KB4073065 : Conseils de Surface pour se protéger contre les vulnérabilités du canal latéral de microarchitectural et d’exécution spéculative basée sur le silicium

Introduction

Depuis janvier 2018, l’équipe Surface publie des mises à jour de microprogramme pour une classe de problèmes basés sur le silicium qui impliquent des vulnérabilités de canal latéral d’exécution microarchitecturale et spéculative. L’équipe Surface continue de travailler en étroite collaboration avec l’équipe Windows et les partenaires du secteur pour protéger les clients. Pour obtenir toute la protection disponible, les mises à jour du microprogramme et du système Windows sont requises.

Récapitulatif

Vulnérabilités annoncées en juin 2022

L’équipe Surface est au courant des nouvelles variantes d’attaque de canal latéral de microarchitectecture et d’exécution spéculative basées sur le silicium qui affectent également les produits Surface. Pour plus d’informations sur les vulnérabilités et les atténuations, consultez l’avis de sécurité suivant :

• ADV220002 d’avis de sécurité Microsoft

Nous travaillons de concert avec nos partenaires pour fournir des mises à jour aux produits Surface dès que nous pouvons nous assurer que les mises à jour répondent à nos exigences de qualité. 

Pour plus d’informations sur les mises à jour des appareils Surface, consultez Historique des mises à jour surface.

Vulnérabilités annoncées en mai 2019

L’équipe Surface est consciente des nouvelles variantes d’attaque par canal latéral d’exécution spéculative qui affectent également les produits Surface. L’atténuation de ces vulnérabilités nécessite une mise à jour du système d’exploitation et une mise à jour UEFI Surface qui inclut un nouveau microcode. Pour plus d’informations sur les vulnérabilités et les atténuations, consultez l’avis de sécurité suivant :

• ADV190013 d’avis de sécurité Microsoft

  Cet avis inclut les vulnérabilités suivantes :

  • CVE-2018-12126 | Echantillonnage des données de la mémoire tampon du store microarchitectural (MSBDS)) 
  • CVE-2018-12130 | Échantillonnage des données de mémoire tampon de remplissage microarchitectural (MFBDS)
  • CVE-2018-12127 | Échantillonnage des données de port de charge microarchitectural (MLPDS)
  • CVE-2019-11091 | Mémoire non mise en cache non mise en cache par échantillonnage de données microarchitectural (MDSUM)

Outre l’installation des mises à jour de sécurité du système d’exploitation Windows, Surface a publié des mises à jour UEFI via Windows Update et le Centre de téléchargement pour les appareils suivants :

• Surface 3 - Mise à jour du 11 juillet 2019
• mise à jour du 3 Surface Pro du 11 juillet 2019
• Surface Pro 4 - Mise à jour du 27 juin 2019
• Surface Book - Mise à jour du 27 juin 2019
• Surface Studio - Mise à jour du 11 juillet 2019
• Surface Pro (^5e génération) - Mise à jour du 27 juin 2019
• Surface Laptop - Mise à jour du 27 juin 2019
• mise à jour Surface Book 2 - 27 juin 2019
• mise à jour du 6 Surface Pro du 27 juin 2019
• Surface Laptop 2 - Mise à jour du 27 juin 2019
• mise à jour Surface Studio du 2 au 31 juillet 2019
• Surface GO WiFi - Mise à jour du 23 juillet 2019
• Surface GO LTE - Mise à jour du 23 juillet 2019

En plus du nouveau microcode, un nouveau paramètre UEFI appelé « Multithreading simultané (SMT) » sera disponible lors de l’installation de la mise à jour UEFI. Ce paramètre permet à un utilisateur de désactiver Hyper-Threading.

Remarques

• Si vous décidez de désactiver Hyper-Threading, nous vous recommandons d’utiliser le nouveau paramètre UEFI SMT.

• La désactivation de SMT offre une protection supplémentaire contre ces nouvelles vulnérabilités et l’attaque D’erreur de terminal L1 annoncée précédemment. Toutefois, cette méthode affecte également les performances de l’appareil.

• Surface 3 et Surface Studio avec Intel Core i5 n’ont pas de SMT. Par conséquent, ces appareils n’ont pas ce nouveau paramètre.

• L’outil de configuration UEFI de Microsoft Surface Enterprise Management Mode (SEMM) version 2.43.139 ou ultérieure prend en charge le nouveau paramètre SMT. Les outils peuvent être téléchargés à partir de cette page web. Téléchargez les outils requis suivants :

  • SurfaceUEFI_Configurator_v2.43.139.0.msi
  • SurfaceUEFI_Manager_v2.43.139.0.msi

Vulnérabilité annoncée en août 2018

L’équipe Surface est au courant d’une nouvelle attaque par canal latéral d’exécution spéculative appelée L1 Terminal Fault (L1TF) et affectée à CVE-2018-3620 (os et SMM) et CVE-2018-3646 (VMM). Les produits Surface affectés sont les mêmes que dans la section « Vulnérabilités annoncées en mai 2018 » de cet article. Les mises à jour du microcode qui atténuent les résultats de mai 2018 atténuent également L1TF (CVE-2018-3646). Pour plus d’informations sur la vulnérabilité et les atténuations, consultez l’avis de sécurité suivant :

• Microsoft Security Advisory ADV180018

  Cet avis inclut les vulnérabilités suivantes :

  • CVE-2018-3620
  • CVE-2018-3646

L’avis de sécurité propose que les clients qui utilisent la sécurité basée sur la virtualisation (VBS), qui inclut des fonctionnalités de sécurité telles que Credential Guard et Device Guard, envisagent de désactiver Hyper-Threading afin d’éliminer complètement le risque lié à L1TF.

Vulnérabilités annoncées en mai 2018

L’équipe Surface a pris connaissance de nouvelles variantes d’attaques par canal latéral d’exécution spéculative qui affectent également les produits Surface. L’atténuation de ces vulnérabilités nécessite des mises à jour UEFI qui utilisent un nouveau microcode. Pour plus d’informations sur les vulnérabilités et les atténuations, consultez les avis de sécurité suivants :

• ADV180012 d’avis de sécurité Microsoft

  Cet avis inclut la vulnérabilité suivante :

  • CVE-2018-3639

• ADV180013 d’avis de sécurité Microsoft

  Cet avis inclut la vulnérabilité suivante :

  • CVE-2018-3640

Outre l’installation des mises à jour de sécurité du système d’exploitation Windows, Surface a publié des mises à jour UEFI via Windows Update et le Centre de téléchargement pour les appareils suivants :

• Surface Book 2 - Mise à jour du 1er août 2018
• Surface Book - Mise à jour du 21 août 2018
• Surface Laptop - Mise à jour du 25 juillet 2018
• Surface Studio - Mise à jour du 1er octobre 2018
• Surface Pro 4 - Mise à jour du 25 juillet 2018
• mise à jour Surface Pro 3 - 7 août 2018
• Surface Pro modèle 1796 et Surface Pro avec le modèle LTE avancé 1807 - Mise à jour du 26 juillet 2018

Vulnérabilités annoncées en janvier 2018

L’équipe Surface est consciente de la classe de vulnérabilités divulguée publiquement qui implique une exécution spéculative side-channel (appelé Spectre et Meltdown) qui affectent de nombreux processeurs et systèmes d’exploitation modernes, notamment Intel, AMD et ARM. Pour plus d’informations sur les vulnérabilités et les atténuations, consultez l’avis de sécurité suivant :

• ADV180002 d’avis de sécurité Microsoft

  Cet avis inclut les vulnérabilités suivantes :

  • CVE-2017-5753
  • CVE-2017-5715
  • CVE-2017-5754

Pour plus d’informations sur les mises à jour logicielles Windows, consultez les articles base de connaissances suivants :

• KB4073757 
• KB4073119 (aide du client)

En plus d’installer le Mises à jour de sécurité du système d’exploitation Windows du 3 janvier, Surface a publié des mises à jour UEFI via Windows Update et le Centre de téléchargement pour les appareils suivants :

• Surface Book 2 - (Historique des mises à jour)
• Surface Book - (Historique des mises à jour)
• Surface Laptop - (Historique des mises à jour)
• Surface Studio - (Historique des mises à jour)
• Surface Pro 4 - (Historique des mises à jour)
• Surface Pro 3 - (Historique des mises à jour)
• Surface 3 - (Historique des mises à jour)
• Surface Pro modèle 1796 et Surface Pro avec le modèle LTE avancé 1807- (historique des mises à jour)

Ces mises à jour sont disponibles pour les appareils qui exécutent Windows 10 Creators Update (build 15063) et les versions ultérieures.

Plus d’informations

Le système d’exploitation Surface Hub, Windows 10 Collaboration, a implémenté des stratégies de défense en profondeur. Pour cette raison, nous pensons que les exploits qui utilisent ces vulnérabilités sont considérablement réduits sur le Surface Hub lors de l’exécution Windows 10 Collaboration système d’exploitation.  Pour plus d’informations, consultez la rubrique suivante sur le site web Windows IT Pro Center : Différences entre Surface Hub et Windows 10 Entreprise.  

L’équipe Surface s’efforce de s’assurer que nos utilisateurs disposent d’une expérience sécurisée et fiable. Nous continuerons à surveiller et à mettre à jour les appareils en fonction des besoins pour résoudre ces vulnérabilités et assurer la fiabilité et la sécurité des appareils.

Références

Exclusion de responsabilité de tiers

Microsoft fournit des informations de contact de sociétés tierces afin de vous aider à obtenir un support technique. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant les sociétés tierces.