Instructions Windows Server concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative

Actions recommandées

Les clients doivent prendre les mesures suivantes pour bénéficier d’une protection contre les vulnérabilités :

  1. Appliquer toutes les mises à jour disponibles pour le système d’exploitation Windows, y compris les mises à jour de sécurité Windows mensuelles.

  2. Appliquer la mise à jour applicable du microprogramme (microcode) fournie par le fabricant de l’appareil.

  3. Évaluer le risque pour l’environnement en fonction des informations contenues dans les avis de sécurité Microsoft ADV180002, ADV180012 et ADV190013, ainsi que des informations contenues dans cet article de la Base de connaissances.

  4. Prendre les mesures nécessaires mentionnées dans les avis et dans les informations sur les clés de Registre contenues dans cet article de la Base de connaissances.

Remarque Les clients Surface recevront une mise à jour du microcode par le biais de Windows Update. Pour obtenir la liste des dernières mises à jour du microprogramme (microcode) pour les appareils Surface, consultez l’article KB 4073065.

Paramètres d’atténuation pour Windows Server

Les avis de sécurité ADV180002, ADV180012 et ADV190013 fournissent des informations sur les risques que présentent ces vulnérabilités.  Ils permettent également de déterminer ces vulnérabilités et l’état par défaut des atténuations pour les systèmes Windows Server. Le tableau ci-dessous récapitule la nécessité d’un microcode du processeur et l’état par défaut des atténuations sous Windows Server.

CVE

Microcode/microprogramme du processeur nécessaire ?

État par défaut des atténuations

CVE-2017-5753

Non

Activées par défaut (pas d’option de désactivation)

Pour plus d’informations, consultez l’avis ADV180002.

CVE-2017-5715

Oui

Désactivées par défaut.

Consultez l’avis ADV180002 pour plus d’informations et cet article pour les paramètres de clé de Registre applicables.

Remarque : « Retpoline » est activé par défaut sur les appareils exécutant Windows 10 version 1809 ou version ultérieure si la variante 2 de Spectre (CVE-2017-5715) est activée. Pour plus d’informations sur « Retpoline », consultez le billet de blog Mitigating Spectre variant 2 with Retpoline on Windows (en anglais uniquement).

CVE-2017-5754

Non

Windows Server 2019 : Activées par défaut.
Windows Server 2016 et versions antérieures : Désactivées par défaut.

Pour plus d’informations, consultez l’avis ADV180002.

CVE-2018-3639

Intel : Oui

AMD : Non

Désactivées par défaut. Consultez l’avis ADV180012 pour plus d’informations et cet article de la base de connaissances pour les paramètres de clé de Registre applicables.

CVE-2018-11091

Intel : Oui

Windows Server 2019 : Activées par défaut.
Windows Server 2016 et versions antérieures : Désactivées par défaut.

Consultez l’avis ADV190013 pour plus d’informations et cet article pour les paramètres de clé de Registre applicables.

CVE-2018-12126

Intel : Oui

Windows Server 2019 : Activées par défaut.
Windows Server 2016 et versions antérieures : Désactivées par défaut.

Consultez l’avis ADV190013 pour plus d’informations et cet article pour les paramètres de clé de Registre applicables.

CVE-2018-12127

Intel : Oui

Windows Server 2019 : Activées par défaut.
Windows Server 2016 et versions antérieures : Désactivées par défaut.

Consultez l’avis ADV190013 pour plus d’informations et cet article pour les paramètres de clé de Registre applicables.

CVE-2018-12130

Intel : Oui

Windows Server 2019 : Activées par défaut.
Windows Server 2016 et versions antérieures : Désactivées par défaut.

Consultez l’avis ADV190013 pour plus d’informations et cet article pour les paramètres de clé de Registre applicables.

CVE-2019-11135

Intel : Oui

Windows Server 2019 : Activées par défaut.
Windows Server 2016 et versions antérieures : Désactivées par défaut.

Consultez la page CVE-2019-11135 pour plus d’informations et cet article pour les paramètres de clé de Registre applicables.

Vous devez modifier des clés de Registre pour activer les atténuations qui sont désactivées par défaut si vous souhaitez bénéficier de toutes les protections disponibles contre ces vulnérabilités.

L’activation de ces atténuations peut réduire les performances. L’ampleur de l’impact sur les performances varie en fonction de différents facteurs, comme le circuit microprogrammé de l’hôte physique et les charges de travail exécutées. Nous vous recommandons d’évaluer l’impact sur les performances de votre environnement et d’apporter les modifications nécessaires.

Votre serveur est exposé à un risque accru s’il relève de l’une des catégories suivantes :

  • Hôtes Hyper-V : nécessitent une protection contre les attaques d’une machine virtuelle vers une autre machine virtuelle et d’une machine virtuelle vers un hôte.

  • Hôtes de services Bureau à distance (RDSH) : nécessitent une protection contre les attaques d’une session vers une autre session ou d’une session vers un hôte.

  • Machines virtuelles ou hôtes physiques qui exécutent du code non approuvé, tels des conteneurs ou des extensions non approuvées d’une base de données, du contenu web non approuvé ou des charges de travail exécutant du code provenant de sources externes : nécessitent une protection contre les attaques d’un processus non approuvé vers un autre processus ou d’un processus non approuvé vers le noyau.

Utilisez les paramètres de clé de Registre suivants pour activer les atténuations sur le serveur et veillez à redémarrer le système pour que les modifications soient prises en compte.

Remarque L’activation d’atténuations qui sont désactivées par défaut risque de réduire les performances. L’impact réel sur les performances varie en fonction de différents facteurs, comme le circuit microprogrammé de l’appareil et les charges de travail exécutées.

Paramètres du Registre

Microsoft fournit les informations suivantes sur le Registre pour activer les atténuations qui ne le sont pas par défaut, comme indiqué dans les avis de sécurité ADV180002, ADV180012 et ADV190013.

De plus, Microsoft fournit les paramètres de clé de Registre pour les utilisateurs souhaitant désactiver les atténuations liées aux vulnérabilités CVE-2017-5715 et CVE-2017-5754 pour les clients Windows.

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

322756 Comment sauvegarder et restaurer le Registre dans Windows

Gérer les atténuations pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown)

Remarque importante : Retpoline est activé par défaut sur les serveurs Windows 10 version 1809 si la variante 2 de Spectre (CVE-2017-5715) est activée. L’activation de Retpoline sur la dernière version de Windows 10 peut améliorer les performances sur les serveurs Windows 10 version 1809 pour la variante 2 de Spectre, en particulier sur les anciens processeurs.

Pour activer les atténuations pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant :

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées.

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Pour désactiver les atténuations pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.


Remarque : la valeur 3 pour le paramètre FeatureSettingsOverrideMask convient pour les paramètres d’activation et de désactivation. (Pour plus d’informations sur les clés de Registre, consultez la section « Forum aux questions ».)

Gérer l’atténuation pour CVE-2017-5715 (variante 2 de Spectre)

Pour désactiver l’atténuation de la variante 2 (CVE-2017-5715 - « Branch Target Injection ») :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Pour activer l’atténuation de la variante 2 (CVE-2017-5715 - « Branch Target Injection ») :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Processeurs AMD uniquement : activer l’atténuation complète pour CVE-2017-5715 (variante 2 de Spectre)

Par défaut, la protection utilisateur-noyau pour CVE-2017-5715 est désactivée pour les processeurs AMD. Les clients doivent activer l’atténuation pour bénéficier des protections supplémentaires pour la vulnérabilité CVE-2017-5715.  Pour plus d’informations, consultez le point 15 du forum aux questions dans l’avis ADV180002.

Activer la protection utilisateur-noyau sur les processeurs AMD avec les autres protections pour CVE-2017-5715 :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant :

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées.

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Gérer les atténuations pour CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown)

Pour activer les atténuations pour CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant :

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées.

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Pour désactiver les atténuations pour CVE-2018-3639 (Speculative Store Bypass) Atténuation CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Processeurs AMD uniquement : activer l’atténuation complète pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2018-3639 (Speculative Store Bypass)

Par défaut, la protection utilisateur-noyau pour CVE-2017-5715 est désactivée pour les processeurs AMD. Les clients doivent activer l’atténuation pour bénéficier des protections supplémentaires pour la vulnérabilité CVE-2017-5715.  Pour plus d’informations, consultez le point 15 du forum aux questions dans l’avis ADV180002.

Activer la protection utilisateur-noyau sur les processeurs AMD avec les autres protections pour CVE-2017-5715 et les protections pour CVE-2018-3639 (Speculative Store Bypass) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant :

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées.

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Gérer les vulnérabilités « Transaction Asynchronous Abort » touchant Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) et Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130), les variantes de Spectre (CVE-2017-5753 et CVE-2017-5715) et Meltdown (CVE-2017-5754), y compris Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) et L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646)

Pour activer les atténuations pour les vulnérabilités « Transaction Asynchronous Abort » touchant Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) et Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ), les variantes de Spectre (CVE-2017-5753 et CVE-2017-5715) et Meltdown (CVE-2017-5754), y compris Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) et L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646) sans désactiver l’hyperthreading :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant :

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées.

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Pour activer les atténuations pour les vulnérabilités « Transaction Asynchronous Abort » touchant Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) et Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ), les variantes de Spectre (CVE-2017-5753 et CVE-2017-5715) et Meltdown (CVE-2017-5754), y compris Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) et L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646) quand l’hyperthreading est désactivé :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant :

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées.

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Pour désactiver les atténuations pour les vulnérabilités « Transaction Asynchronous Abort » touchant Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) et Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ), les variantes de Spectre (CVE-2017-5753 et CVE-2017-5715) et Meltdown (CVE-2017-5754), y compris Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) et L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Vérification de l’activation des protections

Pour vous aider à vérifier que les protections sont activées, Microsoft a publié un script PowerShell à exécuter sur votre système. Installez et exécutez le script à l’aide des commandes suivantes.

Vérification PowerShell à l’aide de PowerShell Gallery (Windows Server 2016 ou WMF 5.0/5.1)

Installation du module PowerShell :

PS> Install-Module SpeculationControl

Exécution du module PowerShell pour vérifier que les protections sont activées :

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Vérification PowerShell à l’aide d’un téléchargement à partir de TechNet (versions antérieures du système d’exploitation et de WMF)

Installation du module PowerShell à partir de TechNet ScriptCenter :

  1. Accédez à https://aka.ms/SpeculationControlPS.

  2. Téléchargez le fichier SpeculationControl.zip dans un dossier local.

  3. Extrayez le contenu dans un dossier local. Par exemple : C:\ADV180002.

Exécution du module PowerShell pour vérifier que les protections sont activées :

Démarrez PowerShell, puis utilisez l’exemple précédent pour copier et exécuter les commandes suivantes :

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Pour obtenir des explications détaillées sur les résultats du script PowerShell, consultez l’article 4074629 de la Base de connaissances

Forum aux questions

Afin d’éviter tout impact négatif sur les appareils, les mises à jour de sécurité Windows publiées en janvier et en février 2018 n’étaient pas proposées à tous les clients. Pour plus d’informations, consultez l’article 4072699 de la Base de connaissances Microsoft.

Le microcode est fourni par le biais d’une mise à jour du microprogramme. Contactez votre fabricant OEM pour connaître la version du microprogramme bénéficiant de la mise à jour appropriée pour votre ordinateur.

Plusieurs facteurs ont un impact sur les performances, de la version du système aux charges de travail exécutées. Pour certains systèmes, l’impact sur les performances est négligeable, contrairement à d’autres systèmes.

Nous vous recommandons d’évaluer l’impact sur les performances de vos systèmes et d’apporter les modifications nécessaires.

Outre les instructions de cet article concernant les machines virtuelles, vous devez contacter votre fournisseur de services pour vous assurer que les hôtes exécutant vos machines virtuelles sont protégés de manière adéquate.

Pour les machines virtuelles Windows Server qui s’exécutent dans Azure, consultez le Guide pour atténuer les vulnérabilités spéculatives de canal d’exécution dans Azure. Pour obtenir des conseils sur l’utilisation d’Azure Update Management pour atténuer ce problème sur les machines virtuelles invitées, consultez l’article 4077467 de la Base de connaissances Microsoft.

Les mises à jour publiées pour les images de conteneur Windows Server pour Windows Server 2016 et Windows 10 version 1709 contiennent les atténuations pour cet ensemble de vulnérabilités. Aucune configuration supplémentaire n’est requise.

Remarque Vous devez toutefois veiller à ce que l’hôte sur lequel ces conteneurs sont exécutés soit configuré pour activer les atténuations appropriées.

Non, l’ordre d’installation n’a pas d’importance.

Oui, vous devez effectuer un redémarrage après la mise à jour du microprogramme (microcode) ainsi qu’après la mise à jour du système.

Voici les détails concernant les clés de Registre :

FeatureSettingsOverride représente un bitmap qui remplace le paramètre par défaut et détermine les atténuations désactivées. Le bit 0 détermine l’atténuation correspondant à CVE-2017-5715, tandis que le bit 1 détermine l’atténuation correspondant à CVE-2017-5754. Les bits sont définis sur la valeur « 0 » pour activer l’atténuation et « 1 » pour la désactiver.

FeatureSettingsOverrideMask représente un masque bitmap utilisé avec FeatureSettingsOverride.  Dans ce cas, la valeur 3 (représentée par 11 dans le système de numération binaire ou à base 2) est utilisée pour indiquer les deux premiers bits correspondant aux atténuations disponibles. Cette clé de Registre a la valeur 3 pour activer ou désactiver les atténuations.

La clé MinVmVersionForCpuBasedMitigations est destinée aux hôtes Hyper-V. Cette clé de Registre définit la version de machine virtuelle minimale requise pour utiliser les fonctionnalités du microprogramme mis à jour (CVE-2017-5715). Attribuez la valeur 1.0 pour couvrir toutes les versions de machine virtuelle. Cette valeur de Registre est ignorée (bénigne) sur les hôtes non-Hyper-V. Pour plus d’informations, consultez l’article Protection des machines virtuelles invité contre CVE-2017-5715 (injection cible de branche).

Oui, il n’y a aucun effet secondaire si ces paramètres de Registre sont appliqués avant l’installation des correctifs connexes de janvier 2018.

Vous trouverez une description détaillée des résultats du script dans l’article Présentation des résultats du script PowerShell Get-SpeculationControlSettings.

Oui, pour les hôtes Hyper-V Windows Server 2016 pour lesquels la mise à jour du microprogramme n’est pas encore disponible, nous avons publié des instructions alternatives permettant d’atténuer les attaques d’une machine virtuelle vers une autre machine virtuelle ou d’une machine virtuelle vers un hôte. Voir Protections alternatives pour les hôtes Windows Server 2016 Hyper-V contre les vulnérabilités de canal auxiliaire d’exécution spéculative.

Les mises à jour de sécurité uniquement ne sont pas cumulatives. Selon la version de votre système d’exploitation, vous devrez peut-être installer plusieurs mises à jour de sécurité pour bénéficier d’une protection intégrale. En général, les clients doivent installer les mises à jour de janvier, de février, de mars et d’avril 2018. Les systèmes disposant de processeurs AMD nécessitent une mise à jour supplémentaire indiquée dans le tableau suivant :

Version du système d’exploitation

Mise à jour de sécurité

Windows 8.1, Windows Server 2012 R2

4338815 - Correctif cumulatif mensuel

4338824 - Sécurité uniquement

Windows 7 SP1, Windows Server 2008 R2 SP1 ou Windows Server 2008 R2 SP1 (installation Server Core)

4284826 - Correctif cumulatif mensuel

4284867 - Sécurité uniquement

Windows Server 2008 SP2

4340583 - Mise à jour de sécurité

Nous vous recommandons d’installer les mises à jour de sécurité uniquement dans leur ordre de publication.

Remarque Une version antérieure de ce forum aux questions indiquait de manière incorrecte que la mise à jour de sécurité uniquement de février contenait les correctifs de sécurité publiés en janvier. En réalité, ce n’est pas le cas.

Non. La mise à jour de sécurité KB 4078130 était un correctif spécifique destiné à empêcher les comportements imprévisibles du système, les problèmes de performances et les redémarrages inattendus suite à l’installation du microcode. L’application des mises à jour de sécurité sur les systèmes d’exploitation clients Windows active toutes les trois atténuations. Sur les systèmes d’exploitation Windows Server, vous devez encore activer les atténuations une fois les tests appropriés effectués. Pour plus d’informations, consultez l’article 4072698 de la Base de connaissances Microsoft.

Ce problème a été résolu dans KB 4093118.

En février 2018, Intel a annoncé avoir terminé les opérations de validation et commencé à publier un microcode pour les processeurs les plus récents. Microsoft publie les mises à jour du microcode validées par Intel pour la variante 2 de Spectre (CVE-2017-5715, « Branch Target Injection »). L’article KB 4093836 répertorie les articles spécifiques de la Base de connaissances par version de Windows. Chaque article contient les mises à jour du microcode Intel disponibles par processeur.

11 janvier 2018 : Intel a signalé des problèmes liés au microcode récemment publié afin de corriger la variante 2 de Spectre (CVE-2017-5715, « Branch Target Injection »). En particulier, Intel a constaté que ce microcode peut provoquer « un nombre de redémarrages plus important que prévu et d’autres comportements imprévisibles du système » et que ces scénarios peuvent entraîner « la perte ou l’altération des données ». D’après notre expérience, l’instabilité du système peut, dans certains cas, provoquer la perte ou l’altération des données. Le 22 janvier, Intel a recommandé à ses clients d’arrêter le déploiement de la version actuelle du microcode sur les processeurs concernés pendant qu’il réalisait des tests supplémentaires sur la solution mise à jour. Nous comprenons qu’Intel poursuit ses recherches sur les effets potentiels de la version actuelle du microcode. Nous invitons nos clients à consulter régulièrement ses instructions pour les aider à prendre des décisions.

En attendant qu’Intel teste, mette à jour et déploie un nouveau microcode, nous publions une mise à jour hors cycle (OOB), KB 4078130, qui désactive uniquement l’atténuation contre la vulnérabilité CVE-2017-5715. Nos tests confirment que cette mise à jour empêche le comportement décrit. Pour obtenir la liste complète des appareils concernés, consultez les instructions de révision du microcode d’Intel. Cette mise à jour concerne Windows 7 Service Pack 1 (SP1), Windows 8.1 et toutes les versions de Windows 10 (client et serveur). Si vous utilisez un appareil concerné, vous pouvez appliquer cette mise à jour en la téléchargeant sur le site web Catalogue Microsoft Update. L’application de cette charge utile désactive en particulier uniquement l’atténuation contre la vulnérabilité CVE-2017-5715.

À l’heure actuelle, il n’existe aucun rapport connu faisant état d’une utilisation de la variante 2 de Spectre (CVE-2017-5715 - « Branch Target Injection ») dans le but d’attaquer des clients. Nous recommandons aux utilisateurs Windows de réactiver, le cas échéant, l’atténuation contre CVE-2017-5715 dès qu’Intel aura signalé que ce comportement imprévisible du système est résolu pour l’appareil concerné.

En février 2018, Intel a annoncé avoir terminé les opérations de validation et commencé à publier un microcode pour les plateformes de processeur les plus récentes. Microsoft publie les mises à jour du microcode validées par Intel disponibles en ce qui concerne la variante 2 de Spectre (CVE-2017-5715 - « Branch Target Injection »). L’article KB 4093836 répertorie les articles spécifiques de la Base de connaissances par version de Windows. Les articles répertorient les mises à jour du microcode Intel disponibles par processeur.

Pour plus d’informations, consultez les mises à jour de la sécurité des processeurs AMD et le Livre blanc AMD : instructions relatives à l’architecture concernant le contrôle Indirect Branch. Ces documents sont disponibles à partir du canal de microprogramme OEM.

Microsoft publie les mises à jour du microcode validées par Intel pour la variante 2 de Spectre (CVE-2017-5715, « Branch Target Injection »). Pour obtenir les dernières mises à jour du microcode Intel au moyen de Windows Update, vous devez avoir installé le microcode Intel sur un appareil Windows 10 avant de procéder à la mise à niveau vers la mise à jour d’avril 2018 de Windows 10 (version 1803).

La mise à jour du microcode est également disponible directement à partir du Catalogue Microsoft Update si elle n’était pas installée sur l’appareil avant la mise à niveau du système. Le microcode Intel est disponible par le biais de Windows Update, de Windows Server Update Services (WSUS) ou du Catalogue Microsoft Update. Pour plus d’informations et pour obtenir les instructions de téléchargement, consultez l’article KB 4100347.

Consultez les sections « Actions recommandées » et « Forum aux questions » de l’avis ADV180012 | Instructions de Microsoft concernant la vulnérabilité « Speculative Store Bypass ».

Pour vérifier l’état de la fonctionnalité SSBD, le script PowerShell Get-SpeculationControlSettings a été mis à jour pour détecter les processeurs concernés, l’état des mises à jour du système d’exploitation SSBD et l’état du microcode du processeur, le cas échéant. Pour plus d’informations et pour obtenir le script PowerShell, consultez l’article KB 4074629.

Le 13 juin 2018, une vulnérabilité supplémentaire impliquant l’exécution spéculative par canal auxiliaire, appelée « Lazy FP State Restore », a été annoncée et attribuée à la CVE-2018-3665. Pour plus d’informations sur cette vulnérabilité et sur les actions recommandées, consultez l’avis de sécurité ADV180016 | Instructions de Microsoft concernant la vulnérabilité « Lazy FP State Restore ».

Remarque Aucun paramètre de configuration (Registre) n’est nécessaire pour Lazy FP State Restore.

La vulnérabilité « Bounds Check Bypass Store » (BCBS) a été divulguée le 10 juillet 2018 et attribuée à la CVE-2018-3693. Nous estimons que BCBS appartient à la même classe de vulnérabilités que « Bounds Check Bypass » (variante 1). À ce jour, nous n’avons connaissance d’aucune instance de BCBS dans nos logiciels. Nous poursuivons toutefois nos recherches sur cette classe de vulnérabilités et nous collaborerons avec des partenaires du secteur pour publier des atténuations, le cas échéant. Microsoft encourage les chercheurs à transmettre leurs résultats et constatations dans le cadre du programme Bounty Speculative Execution Side Channel de Microsoft, entre autres toute instance exploitable de BCBS. Les développeurs de logiciels doivent consulter les instructions pour les développeurs mises à jour pour BCBS sur la page Instructions pour les développeurs C++ en ce qui concerne les canaux auxiliaires d’exécution spéculative.

Le 14 août 2018, la vulnérabilité « L1 Terminal Fault » (L1TF) a été annoncée et attribuée à plusieurs CVE. Ces nouvelles vulnérabilités de canal auxiliaire d’exécution spéculative peuvent servir à lire le contenu de la mémoire sur une limite approuvée et, en cas d’exploitation, pourraient entraîner une divulgation d’informations. Il existe plusieurs vecteurs permettant à un attaquant de déclencher les vulnérabilités en fonction de l’environnement configuré. La vulnérabilité L1TF touche les processeurs Intel® Core® et Intel® Xeon®.

Pour plus d’informations sur cette vulnérabilité et pour obtenir une présentation détaillée des scénarios concernés, entre autres l’approche de Microsoft en ce qui concerne l’atténuation de L1TF, consultez les ressources suivantes :

La procédure à suivre pour désactiver l’hyperthreading varie d’un fabricant à l’autre, mais elle est généralement effectuée à l’aide des outils de configuration du BIOS ou du microprogramme.

Si vous utilisez des processeurs ARM 64 bits, vous devez contacter le fabricant OEM de l’appareil pour obtenir un support sur le microprogramme, car, pour pouvoir être appliquées, les protections du système d’exploitation ARM64 qui atténuent la vulnérabilité CVE-2017-5715 - Branch Target Injection (Spectre, variante 2) nécessitent la dernière mise à jour du microprogramme.

Pour obtenir des instructions concernant Azure, consultez l’article suivant : Instructions pour atténuer les vulnérabilités de canal auxiliaire d’exécution spéculative dans Azure.

Pour plus d’informations sur l’activation de Retpoline, consultez le billet de blog suivant : Mitigating Spectre variant 2 with Retpoline on Windows (en anglais uniquement).

Pour plus d’informations sur cette vulnérabilité, consultez le guide des mises à jour de sécurité Microsoft : CVE-2019-1125 | Vulnérabilité de divulgation d’informations dans le noyau Windows.

Microsoft n’a connaissance d’aucun cas oÙ cette vulnérabilité de divulgation d’informations touche son infrastructure de services cloud.

Dès qu’elle a eu connaissance de ce problème, Microsoft a cherché rapidement une solution à ce problème et a publié une mise à jour. Microsoft est convaincue qu’une étroite collaboration avec les chercheurs et les partenaires du secteur permet de renforcer la sécurité des clients. Elle n’a dès lors publié les détails que le mardi 6 août, conformément à des pratiques de divulgation de vulnérabilité coordonnée.

Références

Exclusion de responsabilité de tiers

Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×