סיכום
מיקרוסופט מודעת בפומבי מחלקה חדשה של פגיעויות מוכרות בשם "הפעל ביצוע תקיפות ערוץ בצד". פגיעויות אלה משפיעות על מעבדים מודרניים רבים ומערכות הפעלה. זה כולל שבבים מ- Intel, AMD ו- ARM.
לא קיבלנו עדיין כל מידע המעיד על פגיעויות אלה השתמשת לשם תקיפת לקוחות. אנו ממשיכים לעבוד בשיתוף פעולה הדוק עם שותפים בתעשייה כדי להגן על הלקוחות. זה כולל יצרני שבב, ויצרני חומרה ספקי היישומים. כדי לקבל את כל ההגנה הזמינים, נדרשים עדכוני חומרה או קושחה ותוכנה. הדבר כולל למיקרו-קוד מתוך התקן יצרני ציוד מקורי ועדכון, במקרים מסוימים, תוכנות אנטי-וירוס. פרסמנו מספר עדכונים כדי לצמצם פגיעויות אלה. ניתן למצוא מידע נוסף אודות הפגיעויות ב- Microsoft ADV180002 עלון יידוע בנושא אבטחה. כדי לקבל הנחיות כלליות, ראה גם הדרכה מקלים ביצוע הפעל ערוץ בצד פגיעויות. אנו נקטת בפעולה כדי לסייע באבטחת השירותים שלנו ענן גם. עיין בסעיפים הבאים לקבלת פרטים נוספים.
הגירסאות המושפעות של Exchange Server
מאחר אלה הם ההתקפות ברמת חומרה המיועדים מערכות מעבד x64 ומבוססות מבוססי-x86, כל הגירסאות הנתמכות של Microsoft Exchange Server הם מושפעים מבעיה זו.
המלצות
הטבלה הבאה מתארת את הפעולות המומלצות עבור לקוחות של Exchange Server. אין עדכונים Exchange ספציפיות הנדרשות כעת. עם זאת, אנו ממליצים כי לקוחות תמיד להפעיל את העדכון המצטבר האחרון של Exchange Server ואת כל עדכוני האבטחה הנדרשים. אנו ממליצים לפרוס תיקוני באמצעות ההליכים ususal שלך כדי לאמת את הקבצים הבינאריים החדשים לפני שתפרוס אותם בסביבות ייצור.
|
תרחיש |
תיאור |
המלצות |
|
1 |
Exchange Server מופעל bare מתכת (לא מחשבים וירטואליים) ולהפעיל לא אחרים שאינם מהימנים לוגיקת יישום (רמת היישום) היא באותו מחשב מתכת חשופים.
|
החלת כל המערכת ועדכונים Exchange Server לאחר בדיקת אימות קדם-ייצור הרגיל שלך. הפיכת ליבה וירטואלית כתובת צל (KVAS) אינו נדרש (ראה סעיף קרובים בהמשך מאמר זה). |
|
2 |
Exchange Server פועלת במחשב וירטואלי בסביבת אירוח ציבורי (ענן). |
עבור תכלת הרקיע: Microsoft הציב פרטים אודות מאמצי להפחתת הסיכון עבור תכלת הרקיע (ראה KB 4073235 לקבלת מידע מפורט). עבור ספקי ענן אחרים: להפנות הדרכה שלהם. אנו ממליצים על התקנת כל עדכוני מערכת הפעלה במחשב וירטואלי אורח (VM). עיין הדרכה בהמשך מאמר זה אודות אם יש לאפשר KVAS. |
|
3 |
Exchange Server פועלת במחשב וירטואלי בסביבת אירוח פרטית. |
עיין בתיעוד אבטחה hypervisor עבור שיטות האבטחה המומלצות. ראה KB 4072698 עבור שרת Windows ו- Hyper-V. מומלץ להתקין את כל העדכונים OS על אורח VM. עיין הדרכה מאוחר יותר במאמר זה המציין אם אפשר KVAS. |
|
4 |
Exchange Server לפעול על מחשב וירטואלי או פיזי והוא אינו מבודד אחרים לוגיקת יישום שבו פועל באותה מערכת.
|
מומלץ להתקין את כל העדכונים של מערכת ההפעלה. אנו ממליצים ללקוחות לפרוס עדכון המוצר הזמין העדכני ביותר ואת כל עדכוני האבטחה המשויך. עיין הדרכה בהמשך מאמר זה מאמר אודות אם יש לאפשר KVAS. |
עלון יידוע של ביצועים
אנו ליידע את הלקוחות כל להעריך את הביצועים של סביבה הספציפית בעת החלת העדכונים.
פתרונות אשר סופקו על-ידי Microsoft עבור סוגי פגיעויות הנדונים כאן ישתמש מנגנוני מבוסס-תוכנה כדי להגן מפני בין תהליך גישה לנתונים. אנו להודיע לכל הלקוחות להתקין גירסאות מעודכנות של שרת Exchange ו- Windows. זה אמור להיות השפעה ביצועים מינימליות, המבוסס על Microsoft הבדיקה של עומסי עבודה של Exchange.
אנו יש למדוד את ההשפעה של ליבה וירטואלית כתובת צל (KVAS) על עומסי עבודה שונים. גילינו כי עומסי עבודה מסוימים ייתקלו בירידת ביצועים משמעותיים. Exchange Server הוא אחד של עומסי עבודה אלה עלולים להיתקל בירידה משמעותית אם KVAS זמינה. שרתי המציגים את השימוש ב- CPU גבוהה או גבוהה דפוסי קלט/פלט אמורים להציג את האפקט הגדול ביותר. אנו ממליצים בחום להעריך תחילה את האפקט ביצועים של הפעלת KVAS על-ידי הפעלת בדיקות במעבדה המייצג את צרכי הייצור שלך לפני שתפרוס לתוך בסביבת ייצור. אם אפקט ביצועים של הפעלת KVAS הוא גבוה מדי, שקול אם שרת Exchange בידוד מקוד לא מהימן שבו פועל באותה מערכת שבה היא הקלה טובה יותר עבור היישום.
בנוסף KVAS, מידע אודות האפקט ביצועים מתוך תמיכה בחומרה להפחתת הסיכון של הזרקת יעד הסתעפות (IBC) מפורט כאן. בשרת שבו פועל Exchange Server ושיש לה פתרון IBC הפרוסות בו עלולים להיתקל בירידת ביצועים משמעותיים אם IBC זמינה.
אנו צפויים הספקים חומרה תציע עדכונים למוצרים שלהם בצורה של עדכונים למיקרו-קוד. הניסיון שלנו עם Exchange מציין בעדכונים למיקרו-קוד יגדילו את שחרור ביצועים. במידה שבה זה קורה היא תלויות במידה רבה את הרכיבים ואת העיצוב של המערכת בו הם מוחלים. אנו מאמינים כי אין פתרון יחיד, אם מבוססת-תוכנה או חומרה מבוססי-, הוא מספיק לטפל בסוג זה של פגיעות לבד. אנו ממליצים לך להעריך את הביצועים של כל העדכונים לקחת בחשבון ההשתנות בעיצוב המערכת ואת הביצועים לפני שתציב אותם לתוך ייצור. הצוות Exchange לא מתכנן לעדכן את ' מחשבון ' לשינוי גודל המשמש לקוחות לקחת בחשבון הבדלים בביצועים כעת. החישובים שסופק על-ידי כלי זה לא ייכנסו בחשבון שינויים בביצועים הקשורות תיקונים עבור בעיות אלה. אנו נמשיך להעריך כלי זה והתאמות שאנו מאמינים להידרש, בהתבסס על השימוש שלנו ועל של לקוחות.
אנו נעדכן סעיף זה כאשר יצטבר מידע נוסף.
הפעלת כתובת וירטואלית של ליבה הוספת צל
הפעלת שרת Exchange בסביבות רבים, לרבות מערכות פיזי, סוגי סביבות ענן פרטיים וציבוריים, ואת מערכות ההפעלה של Windows. ללא קשר הסביבה, התוכנית ממוקם על המערכת הפיזי או של VM. סביבה זו, בין אם פיזית או וירטואלית, המכונה אבטחה גבול.
אם כל הקוד בגבולות יש גישה לכל הנתונים בתוך גבול זה, לא נדרשת פעולה. אם זה אינו המקרה, הגבול נאמר שהוא דיירים מרובה. הפגיעויות שנמצאו מאפשרים כל קוד המופעל בתהליך כלשהו בתוך גבול זה כדי לקרוא נתונים אחרים בתוך גבול זה. הדבר נכון גם תחת הרשאות מופחתת. אם כל תהליך בהגבול פועל קוד שאינו מהימן , תהליך זה עלול להשתמש בפגיעויות לקרוא נתונים מתוך תהליכים אחרים.
כדי להתגונן מפני קוד שאינו מהימן בגבול דיירים מרובה, בצע אחת מהפעולות הבאות:
-
הסר את קוד שאינו מהימן.
-
הפעל KVAS להגן מפני קריאות תהליך-תהליך. פעולה זו תשפיע על ביצועים. עיין בסעיפים מוקדם יותר במאמר זה לקבלת מידע מפורט.
לקבלת מידע נוסף אודות אופן ההפעלה של KVAS עבור Windows, עיין 4072698 קילו -בתים.
תרחישים לדוגמה (KVAS מומלץ מאוד)
תרחיש 1
VM תכלת הרקיע הפעלת שירות שבה משתמשים שאינם מהימנים יוכלו לשלוח קוד JavaScript המופעל על-ידי עם הרשאות מוגבלות. ב- VM זהה, Exchange Server הוא פועל וניהול נתונים שאינם אמורים להיכלל נגיש לאותם משתמשים שאינם מהימנים. במצב זה, KVAS נדרש כדי להגן מפני גילוי בין שתי הישויות.
תרחיש 2
מערכת פיזית מקומי שמארח שרת Exchange באפשרותך להפעיל קבצי script של צד שלישי לא מהימן או קבצי הפעלה. הוא נחוץ לאפשר KVAS להגן מפני חשיפה של נתונים של Exchange לקובץ ה-script או קובץ הפעלה.
הערה בדיוק מכיוון משמש מנגנון יכולת הרחבה בתוך Exchange Server, אשר לא אוטומטית הופכת אותו לא בטוחים. מנגנונים אלה ניתן להשתמש בבטחה בתוך Exchange Server כל עוד כל תלות מובנת ומהימן. בנוסף, קיימים מוצרים אחרים שמוכללות ב- Exchange Server העלולות לחייב מנגנוני הרחבה כדי לפעול כראוי. במקום זאת, כפעולה ראשונה, סקור בכל שימוש כדי לקבוע אם הקוד הוא הבין ומהימן. הדרכה זו נועד לסייע ללקוחות לקבוע אם יש להם לאפשר KVAS בשל ההשלכות ביצועים גדולים יותר.
הפיכת תמיכה בחומרה של ענף היעד הזרקת להפחתת הסיכון (IBC)
IBC מפחית את הסיכון מפני CVE 2017-5715, המכונה גם חצי אחד של Spectre או "variant 2" חשיפה GPZ.
הוראות אלה עבור הפעלת KVAS ב- Windows ניתן גם לאפשר IBC. עם זאת, IBC גם דורש עדכון קושחה מיצרן החומרה שלך. בנוסף ההוראות ב- KB 4072698 כדי לאפשר הגנה ב- Windows, לקוחות צריכים להשיג ולהתקין עדכונים מיצרן החומרה שלהם.
תרחיש לדוגמה (IBC מומלץ מאוד)
תרחיש 1
במערכת המקומית הפיזי שמארח שרת Exchange, לא מהימנים מותר למשתמשים לטעון ולהפעיל קוד JavaScript שרירותי. בתרחיש זה, מומלץ מאוד IBC להגן מפני גילוי מידע תהליך-תהליך.
במצבים ב IBC איזו תמיכה בחומרה אינו קיים, מומלץ להפריד את התהליכים לא מהימן ותהליך מהימן אל מחשבים וירטואליים או פיזי שונה.
מנגנוני הרחבה של שרת Exchange לא מהימנים
שרת Exchange כוללת תכונות של יכולת הרחבה ומנגנונים. רבות מהגדרות אלה מבוססים על ממשקי Api שאינן מאפשרות לא מהימן קוד להפעלה בשרת שבו פועל Exchange Server. סוכני תעבורה ומעטפת ניהול Exchange עלולות לאפשר קודים לא מהימנים להפעלה בשרת שבו פועל Exchange Server במצבים מסוימים. בכל המקרים, למעט התעבורה סוכני, תכונות של יכולת הרחבה לדרוש אימות לפני שניתן יהיה להשתמש בהם. אנו ממליצים שתשתמש תכונות יכולת הרחבה מוגבלת לערכת המינימלי של הקבצים הבינאריים בכל מקום ישים. כמו כן, אנו ממליצים ללקוחות להגביל גישה לשרת כדי להימנע מהצורך קוד שרירותי פועלים במערכות באותו שרת Exchange. אנו לייעץ לך לקבוע אם לתת אמון בכל בינארי. עליך לבטל או להסיר קבצים בינאריים לא מהימנים. כמו כן, עליך לוודא ממשקי ניהול אינה נחשפת באינטרנט.
כל מוצרי ספקים חיצוניים הנזכרים במאמר זה מיוצרים על ידי חברות שאינן תלויות ב- Microsoft. חברת Microsoft אינה מעניקה אחריות, אם במפורש ובין במשתמע, לגבי הביצועים או האמינות של מוצרים אלה.
