 | Vulnérabilité de divulgation des informations du noyau Windows.

Cve-2019-1125 \| La vulnérabilité de divulgation d’informations du noyau Windows affecte les services cloud de Microsoft ?

Microsoft n’a connaissance d’aucun cas où cette vulnérabilité de divulgation d’informations touche son infrastructure de services cloud.

Si les mises à jour pour CVE-2019-1125 \| La vulnérabilité de divulgation des informations du noyau Windows a été publiée le 9 juillet 2019. Pourquoi les détails ont-ils été publiés le 6 août 2019 ?

Dès qu’elle a eu connaissance de ce problème, Microsoft a cherché rapidement une solution à ce problème et a publié une mise à jour. Microsoft est convaincue qu’une étroite collaboration avec les chercheurs et les partenaires du secteur permet de renforcer la sécurité des clients. Elle n’a dès lors publié les détails que le mardi 6 août, conformément à des pratiques de divulgation de vulnérabilité coordonnée.

Où puis-je trouver les instructions basées sur un scénario pour déterminer les actions nécessaires pour atténuer la vulnérabilité d’abandon asynchrone de transaction asynchrone Des extensions de synchronisation transactionnelle Intel (Intel TSX) (CVE-2019-11135) ?

Vous trouverez des instructions supplémentaires dans l’article Instructions Windows concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative.

Dois-je désactiver Hyper-Threading pour la vulnérabilité d’abandon asynchrone de transaction asynchrone des extensions de synchronisation transactionnelle Intel (Intel TSX) (CVE-2019-11135) sur mon appareil ?

Vous trouverez des instructions supplémentaires dans l’article Instructions Windows concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative.

Existe-t-il un moyen de désactiver la fonctionnalité Intel Transactional Synchronization Extensions (Intel TSX) ?

Vous trouverez des conseils supplémentaires dans Guidance pour la désactivation d’Intel  Extensions de synchronisation transactionnelle (Intel  TSX).

Références

Exclusion de responsabilité des informations tierces

Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.

Microsoft fournit des informations de contact de sociétés tierces afin de vous aider à obtenir un support technique. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant les sociétés tierces.