הערה: מאמר זה יעודכן כאשר מידע נוסף יהפוך לזמין. חזור לכאן באופן קבוע לקבלת עדכונים ושאלות נפוצות חדשות.

פגיעויות

מאמר זה מטפל בפגיעויות הבאות של ביצוע ספקולטיבי:

Windows Update יספקו גם צמצום סיכונים של Internet Explorer ו- Edge. אנו נמשיך לשפר צמצום סיכונים אלה כנגד רמת פגיעויות זו.

לקבלת מידע נוסף על מחלקה זו של פגיעויות, ראה

ב- 14 במאי 2019, Intel פרסמה מידע על דרגת משנה חדשה של פגיעויות ערוץ צדדי של ביצוע ספקולטיבי הידועות בשם דגימת נתונים של Microarchitectural ותעדו ב- ADV190013 | דגימת נתונים מיקרו-ארכיון. הוקצו להם ה- CVEs הבאים:

חשוב: בעיות אלה ישפיעו על מערכות אחרות כגון Android, Chrome, iOS ו- MacOS. אנו ממליצים ללקוחות לבקש הדרכה מספקים אלה.

Microsoft פרסמה עדכונים כדי לסייע בהפחתת פגיעויות אלה. כדי לקבל את כל הגנות הזמינות, נדרשים עדכוני קושחה (מיקרו-קוד) ותוכנה. זה עשוי לכלול מיקרו-קוד של יצרני ציוד מקורי של מכשיר. במקרים מסוימים, התקנת עדכונים אלה תשפיע על הביצועים. פעלנו גם כדי לאבטח את שירותי הענן שלנו. אנו ממליצים מאוד לפרוס עדכונים אלה.

לקבלת מידע נוסף אודות בעיה זו, עיין בהדרכה הבאה בנושא אבטחה מייעצת והשתמש בהדרכה מבוססת תרחישים כדי לקבוע את הפעולות הדרושות כדי לצמצם את האיום:

הערה: מומלץ להתקין את כל העדכונים האחרונים מ- Windows Update לפני התקנת עדכוני מיקרו-קוד.

ב- 6 באוגוסט 2019, Intel פרסמה פרטים על פגיעות גילוי מידע של הליבה של Windows. פגיעות זו היא משתנה של פגיעות ערוץ צדדי של ביצוע ספקולטיבי של Spectre Variant 1, שהוקצתה לה CVE-2019-1125.

ב- 9 ביולי 2019 הפצנו עדכוני אבטחה עבור מערכת ההפעלה Windows כדי לעזור לצמצם בעיה זו. שים לב שהחזקנו את המסמך לתיעוד צמצום סיכונים זה באופן ציבורי עד לחשיפה המתואמת בתעשייה ביום שלישי, 6 באוגוסט 2019.

לקוחות שהופעלו Windows Update את עדכוני האבטחה שהופצו ב- 9 ביולי, 2019 מוגנים באופן אוטומטי. אין צורך בתצורה נוספת.

הערה: פגיעות זו אינה דורשת עדכון מיקרו-קוד של יצרן המכשיר (OEM).

לקבלת מידע נוסף אודות פגיעות זו ועדכונים ישימים, עיין במדריך עדכון האבטחה של Microsoft:

ב- 12 בנובמבר 2019, Intel פרסמה בעיה מינורית טכנית סביב Intel® Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability that is assigned CVE-2019-11135. Microsoft פרסמה עדכונים כדי לסייע בהפחתת הפגיעות, וההגנת על מערכת ההפעלה מופעלת כברירת מחדל עבור Windows Server 2019, אך אינה זמינה כברירת מחדל עבור Windows Server 2016 ומהדורות קודמות של מערכת ההפעלה Windows Server.

ב- 14 ביוני 2022, פרסמנו את ADV220002 | הדרכה של Microsoft לגבי פגיעויות נתונים מיורכבות של מעבד Intel MMIO והקצית את ה- CVEs הבאים: 

פעולות מומלצות

עליך לבצע את הפעולות הבאות כדי לסייע בהגנה מפני פגיעויות:

  1. החל את כל העדכונים הזמינים למערכת ההפעלה Windows, כולל עדכוני האבטחה החודשיים של Windows.

  2. החל את עדכון הקושחה (מיקרו-קוד) הרלוונטי שסופק על-ידי יצרן ההתקן.

  3. הערכת הסיכון לסביבה שלך בהתבסס על המידע המסופק ב- Microsoft Security Advisories: ADV180002, ADV180012, ADV190013 ו- ADV220002, בנוסף למידע שסופק במאמר Knowledge Base זה.

  4. בצע פעולה בהתאם לצורך באמצעות מידע מינורית ופרטי מפתח רישום המסופקים במאמר Knowledge Base זה.

הערה: לקוחות Surface יקבלו עדכון מיקרו-קוד באמצעות Windows Update. לקבלת רשימה של עדכוני הקושחה (מיקרו-קוד) האחרונים של מכשיר Surface, ראה KB4073065.

הגדרות צמצום סיכונים עבור Windows Server ו- Azure Stack HCI

בעיות אבטחה מינורית ADV180002, ADV180012, ADV190013 ו- ADV220002 מספקות מידע על הסיכון שנקודות תורפה אלה יעליו. הן גם עוזרות לך לזהות את הפגיעויות ולזהות את מצב ברירת המחדל של צמצום סיכונים עבור מערכות Windows Server. הטבלה שלהלן מסכמת את הדרישה של מיקרו-קוד CPU ואת מצב ברירת המחדל של צמצום הסיכונים ב- Windows Server.

CVE

דורש מיקרו-קוד/קושחה של CPU?

מצב ברירת מחדל של צמצום סיכונים

CVE-2017-5753

לא

זמין כברירת מחדל (אין אפשרות להפוך ללא זמין)

עיין ב- ADV180002 לקבלת מידע נוסף

CVE-2017-5715

כן

לא זמין כברירת מחדל.

עיין ב- ADV180002 לקבלת מידע נוסף ומאמר KB זה לקבלת הגדרות מפתח רישום ישימות.

הערה האפשרות Retpoline מופעלת כברירת מחדל עבור מכשירים שבהם פועל Windows 10 1809 ואילך אם Spectre Variant 2 (CVE-2017-5715) זמין. לקבלת מידע נוסף על "Retpoline", עקוב אחר צמצום Spectre variant 2 באמצעות Retpoline בפרסום הבלוג של Windows .

CVE-2017-5754

לא

Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל.
Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.

לקבלת מידע נוסף , עיין ב- ADV180002 .

CVE-2018-3639

Intel: כן

AMD: לא

לא זמין כברירת מחדל. ראה ADV180012 לקבלת מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות.

CVE-2018-11091

Intel: כן

Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל.
Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.

ראה ADV190013 לקבלת מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות.

CVE-2018-12126

Intel: כן

Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל.
Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.

ראה ADV190013 לקבלת מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות.

CVE-2018-12127

Intel: כן

Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל.
Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.

ראה ADV190013 לקבלת מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות.

CVE-2018-12130

Intel: כן

Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל.
Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.

ראה ADV190013 לקבלת מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות.

CVE-2019-11135

Intel: כן

Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל.
Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.

ראה CVE-2019-11135 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות.

CVE-2022-21123 (חלק מ- MMIO ADV220002)

Intel: כן

Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל. 
Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.* 

ראה CVE-2022-21123 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות.

CVE-2022-21125 (חלק מ- MMIO ADV220002)

Intel: כן

Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל. 
Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.* 

ראה CVE-2022-21125 לקבלת מידע נוסף.

CVE-2022-21127 (חלק מ- MMIO ADV220002)

Intel: כן

Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל. 
Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.* 

ראה CVE-2022-21127 לקבלת מידע נוסף.

CVE-2022-21166 (חלק מ- MMIO ADV220002)

Intel: כן

Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל. 
Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.* 

ראה CVE-2022-21166 לקבלת מידע נוסף.

CVE-2022-23825 (AMD CPU Branch Type Confusion)

AMD: לא

ראה CVE-2022-23825 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות.

CVE-2022-23816 (בלבול בסוג ענף CPU של AMD)

AMD: לא

ראה CVE-2022-23816 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות.

*פעל בהתאם להדרכה בנושא צמצום סיכונים עבור Meltdown להלן.

אם ברצונך להשיג את כל הגנות הזמינות מפני פגיעויות אלה, עליך לבצע שינויים במפתח הרישום כדי לאפשר צמצום סיכונים אלה שאינם זמינים כברירת מחדל.

הפעלת צמצום סיכונים אלה עשויה להשפיע על הביצועים. קנה המידה של אפקטי הביצועים תלוי בגורמים מרובים, כגון ערכת השבבים הספציפית במארח הפיזי שלך ועומסי העבודה הפועלים. מומלץ להעריך את אפקטי הביצועים עבור הסביבה שלך ולבצע את ההתאמות הנחוצות.

השרת שלך נמצא בסיכון מוגבר אם הוא נמצא באחת מהקטגוריות הבאות:

  • מארחי Hyper-V: דורש הגנה עבור תקיפות VM-to-VM ו- VM-to-host.

  • מארחי שירותי שולחן עבודה מרוחק (RDSH): דורש הגנה מהפעלה אחת להפעלה אחרת או מתקיפות הפעלה למארח.

  • מארחים פיזיים או מחשבים וירטואליים שבהם פועל קוד לא מהימן , כגון גורמים מכילים או הרחבות לא מהימנה עבור מסד נתונים, תוכן אינטרנט לא מהימן או עומסי עבודה שמפעילים קוד ממקורות חיצוניים. תוכנות אלה דורשות הגנה מפני תקיפות תהליך-לתהליך אחר או תקיפות בלתי מהימנה של תהליך-ליבה.

השתמש בהגדרות מפתח הרישום הבאות כדי להפוך את צמצום הסיכונים לזמין בשרת והפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

הערה: כברירת מחדל, הפיכת צמצום סיכונים לזמינים העשויים להשפיע על הביצועים. אפקט הביצועים בפועל תלוי בגורמים מרובים, כגון ערכת השבבים הספציפית במכשיר ועומסי העבודה הפועלים.

הגדרות רישום

חשוב: אנו מספקים את פרטי הרישום הבאים כדי לאפשר צמצום סיכונים שאינם זמינים כברירת מחדל, כפי שצוין במאמר Security Advisories ADV180002, ADV180012, ADV190013 ו- ADV220002.

בנוסף, אנו מספקים הגדרות מפתח רישום אם ברצונך לבטל את צמצום הסיכונים הקשורים CVE-2017-5715ו- CVE-2017-5754 עבור לקוחות Windows.

חשוב: סעיף, שיטה או משימה אלה מכילים שלבים שמסבירים כיצד לשנות את הרישום. עם זאת, בעיות חמורות עלולות להתרחש אם תשנה את הרישום באופן שגוי. לכן, הקפד על ביצוע שלבים אלה בתשומת לב מרובה. לתוספת הגנה, גבה את הרישום לפני שתשנה אותו. לאחר מכן, תוכל לשחזר את הרישום אם תתרחש בעיה. לקבלת מידע נוסף אודות אופן גיבוי ושחזור הרישום, לחץ על מספר המאמר הבא כדי להציג את המאמר במאמר Microsoft Knowledge Base:

322756 כיצד לגבות ולשחזר את הרישום ב- Windows

חשוב: כברירת מחדל, Retpoline זמין בשרתי Windows 10, גירסה 1809 אם Spectre, Variant 2 (CVE-2017-5715) זמין. הפעלת Retpoline בגירסה העדכנית ביותר של Windows 10 עשויה לשפר את הביצועים בשרתים Windows 10, גירסה 1809 עבור Spectre variant 2, במיוחד במעבדים ישנים יותר.

כדי לאפשר צמצום סיכונים עבור CVE-2017-5715 (Spectre Variant 2) ו- CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש.

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כדי לבטל צמצום סיכונים עבור CVE-2017-5715 (Spectre Variant 2) ו- CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

הערה: הגדרת FeatureSettingsOverrideMask ל- 3 מדויקת הן עבור ההגדרות 'הפוך לזמין' והן עבור 'הפוך ללא זמין'. (עיין בסעיף "שאלות נפוצות " לקבלת פרטים נוספים אודות מפתחות רישום.)

כדי להפוך את משתנה 2 ללא זמין: (CVE-2017-5715  "הזרקת יעד הסתעפות") צמצום סיכונים:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כדי להפוך את משתנה 2 לזמין: (CVE-2017-5715  "הזרקת יעד הסתעפות") צמצום סיכונים:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כברירת מחדל, הגנת משתמש-ליבה עבור CVE-2017-5715 אינה זמינה עבור יחידות CPU של AMD. לקוחות חייבים לאפשר צמצום סיכונים כדי לקבל הגנות נוספות עבור CVE-2017-5715.  לקבלת מידע נוסף, ראה שאלות נפוצות #15 ב- ADV180002.

אפשר הגנת משתמש-ליבה במעבדי AMD יחד עם הגנות אחרות עבור CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש.

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כדי לאפשר צמצום סיכונים עבור CVE-2018-3639 (מעקף ספקולטיבי של החנות), CVE-2017-5715 (Spectre Variant 2) ו- CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש.

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כדי לבטל צמצום סיכונים עבור CVE-2018-3639 (מעקף ספקולטיבי של החנות) צמצום סיכונים עבור CVE-2017-5715 (Spectre Variant 2) ו- CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כברירת מחדל, הגנת משתמש-ליבה עבור CVE-2017-5715 אינה זמינה עבור מעבדי AMD. לקוחות חייבים לאפשר צמצום סיכונים כדי לקבל הגנות נוספות עבור CVE-2017-5715.  לקבלת מידע נוסף, ראה שאלות נפוצות #15 ב - ADV180002.

אפשר הגנה מפני משתמש-ליבה במעבדי AMD יחד עם הגנות אחרות עבור CVE 2017-5715 והגנתות עבור CVE-2018-3639 (מעקף ספקולטיבי של החנות):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש.

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כדי לאפשר צמצום סיכונים עבור Intel Transactional Synchronization Extensions (Intel TSX) Transaction Synchronous Abort vulnerability (CVE-2019-11135) ו- Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) יחד עם Spectre [CVE-2017-5753 & CVE-2017-5715] ו- Meltdown [CVE-2017-5754] משתנים, כולל ספקולטיבי Store Bypass Disable (SSBD) [CVE-2018-3639 ] as ] וכן תקלה במסוף L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 ו- CVE-2018-3646] מבלי להפוך את Hyper-Threading ללא זמין:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש.

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כדי לאפשר צמצום סיכונים עבור Intel Transactional Synchronization Extensions (Intel TSX) Transaction Synchronous Abort vulnerability (CVE-2019-11135) ו- Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) יחד עם Spectre [ CVE-2017-5753 & CVE-2017-5715 ] ו- Meltdown [ CVE-2017-5754 ] משתנים, כולל ספקולטיבי Store Bypass Disable (SSBD) [ CVE-2018-3639 ] as ] well as L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620 ו- CVE-2018-3646 ] כאשר Hyper-Threading מושבת:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש.

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כדי לבטל צמצום סיכונים עבור Intel Transactional Synchronization Extensions (Intel TSX) Transaction Synchronous Abort vulnerability (CVE-2019-11135) ו- Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) יחד עם Spectre [ CVE-2017-5753 & CVE-2017-5715 ] ו- Meltdown [ CVE-2017-5754 ] משתנים, כולל ספקולטיבי Store Bypass Disable (SSBD) [ CVE-2018-3639 ] as as well as L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620 ו- CVE-2018-3646 ]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

הפוך הגנת משתמש-ליבה לזמינה במעבדי AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

כדי להיות מוגן באופן מלא, ייתכן שלקוחות יצטרכו גם להפוך את Hyper-Threading ללא זמין (המכונה גם ריבוי הליכי משנה בו-זמנית (SMT)). ראה KB4073757 לקבלת הדרכהבנושא הגנה על מכשירי Windows.

מוודא שההגנה זמינה

כדי לעזור לוודא הגנות זמינות, פרסמנו קובץ Script של PowerShell שבאפשרותך להפעיל במכשירים שלך. התקן והפעל את קובץ ה- Script באמצעות אחת מהשיטות הבאות.

התקן את מודול PowerShell:

PS> Install-Module SpeculationControl

הפעל את מודול PowerShell כדי לוודא הגנות זמינות:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

התקן את מודול PowerShell מ- Technet ScriptCenter:

  1. עבור אל https://aka.ms/SpeculationControlPS .

  2. הורד SpeculationControl.zip לתיקיה מקומית.

  3. חלץ את התוכן לתיקיה מקומית. לדוגמה: C:\ADV180002

הפעל את מודול PowerShell כדי לוודא הגנות זמינות:

הפעל את PowerShell ולאחר מכן השתמש בדוגמה הקודמת כדי להעתיק ולהפעיל את הפקודות הבאות:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

לקבלת הסבר מפורט על הפלט של קובץ ה- Script של PowerShell, ראה KB4074629

שאלות נפוצות

כדי לסייע במניעת השפעה לרעה על מכשירי הלקוחות, עדכוני האבטחה של Windows שהופצו בינואר ובינואר 2018 לא הוצעו לכל הלקוחות. לקבלת פרטים, ראה KB407269 .

המיקרו-קוד מועבר באמצעות עדכון קושחה. התייעץ עם יצרן הציוד המקורי לגבי גירסת הקושחה הכוללת את העדכון המתאים עבור המחשב שלך.

קיימים משתנים מרובים המשפיעים על הביצועים, החל מגירסה של המערכת עד עומסי העבודה הפועלים. עבור מערכות מסוימות, אפקט הביצועים יהיה זנילי. עבור אחרים, זה יהיה מאוד חשוב.

מומלץ להעריך את אפקטי הביצועים במערכות ולבצע התאמות לפי הצורך.

בנוסף להנחיות המופיעות במאמר זה בנוגע למחשבים וירטואליים, עליך לפנות לספק השירות שלך כדי לוודא שהמארחים המפעילים את המחשבים הווירטואליים שלך מוגנים כראוי.

עבור מחשבים וירטואליים של Windows Server הפועלים ב- Azure, ראה הדרכה לצמצום פגיעויות ערוץ צדדי של ביצוע ספקולטיבי ב- Azure . לקבלת הדרכה לגבי השימוש ב- Azure Update Management כדי לצמצם בעיה זו במחשבים וירטואליים של אורח, ראה KB4077467.

העדכונים שפורסמו עבור תמונות גורם מכיל של Windows Server עבור Windows Server 2016 ו- Windows 10, גירסה 1709 כוללים את צמצום הסיכונים עבור קבוצת פגיעויות זו. לא נדרשת תצורה נוספת.

הערה עדיין עליך לוודא שהמארח שבו פועלים גורמים מכילים אלה מוגדר לאפשר את צמצום הסיכונים המתאים.

לא, סדר ההתקנה אינו משנה.

כן, עליך להפעיל מחדש לאחר עדכון הקושחה (מיקרו-קוד) ולאחר מכן שוב לאחר עדכון המערכת.

להלן הפרטים עבור מפתחות הרישום:

FeatureSettingsOverride מייצג מפת סיביות העוקפת את הגדרת ברירת המחדל ו קובעת אילו צמצום סיכונים יהפוך ללא זמין. Bit 0 שולטת בהפחתת הסיכון התואמת ל- CVE-2017-5715. סיבית 1 שולטת בהפחתת הסיכון התואמת ל- CVE-2017-5754. הסיביות מוגדרות ל- 0 כדי להפוך את צמצום הסיכונים לזמין ול- 1 כדי להפוך את צמצום הסיכונים ללא זמין.

FeatureSettingsOverrideMask מייצג מסיכת מפת סיביות המשמשת יחד עם FeatureSettingsOverride.  במצב זה, אנו משתמשים בערך 3 (המיוצג כ- 11 במערכת הספרות הבינאריות או הספרות הבסיסיות 2) כדי לציין את שתי הסיביות הראשונות התואמות לסיכונים הזמינים. מפתח רישום זה מוגדר ל- 3 כדי להפוך את צמצום הסיכונים לזמין או ללא זמין.

MinVmVersionForCpuBasedMitigations מיועד למארחי Hyper-V. מפתח רישום זה מגדיר את גירסת ה- VM המינימלית הנדרשת כדי שתוכל להשתמש ביכולות הקושחה המעודכנת (CVE-2017-5715). הגדר זאת ל - 1.0 כדי לכסות את כל גירסאות ה- VM. שים לב שהמערכת תתעלם מערך רישום זה (בניח) במחשבים מארחים שאינם של Hyper-V. לקבלת פרטים נוספים, ראה הגנה על מחשבים וירטואליים של אורח מ- CVE-2017-5715 (הזרקת יעד הסתעפות).

כן, אין תופעות לוואי אם הגדרות רישום אלה מוחלות לפני התקנת התיקונים הקשורים לינואר 2018.

עיין בתיאור מפורט של פלט קובץ ה- Script ב- KB4074629: הבנת פלט קובץ Script של PowerShell של SpeculationControl .

כן, עבור מארחי Windows Server 2016 Hyper-V שעדיין אין להם את עדכון הקושחה זמין, פרסמנו הדרכה חלופית שעשויה לעזור לצמצם את המחשב הווירטואלי למחשב וירטואלי או למחשב וירטואלי לתקיפות מארחות. ראה הגנות חלופיות עבור מארחי Windows Server 2016 Hyper-V מול פגיעויות ערוץ צדדי של ביצוע ספקולטיבי .

עדכוני אבטחה בלבד אינם מצטברים. בהתאם לגירסת מערכת ההפעלה שלך, ייתכן שתצטרך להתקין כמה עדכוני אבטחה כדי להגן באופן מלא. באופן כללי, הלקוחות יצטרכו להתקין את העדכונים של ינואר, פברואר, מרץ ואפריל 2018. מערכות עם מעבדי AMD זקוקות לעדכון נוסף, כפי שמוצג בטבלה הבאה:

גירסת מערכת הפעלה

עדכון אבטחה

Windows 8.1, Windows Server 2012 R2

KB4338815 - אוסף עדכונים חודשי

KB4338824- אבטחה בלבד

Windows 7 SP1, Windows Server 2008 R2 SP1 או Windows Server 2008 R2 SP1 (התקנת ליבת שרת)

KB4284826 - אוסף עדכונים חודשי

KB4284867 - אבטחה בלבד

Windows Server 2008 SP2

KB4340583 - עדכון אבטחה

אנו ממליצים להתקין את עדכוני האבטחה בלבד בסדר ההפצה.

הערה: גירסה קודמת של שאלות נפוצות אלה ציינה באופן שגוי שעדכון האבטחה בלבד של פברואר כלל את תיקוני האבטחה שפורסמו בינואר. למעשה, זה לא.

לא. עדכון האבטחה KB4078130 היה תיקון ספציפי למניעת אופני פעולה בלתי צפויים של המערכת, בעיות ביצועים והפעלות מחדש בלתי צפויות לאחר התקנת מיקרו-קוד. החלת עדכוני האבטחה במערכות הפעלה של לקוח Windows מאפשרת את כל שלושת צמצום הסיכונים. במערכות ההפעלה של Windows Server, עדיין עליך להפוך את צמצום הסיכונים לזמין לאחר ביצוע הבדיקות המתאימות. לקבלת מידע נוסף, ראה KB4072698.

בעיה זו נפתרה ב- KB4093118.

בפברואר 2018 , Intel הכריזה כי היא השלימה את האימות שלה והתחילה לשחרר מיקרו-קוד עבור פלטפורמות CPU חדשות יותר. Microsoft תפרסם עדכוני מיקרו-קוד שאומתו על-ידי Intel הנוגעים ל- Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | הזרקת יעד הסתעפות). KB4093836 מפרט מאמרי Knowledge Base ספציפיים לפי גירסת Windows. כל מאמר KB ספציפי מכיל את עדכוני המיקרו-קוד הזמינים של Intel לפי CPU.

ב- 11 בינואר 2018, Intel דיווחה על בעיות במיקרו-קוד שהופצו לאחרונה, שנועדו לטפל ב- Spectre variant 2 (CVE-2017-5715 | הזרקת יעד הסתעפות). באופן ספציפי, Intel ציפתה שמיקרו-קוד זה עלול לגרום ל"אתחולים מחדש גבוהים מהצפוי ופעולות בלתי צפויות אחרות של המערכת" ושתרחישים אלה עלולים לגרום ל"אובדן נתונים או השחתה." הניסיון שלנו הוא שיציבות המערכת עלולה לגרום לאובדן נתונים או להשחתה בנסיבות מסוימות. ב- 22 בינואר, Intel ממליצה ללקוחות להפסיק לפרוס את גירסת המיקרו-קוד הנוכחית במעבדים המושפעים בזמן ש- Intel מבצעת בדיקות נוספות לגבי הפתרון המעודכן. אנו מבינים ש- Intel ממשיכה לחקור את ההשפעה הפוטנציאלית של גירסת המיקרו-קוד הנוכחית. אנו מעודדים את הלקוחות לסקור את ההנחיות שלהם באופן שוטף כדי ליידע את ההחלטות שלהם.

בזמן ש- Intel בודקת, מעדכנת ופריסת מיקרו-קוד חדש, אנו זמינים לעדכון מוכן לשימוש (OOB), KB4078130, אשר משבית באופן ספציפי רק את צמצום הסיכונים כנגד CVE-2017-5715. בבדיקות שלנו, עדכון זה נמצא כדי למנוע את אופן הפעולה המתואר. לקבלת הרשימה המלאה של המכשירים, עיין בהדרכה לגבי מהדורת מיקרו-קוד של Intel. עדכון זה מכסה את Windows 7 Service Pack 1 (SP1), Windows 8.1 ואת כל הגירסאות של Windows 10, הן הלקוח והן השרת. אם אתה משתמש במכשיר מושפע, ניתן להחיל עדכון זה על-ידי הורדתו מאתר האינטרנט Microsoft Update Catalog. היישום של תוכן מנה זה מבטל באופן ספציפי רק את צמצום הסיכונים כנגד CVE-2017-5715.

נכון לבעיה זו, לא קיימים דוחות ידועים המציינים שנעשה שימוש ב- Spectre Variant 2 (CVE-2017-5715 – "הזרקת יעד הסתעפות") כדי לתקוף לקוחות. אנו ממליצים, בהתאם לצורך, להפעיל מחדש את צמצום הסיכונים כנגד CVE-2017-5715 כאשר Intel מדווחת כי אופן פעולה בלתי צפוי זה של המערכת נפתר עבור המכשיר שלך.

בפברואר 2018, Intel הכריזה כי היא השלימה את האימות שלה והתחילה לשחרר מיקרו-קוד עבור פלטפורמות CPU חדשות יותר. Microsoft מבצעת עדכוני מיקרו-קוד שאומתו על-ידי Intel הקשורים ל- Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | הזרקת יעד הסתעפות). KB4093836 מפרט מאמרי Knowledge Base ספציפיים לפי גירסת Windows. רשימת KBs עדכוני מיקרו-קוד זמינים של Intel על-ידי CPU.

לקבלת מידע נוסף, ראה AMD Security עדכוניםו- AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . אלה זמינים בערוץ הקושחה של יצרן הציוד המקורי.

אנו זמינים עדכוני מיקרו-קוד שאומתו על-ידי Intel הנוגעים ל- Spectre Variant 2 (CVE-2017-5715 – "הזרקת יעד הסתעפות "). כדי לקבל את העדכונים האחרונים למיקרו-קוד של Intel באמצעות Windows Update, על הלקוחות להתקין מיקרו-קוד של Intel במכשירים שבהם פועלת מערכת הפעלה של Windows 10 לפני השדרוג לעדכון מאפריל 2018 של Windows 10 (גירסה 1803).

עדכון המיקרו-קוד זמין גם ישירות מ- Microsoft Update Catalog אם הוא לא הותקן במכשיר לפני שדרוג המערכת. מיקרו-קוד של Intel זמין דרך Windows Update, Windows Server Update Services (WSUS) או Microsoft Update Catalog. לקבלת מידע נוסף והוראות הורדה, ראה KB4100347.

עיין בסעיפים "פעולות מומלצות" ו"שאלות נפוצות" של  ADV180012 | הדרכה של Microsoft לגבי מעקף ספקולטיבי של החנות.

כדי לאמת את המצב של SSBD, קובץ ה- Script של PowerShell Get-SpeculationControlSettings עודכן כדי לזהות מעבדים מושפעים, מצב העדכונים של מערכת ההפעלה SSBD והמצב של מיקרו-קוד המעבד, אם ישים. לקבלת מידע נוסף ולהשגת קובץ ה- Script של PowerShell, ראה KB4074629.

ב- 13 ביוני 2018, הוכרז על פגיעות נוספת הכרוכה בביצוע ספקולטיבי של ערוץ צדדי, הידוע בשם 'שחזור מצב FP עצלן', והוכרז כי הוא הוקצה ל- CVE-2018-3665 . לקבלת מידע אודות פגיעות זו ופעולות מומלצות, עיין ב- Security Advisory ADV180016 | הדרכה של Microsoft לשחזור מצב FP עצלן .

הערה אין הגדרות תצורה נדרשות (רישום) עבור שחזור FP של שחזור עצלן.

Bounds Check Bypass Store (BCBS) פורסם ב- 10 ביולי 2018, והקצה את CVE-2018-3693. אנו מחשיבים את BCBS להשתייך לאותה רמת פגיעויות של עקיפת בדיקת גבול (משתנה 1). איננו מודעים כעת למופעים של BCBS בתוכנה שלנו. עם זאת, אנו ממשיכים לחקור את רמת הפגיעות הזו ויפעלו עם שותפים בתעשייה כדי לשחרר צמצום סיכונים כ הנדרש. אנו מעודדים חוקרים להגיש את הממצאים הרלוונטיים לתוכנית הפרסים של Microsoft Speculative Execution Side Channel, כולל כל המופעים הניתנים לניצול של BCBS. מפתחי תוכנה צריכים לסקור את ההנחיות למפתחים שכבר עודכנו עבור BCBS ב- C++ הדרכה למפתחים עבור ערוצים צדדיים של ביצוע ספקולטיבי 

ב- 14 באוגוסט 2018, הוכרז על תקלת מסוף L1 (L1TF) שהוקצתה להם מספר CVEs. פגיעויות ערוץ צדדי חדשות אלה של ביצוע ספקולטיבי יכולות לשמש לקריאת תוכן הזיכרון בגבול מהימן, ואם ייעשה בהם שימוש לרעה, עלולות להוביל לגילוי מידע. קיימים וקטורים מרובים שבהם תוקף עשוי להפעיל את הפגיעויות, בהתאם לסביבה שתצורתה נקבעה. L1TF משפיע על מעבדי Intel® Core® ועל מעבדי Intel® Xeon®.

לקבלת מידע נוסף על פגיעות זו ותצוגה מפורטת של תרחישים מושפעים, כולל הגישה של Microsoft לצמצום L1TF, עיין במשאבים הבאים:

השלבים להפוך את Hyper-Threading ליצרן ציוד מקורי ללא זמינים, אך הם בדרך כלל חלק מכלי ההתקנה והתצורה של ה- BIOS או הקושחה.

לקוחות המשתמשים במעבדי ARM של 64 סיביות צריכים לפנות ליצרן הציוד המקורי (OEM) של המכשיר לקבלת תמיכה בקושחה מכיוון שהגנת מערכת ההפעלה ARM64 אשר מצמצם את CVE-2017-5715 | הזרקת יעד הסתעפות (Spectre, Variant 2) מחייבת שימוש בעדכון הקושחה האחרון של יצרני ציוד מקורי (OEM) של המכשיר כדי להיכנס לתוקף.

לקבלת מידע נוסף, עיין בנושאים המינורית הבאים בנושא אבטחה

לקבלת הדרכה עבור Azure, עיין במאמר זה: הדרכה לצמצום פגיעויות ערוץ צדדי של ביצוע ספקולטיבי ב- Azure.

לקבלת מידע נוסף על הפעלת Retpoline, עיין בפרסום הבלוג שלנו: צמצום Spectre variant 2 באמצעות Retpoline ב- Windows .

לקבלת פרטים אודות פגיעות זו, עיין במדריך האבטחה של Microsoft: CVE-2019-1125 | פגיעות גילוי מידע של הליבה של Windows.

איננו מודעים לפגיעות זו של גילוי מידע המשפיעה על תשתית שירות הענן שלנו.

ברגע שנוהרנו לבעיה זו, עבדנו במהירות כדי לטפל בה ולשחרר עדכון. אנו מאמינים מאוד ששותפויות הדוקות עם חוקרים ושותפים בתעשייה כדי להפוך את הלקוחות לאבטחים יותר, ולא פרסמנו פרטים עד יום שלישי, 6 באוגוסט, בהתאם לנוהלי גילוי פגיעויות מתואמים.

ניתן למצוא הדרכה נוספת בהדרכה לה השבתת יכולת Intel Transactional Synchronization Extensions (Intel TSX).

הפניות

אנו מספקים פרטי קשר של ספקים חיצוניים כדי לסייע לך למצוא תמיכה טכנית. פרטי קשר אלו עשויים להשתנות ללא הודעה. איננו מבטיחים את מידת הדיוק של פרטי הקשר של ספק חיצוני זה.

זקוק לעזרה נוספת?

הרחב את הכישורים שלך

סייר בהדרכה >

קבל תכונות חדשות לפני כולם

הצטרף למשתתפי Microsoft insider >

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלכם?

תודה על המשוב!

×