Résumé
Microsoft a connaissance d’une nouvelle vulnérabilité de canal auxiliaire d’exécution spéculative appelée « L1 Terminal Fault » (L1TF) qui a été attribuée à plusieurs CVE figurant dans le tableau ci-dessous. Cette vulnérabilité touche les processeurs Intel® Core® et Intel® Xeon®. Pour plus d’informations, consultez l’avis Intel à l’adresse suivante : https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html.
À l’heure actuelle, Microsoft n’a reçu aucune information faisant état d’une utilisation de ces vulnérabilités dans le but d’attaquer des clients. Microsoft continue à collaborer étroitement avec des partenaires du secteur, notamment des fabricants de puces, des fabricants de matériel OEM et des fournisseurs d’application, afin de protéger ses clients. Pour bénéficier de toutes les protections disponibles, des mises à jour du microprogramme (microcode) et des mises à jour logicielles sont requises. Cela concerne notamment le microcode des fabricants d’appareils OEM et, dans certains cas, des mises à jour de l’antivirus.
Cet avis concerne les vulnérabilités suivantes :
|
CVE |
Nom |
Applicabilité |
|---|---|---|
|
L1 Terminal Fault |
Intel® Software Guard Extensions (SGX) |
|
|
L1 Terminal Fault |
Operating System (OS), System Management Mode (SMM) |
|
|
L1 Terminal Fault |
Virtual Machine Manager (VMM) |
Pour en savoir plus sur cette classe de vulnérabilités, consultez l’avis ADV180018.
Vue d’ensemble
Les sections suivantes vous permettent d’identifier, d’atténuer et de corriger les environnements Azure Stack concernés par les vulnérabilités décrites dans l’avis de sécurité Microsoft ADV180018.
Pour résoudre ces problèmes, Microsoft travaille en partenariat avec les fabricants de matériel afin d’élaborer des atténuations et des instructions.
Actions recommandées
Les clients Azure Stack doivent prendre les mesures suivantes pour protéger l’infrastructure Azure Stack contre les vulnérabilités :
-
Appliquez la mise à jour 1808 d’Azure Stack. Consultez les notes de publication de la mise à jour 1808 d’Azure Stack pour savoir comment appliquer cette mise à jour à votre système intégré Azure Stack.
-
Installez les mises à jour du microprogramme fournies par votre fournisseur OEM Azure Stack. Consultez le site web de votre fournisseur OEM pour télécharger et appliquer les mises à jour.
Forum aux questions
Q1 : Comment puis-je savoir que mon Azure Stack est concerné par cette classe de vulnérabilités ?
R1 : Tous les systèmes intégrés Azure Stack sont concernés par la classe de vulnérabilités décrite dans l’avis de sécurité Microsoft ADV180018.
Q2 : Où puis-je trouver la mise à jour d’Azure Stack pour corriger cette classe de vulnérabilités ?
R2 : Consultez les notes de publication de la mise à jour 1808 d’Azure Stack pour savoir comment télécharger et appliquer cette mise à jour à votre système intégré Azure Stack. Pour en savoir plus sur les mises à jour Microsoft Azure Stack, consultez la page http://aka.ms/azurestackupdate.
Q3 : Où puis-je trouver des mises à jour du microprogramme pour mon système intégré Azure Stack ?
R3 : Les mises à jour du microprogramme sont propres à chaque fournisseur OEM. Consultez le site web de votre fournisseur OEM pour télécharger et appliquer les mises à jour.
Q4 : La dernière mise à jour (version 1807) n’a pas été appliquée à mon système intégré Azure Stack. Que faire ?
R4 : Les mises à jour Azure Stack sont séquentielles. Vous devez appliquer toutes les mises à jour précédentes avant d’appliquer la mise à jour 1808 d’Azure Stack.
Q5 : J’utilise un kit de développement d’Azure Stack. Est-il concerné par cette classe de vulnérabilités ?
R5 : Oui. Nous vous recommandons de déployer la dernière version du kit ASDK. Pour obtenir les mises à jour du microprogramme, consultez le site web de votre fournisseur OEM pour télécharger et appliquer les mises à jour.
Q6 : Dois-je mettre à jour le système d’exploitation de mes machines virtuelles pour isoler mes applications des autres clients Azure Stack ?
R6 : Une mise à jour du système d’exploitation n’est pas nécessaire pour isoler vos applications exécutées sur Azure Stack des autres clients Azure Stack. Il est toutefois recommandé de maintenir vos logiciels à jour. Les derniers correctifs cumulatifs de sécurité pour Windows contiennent des atténuations pour plusieurs vulnérabilités de canal auxiliaire d’exécution spéculative. De même, les distributions Linux ont publié plusieurs mises à jour de sécurité pour corriger ces vulnérabilités.
Q7 : Y a-t-il un impact sur les performances lié à cette atténuation de vulnérabilité de canal auxiliaire ?
R7 : Comme l’explique l’avis de sécurité Microsoft ADV180018, lors de tests, Microsoft a constaté un certain impact sur les performances lié à ces atténuations en fonction de la configuration du système et des atténuations nécessaires. La mise à jour 1808 d’Azure Stack contient toutes les mises à jour de configuration logicielle recommandées par Microsoft pour atténuer tout impact potentiel sur les performances. Si vous constatez un impact sur les performances, redémarrez vos machines virtuelles exécutées sur Azure Stack. Pour qu’il soit efficace, le redémarrage doit être effectué à partir du portail Azure Stack ou par le biais d’Azure CLI dans Azure Stack.
