|
שנה תאריך |
שינוי תיאור |
|
ה-19 ביולי 2023 |
|
|
ה-8 באוגוסט 2023 |
|
|
ה-9 באוגוסט 2023 |
|
|
9 באפריל 2024 |
|
|
ה-16 באפריל 2024 |
|
סיכום
מאמר זה מספק הדרכה עבור כיתה חדשה של פגיעויות ערוץ צדדי המבוססות על מיקרו-ארכיון ומבוסס סיליקון וביצוע ספקולטיבי המשפיעות על מעבדים מודרניים ומערכות הפעלה רבות. הדבר כולל את Intel, AMD ו- ARM. ניתן למצוא פרטים ספציפיים עבור פגיעויות מבוססות סיליקון אלה ב- ADVs (בעיות אבטחה) וב- CVEs הבאים (פגיעויות נפוצות וחשיפה):
-
ADV180002 | הדרכה להפחתת פגיעויות ערוץ צדדי של ביצוע ספקולטיבי
-
ADV180013 | הדרכה של Microsoft עבור רישום מערכת נוכלים קריאה
-
ADV190013 | הדרכה של Microsoft להפחתת פגיעויות בדגימה של נתונים מיקרו-ארכיון
-
ADV220002 | הדרכה של Microsoft לגבי פגיעויות נתונים מיו החדשות של מעבד Intel MMIO
חשוב: בעיה זו משפיעה גם על מערכות הפעלה אחרות, כגון Android, Chrome, iOS ו- macOS. לכן, אנו ממליצים ללקוחות לחפש הדרכה מספקים אלה.
פרסמנו כמה עדכונים כדי לסייע בהפחתת פגיעויות אלה. בנוסף, נקטנו פעולה כדי לאבטח את שירותי הענן שלנו. עיין בסעיפים הבאים לקבלת פרטים נוספים.
עדיין לא קיבלנו מידע המציין כי פגיעויות אלה שימשו כדי לתקוף לקוחות. אנו עובדים בשיתוף פעולה עם שותפים בתעשייה, כולל יצרני שבבים, יצרני ציוד מקורי של חומרה וספקי יישומים כדי להגן על לקוחות. כדי לקבל את כל הגנות הזמינות, נדרשים עדכוני קושחה (מיקרו-קוד) ותוכנה. הדבר כולל מיקרו-קוד של יצרני ציוד מקורי (OEM) של המכשיר, ובמקרים מסוימים עדכונים בתוכנת אנטי-וירוס.
מאמר זה מטפל בפגיעויות הבאות:
Windows Update יספקו גם צמצום סיכונים של Internet Explorer ו- Edge. אנו נמשיך לשפר צמצום סיכונים אלה כנגד רמת פגיעויות זו.
לקבלת מידע נוסף על מחלקה זו של פגיעויות, עיין בנושאים הבאים:
פגיעויות
ב- 14 במאי 2019, Intel פרסמה מידע על דרגת משנה חדשה של פגיעויות ערוץ צדדי של ביצוע ספקולטיבי הידועות כדגימה של נתונים של Microarchitectural. פגיעויות אלה טופלו ב- CVEs הבאים:
-
CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | דגימה של נתוני מאגר מאגר של מיקרו-ארכיון (MSBDS)
-
CVE-2018-12127 | דגימה של נתוני מאגר מילוי מיקרו-ארכיון (MFBDS)
-
CVE-2018-12130 | דגימה של נתוני יציאת טעינה של מיקרו-ארכיון (MLPDS)
חשוב: בעיות אלה ישפיעו על מערכות הפעלה אחרות כגון Android, Chrome, iOS ו- MacOS. אנו ממליצים לך לחפש הדרכה מהספקים המתאימים.
פרסמנו עדכונים כדי לסייע בהפחתת פגיעויות אלה. כדי לקבל את כל הגנות הזמינות, נדרשים עדכוני קושחה (מיקרו-קוד) ותוכנה. זה עשוי לכלול מיקרו-קוד של יצרני ציוד מקורי של מכשיר. במקרים מסוימים, התקנת עדכונים אלה תשפיע על הביצועים. פעלנו גם כדי לאבטח את שירותי הענן שלנו. אנו ממליצים מאוד לפרוס עדכונים אלה.
לקבלת מידע נוסף אודות בעיה זו, עיין בהדרכה הבאה בנושא אבטחה מייעצת והשתמש בהדרכה מבוססת תרחישים כדי לקבוע את הפעולות הדרושות כדי לצמצם את האיום:
-
ADV190013 | הדרכה של Microsoft להפחתת פגיעויות בדגימה של נתונים מיקרו-ארכיון
-
הדרכה של Windows להגנה מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי
הערה: מומלץ להתקין את כל העדכונים האחרונים מ- Windows Update לפני התקנת עדכוני מיקרו-קוד.
ב- 6 באוגוסט 2019, Intel פרסמה פרטים על פגיעות גילוי מידע של הליבה של Windows. פגיעות זו היא משתנה של פגיעות ערוץ צדדי של ביצוע ספקולטיבי של Spectre Variant 1, שהוקצתה לה CVE-2019-1125.
ב- 9 ביולי 2019 הפצנו עדכוני אבטחה עבור מערכת ההפעלה Windows כדי לעזור לצמצם בעיה זו. שים לב שהחזקנו את המסמך לתיעוד צמצום סיכונים זה באופן ציבורי עד לחשיפה המתואמת בתעשייה ביום שלישי, 6 באוגוסט 2019.
לקוחות שהופעלו Windows Update את עדכוני האבטחה שהופצו ב- 9 ביולי, 2019 מוגנים באופן אוטומטי. אין צורך בתצורה נוספת.
הערה: פגיעות זו אינה דורשת עדכון מיקרו-קוד של יצרן המכשיר (OEM).
לקבלת מידע נוסף אודות פגיעות זו ועדכונים ישימים, עיין במדריך עדכון האבטחה של Microsoft:
ב- 12 בנובמבר 2019, Intel פרסמה בעיה מינורית טכנית סביב Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability that is assigned CVE-2019-11135. פרסמנו עדכונים כדי לסייע בהפחתת פגיעות זו. כברירת מחדל, הגנות מערכת ההפעלה זמינות עבור מהדורות מערכת ההפעלה Windows Client.
ב- 14 ביוני 2022, פרסמנו את ADV220002 | הדרכה של Microsoft לגבי פגיעויות נתונים מיורכבות של מעבד Intel MMIO. פגיעויות אלה מוקצות ב- CVEs הבאים:
פעולות מומלצות
עליך לבצע את הפעולות הבאות כדי לסייע בהגנה מפני פגיעויות אלה:
-
החל את כל העדכונים הזמינים למערכת ההפעלה Windows, כולל עדכוני האבטחה החודשיים של Windows.
-
החל את עדכון הקושחה (מיקרו-קוד) הרלוונטי שסופק על-ידי יצרן ההתקן.
-
הערכת הסיכון לסביבה שלך בהתבסס על המידע הכלול ב- Microsoft Security Advisories ADV180002, ADV180012, ADV190013ו- ADV220002,בנוסף למידע הכלול במאמר זה.
-
בצע פעולה בהתאם לצורך באמצעות מידע מינורית ופרטי מפתח רישום המסופקים במאמר זה.
הערה: לקוחות Surface יקבלו עדכון מיקרו-קוד באמצעות עדכון Windows. לקבלת רשימה של עדכוני הקושחה (מיקרו-קוד) העדכניים ביותר הזמינים של מכשירי Surface, ראה KB4073065.
ב- 12 ביולי 2022, פרסמנו את CVE-2022-23825 | AMD CPU Branch Type Confusion המתאר כי כינויים במנבא הענף עלולים לגרום למעבדי AMD מסוימים לחזות את סוג הענף הלא נכון. בעיה זו עשויה להוביל לגילוי מידע.
כדי לסייע בהגנה מפני פגיעות זו, מומלץ להתקין עדכוני Windows מתאריך יולי 2022 או לאחר מכן, ולאחר מכן לבצע פעולה בהתאם לצורך על-ידי CVE-2022-23825 ופרטי מפתח רישום המסופקים במאמר Knowledge Base זה.
לקבלת מידע נוסף, עיין בעלון האבטחה AMD-SB-1037 .
ב- 8 באוגוסט 2023, פרסמנו את CVE-2023-20569 | AMD CPU Return Address Predictor (המכונה גם Inception) המתאר התקפה ערוץ צדדי ספקולטיבי חדשה שיכולה לגרום לביצוע ספקולטיבי בכתובת הנשלטת על-ידי תוקף. בעיה זו משפיעה על מעבדים מסוימים של AMD ועל שהיא עלולה להוביל לגילוי מידע.
כדי לסייע בהגנה מפני פגיעות זו, מומלץ להתקין עדכוני Windows מתאריך או לאחר אוגוסט 2023 ולאחר מכן לבצע פעולה בהתאם לצורך על-ידי CVE-2023-20569 ופרטי מפתח רישום המסופקים במאמר Knowledge Base זה.
לקבלת מידע נוסף, עיין בעלון האבטחה AMD-SB-7005 .
ב- 9 באפריל 2024 פרסמנו את CVE-2022-0001 | הזרקת היסטוריית ענף של Intel המתארת הזרקת היסטוריית ענף (BHI) שהיא צורה ספציפית של BTI במצב אינטרא-מצב. פגיעות זו מתרחשת כאשר תוקף עשוי לטפל בהיסטוריית הסתעפות לפני מעבר ממשתמש למצב מפקח (או מ- VMX שאינו בסיס/אורח למצב בסיס). טיפול זה עלול לגרום לחיזוי ענף עקיף לבחור ערך חיזוי ספציפי עבור ענף עקיף, וגאדג'ט גילוי ביעד החזוי יופעל זמנית. ייתכן שזה אפשרי מכיוון שהיסטוריית הענף הרלוונטית עשויה להכיל ענפים שבוצעו בהקשרי אבטחה קודמים, ובפרט מצבי חיזוי אחרים.
הגדרות צמצום סיכונים עבור לקוחות Windows
בעיות אבטחה מינורית (ADVs) ו- CVEs מספקות מידע על הסיכון שנמצא בסיכון של פגיעויות אלה, וכיצד הן עוזרות לך לזהות את מצב ברירת המחדל של צמצום סיכונים עבור מערכות לקוח של Windows. הטבלה הבאה מסכמת את הדרישה של מיקרו-קוד CPU ואת מצב ברירת המחדל של צמצום הסיכונים ללקוחות Windows.
|
Cve |
דורש מיקרו-קוד/קושחה של CPU? |
מצב ברירת מחדל של צמצום סיכונים |
|---|---|---|
|
CVE-2017-5753 |
לא |
זמין כברירת מחדל (אין אפשרות להפוך ללא זמין) עיין במאמר ADV180002 לקבלת מידע נוסף. |
|
CVE-2017-5715 |
כן |
זמין כברירת מחדל. משתמשי מערכות המבוססים על מעבדי AMD צריכים לראות שאלות נפוצות #15 ומשתמשי מעבדי ARM אמורים לראות שאלות נפוצות #20 ב- ADV180002 לפעולה נוספת ומאמר KB זה לקבלת הגדרות מפתח רישום ישימות. הערה כברירת מחדל, Retpoline מופעל עבור מכשירים שבהם פועל Windows 10, גירסה 1809 ואילך אם Spectre Variant 2 (CVE-2017-5715) זמין. לקבלת מידע נוסף, סביב Retpoline, פעל בהתאם להנחיות במאמר צמצום Spectre variant 2 באמצעות Retpoline בפרסום הבלוג של Windows . |
|
CVE-2017-5754 |
לא |
זמין כברירת מחדל עיין במאמר ADV180002 לקבלת מידע נוסף. |
|
CVE-2018-3639 |
Intel: כן |
Intel ו- AMD: לא זמין כברירת מחדל. ראה ADV180012 מידע נוסף ומאמר KB זה לקבלת הגדרות מפתח רישום ישימות. ARM: זמין כברירת מחדל ללא אפשרות להפוך ללא זמין. |
|
CVE-2019-11091 |
Intel: כן |
זמין כברירת מחדל. ראה ADV190013 מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות. |
|
CVE-2018-12126 |
Intel: כן |
זמין כברירת מחדל. ראה ADV190013 מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות. |
|
CVE-2018-12127 |
Intel: כן |
זמין כברירת מחדל. ראה ADV190013 מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות. |
|
CVE-2018-12130 |
Intel: כן |
זמין כברירת מחדל. ראה ADV190013 מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות. |
|
CVE-2019-11135 |
Intel: כן |
זמין כברירת מחדל. ראה CVE-2019-11135 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות. |
|
CVE-2022-21123 (חלק מ- MMIO ADV220002) |
Intel: כן |
Windows 10, גירסה 1809 ואילך: זמין כברירת מחדל. ראה CVE-2022-21123 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות. |
|
CVE-2022-21125 (חלק מ- MMIO ADV220002) |
Intel: כן |
Windows 10, גירסה 1809 ואילך: זמין כברירת מחדל. ראה CVE-2022-21125 לקבלת מידע נוסף. |
|
CVE-2022-21127 (חלק מ- MMIO ADV220002) |
Intel: כן |
Windows 10, גירסה 1809 ואילך: זמין כברירת מחדל. ראה CVE-2022-21127 לקבלת מידע נוסף. |
|
CVE-2022-21166 (חלק מ- MMIO ADV220002) |
Intel: כן |
Windows 10, גירסה 1809 ואילך: זמין כברירת מחדל. ראה CVE-2022-21166 לקבלת מידע נוסף. |
|
CVE-2022-23825 (AMD CPU Branch Type Confusion) |
AMD: לא |
ראה CVE-2022-23825 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות. |
|
CVE-2023-20569
|
AMD: כן |
ראה CVE-2023-20569 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות. |
|
Intel: לא |
לא זמין כברירת מחדל. ראה CVE-2022-0001 לקבלת מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות. |
הערה: כברירת מחדל, הפיכת צמצום סיכונים מבוטלים לזמינים עלולה להשפיע על ביצועי המכשיר. אפקט הביצועים בפועל תלוי בגורמים מרובים, כגון ערכת השבבים הספציפית במכשיר ועומסי העבודה הפועלים.
הגדרות רישום
אנו מספקים את פרטי הרישום הבאים כדי לאפשר צמצום סיכונים שאינם זמינים כברירת מחדל, כפי שצוין במאמר בעיות אבטחה מינורית (ADVs) ו- CVEs. בנוסף, אנו מספקים הגדרות מפתח רישום עבור משתמשים שברצונך לבטל את צמצום הסיכונים כאשר הדבר ישים עבור לקוחות Windows.
חשוב: סעיף, שיטה או משימה אלה מכילים שלבים שמסבירים כיצד לשנות את הרישום. עם זאת, בעיות חמורות עלולות להתרחש אם תשנה את הרישום באופן שגוי. לכן, הקפד לבצע שלבים אלה בזהירות. לקבלת הגנה נוספת, גבה את הרישום לפני שתשנה אותו. לאחר מכן, תוכל לשחזר את הרישום במקרה של בעיה. לקבלת מידע נוסף על אופן גיבוי ושחזור הרישום, עיין במאמר הבא ב- Microsoft Knowledge Base:
322756 כיצד לגבות ולשחזר את הרישום ב- Windows
חשוב: כברירת מחדל, Retpoline מופעל במכשירי Windows 10, גירסה 1809 אם Spectre, Variant 2 (CVE-2017-5715) זמין. הפעלת Retpoline בגירסה העדכנית ביותר של Windows 10 עשויה לשפר את הביצועים במכשירים שבהם Windows 10, גירסה 1809 עבור Spectre variant 2, במיוחד במעבדים ישנים יותר.
|
כדי לאפשר צמצום סיכונים המהווה ברירת מחדל עבור CVE-2017-5715 (Spectre Variant 2) ו- CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. כדי לבטל צמצום סיכונים עבור CVE-2017-5715 (Spectre Variant 2) ו- CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. |
הערה: ערך של 3 הוא מדויק עבור FeatureSettingsOverrideMask עבור ההגדרות "enable" ו- "disable". (עיין בסעיף "שאלות נפוצות" לקבלת פרטים נוספים אודות מפתחות רישום.)
|
כדי לבטל צמצום סיכונים עבור CVE-2017-5715 (Spectre Variant 2) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. כדי לאפשר צמצום סיכונים המהווה ברירת מחדל עבור CVE-2017-5715 (Spectre Variant 2) ו- CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. |
כברירת מחדל, הגנת משתמש-ליבה עבור CVE-2017-5715 אינה זמינה עבור מעבדי AMD ו- ARM. עליך להפוך את צמצום הסיכונים לזמין כדי לקבל הגנות נוספות עבור CVE-2017-5715. לקבלת מידע נוסף, ראה שאלות נפוצות #15 ב- ADV180002 עבור מעבדי AMD ותשובות נפוצות #20 ב- ADV180002 עבור מעבדי ARM.
|
אפשר הגנת משתמש-ליבה במעבדי AMD ו- ARM יחד עם הגנות אחרות עבור CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. |
|
כדי לאפשר צמצום סיכונים עבור CVE-2018-3639 (מעקף ספקולטיבי של החנות), צמצום סיכונים המהווה ברירת מחדל עבור CVE-2017-5715 (Spectre Variant 2) ו- CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. הערה: מעבדי AMD אינם פגיעים ל- CVE-2017-5754 (Meltdown). מפתח רישום זה משמש במערכות עם מעבדי AMD כדי לאפשר צמצום סיכונים המהווה ברירת מחדל עבור CVE-2017-5715 במעבדי AMD ואת צמצום הסיכונים עבור CVE-2018-3639. כדי לבטל צמצום סיכונים עבור CVE-2018-3639 (מעקף ספקולטיבי של החנות) *ו- * צמצום סיכונים עבור CVE-2017-5715 (Spectre Variant 2) ו- CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. |
כברירת מחדל, הגנת משתמש-ליבה עבור CVE-2017-5715 אינה זמינה עבור מעבדי AMD. לקוחות חייבים לאפשר צמצום סיכונים כדי לקבל הגנות נוספות עבור CVE-2017-5715. לקבלת מידע נוסף, ראה שאלות נפוצות #15 ADV180002.
|
אפשר הגנה מפני משתמש-ליבה במעבדי AMD יחד עם הגנות אחרות עבור CVE 2017-5715 והגנת עבור CVE-2018-3639 (מעקף ספקולטיבי של החנות): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. |
|
כדי לאפשר צמצום סיכונים עבור Intel Transactional Synchronization Extensions (Intel TSX) Transaction Synchronous Abort vulnerability (CVE-2019-11135) ו- Microarchitectural Data Sampling ( CVE-20 19-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) יחד עם משתני Spectre (CVE-2017-5753 & CVE-2017-5715) ו- Meltdown (CVE-2017-5754) כולל מעקף ספקולטיבי של Store Disable (SSBD) (CVE-2018-3639) וכן תקלת מסוף L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 ו- CVE-2018-3646) מבלי להפוך את Hyper-Threading ללא זמין: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש. הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) כאשר Hyper-Threading לא זמין: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש. הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. |
כדי לאפשר צמצום סיכונים עבור CVE-2022-23825 במעבדי AMD :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
כדי להיות מוגן באופן מלא, ייתכן שלקוחות יצטרכו גם להפוך את Hyper-Threading ללא זמין (המכונה גם ריבוי הליכי משנה (SMT)) בו-זמנית. ראה KB4073757 לקבלתהדרכה בנושא הגנה על מכשירי Windows.
כדי לאפשר צמצום סיכונים עבור CVE-2023-20569 במעבדי AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
כדי לאפשר צמצום סיכונים עבור CVE-2022-0001 במעבדי Intel:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
הפעלת צמצום סיכונים מרובים
כדי לאפשר צמצום סיכונים מרובים, עליך להוסיף את ערך REG_DWORD של כל צמצום סיכונים יחד.
לדוגמה:
|
צמצום סיכונים עבור פגיעות ביטול אסינכרוני של טרנזקציה, דגימה של נתונים ב- Microarchitectural, Spectre, Meltdown, MMIO, מעקף ספקולטיבי של Store Disable (SSBD) ו- L1 Terminal Fault (L1TF) כאשר Hyper-Threading מושבת |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
|
הערה 8264 (במספר עשרוני) = 0x2048 (בהקסס) כדי להפוך את BHI לזמין יחד עם הגדרות קיימות אחרות, יהיה עליך להשתמש ב- OR לפי סיביות של הערך הנוכחי עם 8,388,608 (0x800000). 0x800000 OR 0x2048(8264 במספר עשרוני) והוא יהפוך ל- 8,396,872 (0x802048). זהה ל- FeatureSettingsOverrideMask. |
|
|
צמצום סיכונים עבור CVE-2022-0001 במעבדי Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
|
צמצום סיכונים משולב |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
|
צמצום סיכונים עבור פגיעות ביטול אסינכרוני של טרנזקציה, דגימה של נתונים ב- Microarchitectural, Spectre, Meltdown, MMIO, מעקף ספקולטיבי של Store Disable (SSBD) ו- L1 Terminal Fault (L1TF) כאשר Hyper-Threading מושבת |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
|
צמצום סיכונים עבור CVE-2022-0001 במעבדי Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
|
צמצום סיכונים משולב |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
אימות הגנות זמינות
כדי לעזור לוודא הגנות זמינות, פרסמנו קובץ Script של PowerShell שבאפשרותך להפעיל במכשירים שלך. התקן והפעל את קובץ ה- Script באמצעות אחת מהשיטות הבאות.
|
התקן את מודול PowerShell: PS> Install-Module ספקולטול הפעל את מודול PowerShell כדי לוודא הגנות זמינות: PS> # שמור את מדיניות הביצוע הנוכחית כדי שניתן יהיה לאפס אותה PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module ספקולטול PS> Get-SpeculationControlSettings PS> # איפוס מדיניות הביצוע למצב המקורי PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
התקן את מודול PowerShell מ- Technet ScriptCenter: עבור אל https://aka.ms/SpeculationControlPS הורד SpeculationControl.zip לתיקיה מקומית. חלץ את התוכן לתיקיה מקומית, לדוגמה C:\ADV180002 הפעל את מודול PowerShell כדי לוודא הגנות זמינות: הפעל את PowerShell ולאחר מכן (באמצעות הדוגמה הקודמת) העתק והפעל את הפקודות הבאות: PS> # שמור את מדיניות הביצוע הנוכחית כדי שניתן יהיה לאפס אותה PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # איפוס מדיניות הביצוע למצב המקורי PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
לקבלת הסבר מפורט על הפלט של קובץ ה- Script של PowerShell, ראה KB4074629.
שאלות נפוצות
המיקרו-קוד מועבר באמצעות עדכון קושחה. עליך לבדוק עם יצרני המעבדים (שבבים) והמכשירים שלך לגבי הזמינות של עדכוני אבטחת קושחה ישימים עבור המכשיר הספציפי שלהם, כולל הדרכה לתיקון מיקרו-קוד של Intels.
טופלה פגיעות חומרה באמצעות עדכון תוכנה מהווה אתגרים משמעותיים. כמו כן, צמצום סיכונים עבור מערכות הפעלה ישנות יותר דורש שינויים נרחבים בארכיטקטורה. אנו פועלים עם יצרני שבבים מושפעים כדי לקבוע את הדרך הטובה ביותר לספק צמצום סיכונים, שעשוי להימסר בעדכונים עתידיים.
עדכונים עבור מכשירי Microsoft Surface יועבר ללקוחות באמצעות Windows Update יחד עם העדכונים עבור מערכת ההפעלה Windows. לקבלת רשימה של עדכוני קושחה (מיקרו-קוד) זמינים עבור מכשירי Surface, ראה KB4073065.
אם המכשיר שלך אינו של Microsoft החל קושחה מיצרן המכשיר. לקבלת מידע נוסף, פנה ליצרן מכשיר OEM.
בפברואר ומרץ 2018, Microsoft פרסמה הגנה נוספת עבור מערכות מבוססות x86 מסוימות. לקבלת מידע נוסף, KB4073757 את Microsoft Security Advisory ADV180002.
עדכונים כדי Windows 10 עבור HoloLens זמינים ללקוחות HoloLens באמצעות Windows Update.
לאחר החלת העדכון של פברואר 2018 אבטחת Windows, לקוחות HoloLens אינם צריכים לבצע פעולה נוספת כדי לעדכן את קושחת המכשיר שלהם. צמצום סיכונים אלה ייכלל גם בכל המהדורות העתידיות של Windows 10 עבור HoloLens.
לא. עדכוני אבטחה בלבד אינם מצטברים. בהתאם לגירסת מערכת ההפעלה שבה אתה משתמש, יהיה עליך להתקין כל עדכון אבטחה בלבד חודשי כדי להיות מוגן מפני פגיעויות אלה. לדוגמה, אם אתה משתמש ב- Windows 7 עבור מערכות של 32 סיביות ב- Intel CPU המושפע, עליך להתקין את כל עדכוני האבטחה בלבד. אנו ממליצים להתקין עדכוני אבטחה בלבד אלה לפי סדר ההפצה.
הערה גירסה קודמת של שאלות נפוצות אלה ציינה באופן שגוי שעדכון האבטחה בלבד של פברואר כלל את תיקוני האבטחה שהופצו בינואר. למעשה, זה לא.
לא. עדכון אבטחה 4078130 תיקון ספציפי כדי למנוע אופני פעולה בלתי צפויים של המערכת, בעיות ביצועים ו/או אתחולים מחדש בלתי צפויים לאחר התקנת מיקרו-קוד. החלת עדכוני האבטחה של פברואר במערכות הפעלה של לקוח Windows מאפשרת את כל שלושת צמצום הסיכונים.
Intel הכריזה לאחרונה שהם השלמו את האימות שלהם והתחלו לשחרר מיקרו-קוד עבור פלטפורמות CPU חדשות יותר. Microsoft מבצעת עדכונים למיקרו-קוד שאומתו על-ידי Intel סביב Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 מאמרי Knowledge Base ספציפיים לפי גירסת Windows. כל מאמר KB ספציפי מכיל את עדכוני המיקרו-קוד הזמינים של Intel לפי CPU.
בעיה זו נפתרה ב- KB4093118.
AMD הכריזה לאחרונה שהם התחילו לשחרר מיקרו-קוד עבור פלטפורמות CPU חדשות יותר סביב Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). לקבלת מידע נוסף, עיין ב- AMD Security עדכוניםו- AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. אלה זמינים בערוץ הקושחה של יצרן הציוד המקורי.
אנו זמינים עדכוני מיקרו-קוד שאומתו על-ידי Intel סביב Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection "). כדי לקבל את העדכונים האחרונים למיקרו-קוד של Intel באמצעות Windows Update, על הלקוחות להתקין מיקרו-קוד של Intel במכשירים שבהם פועלת מערכת הפעלה של Windows 10 לפני השדרוג לעדכון מאפריל 2018 של Windows 10 (גירסה 1803).
עדכון מיקרו-קוד יהיה זמין ישירות מתוך קטלוג אם לא הותקן במכשיר לפני השדרוג של מערכת ההפעלה. מיקרו-קוד של Intel זמין דרך Windows Update, WSUS או Microsoft Update Catalog. לקבלת מידע נוסף והוראות הורדה, ראה KB4100347.
לקבלת מידע נוסף, עיין במשאבים הבאים:
לקבלת פרטים, עיין בסעיפים "פעולות מומלצות" ו"שאלות נפוצות" ADV180012 | הדרכה של Microsoft לגבי מעקף ספקולטיבי של החנות.
כדי לאמת את המצב של SSBD, קובץ ה- Script של Get-SpeculationControlSettings PowerShell עודכן כדי לזהות מעבדים מושפעים, מצב העדכונים של מערכת ההפעלה SSBD והמצב של מיקרו-קוד המעבד במידת הצורך. לקבלת מידע נוסף ולהשגת קובץ ה- Script של PowerShell, ראה KB4074629.
ב- 13 ביוני 2018, הוכרז על פגיעות נוספת הקשורה לביצוע ספקולטיבי של ערוץ צדדי, שנקרא "שחזור מצב FP עצל", והוכרז כי הוא הוקצה ל- CVE-2018-3665. אין צורך בהגדרות תצורה (רישום) עבור שחזור FP של שחזור עצלן.
לקבלת מידע נוסף אודות פגיעות זו ולפעולות מומלצות, עיין בנושא בעיות ADV180016 | הדרכה של Microsoft לשחזור מצב FP עצלן.
הערה: אין צורך בהגדרות תצורה (רישום) עבור שחזור FP של שחזור עצלן.
מאגר מעקפים של בדיקת גבולות (BCBS) נחשף ב- 10 ביולי 2018 והקצה לו CVE-2018-3693. אנו מחשיבים את BCBS להשתייך לאותה רמת פגיעויות של עקיפת בדיקת גבול (משתנה 1). איננו מודעים כעת למופעים של BCBS בתוכנה שלנו, אך אנו ממשיכים לחקור את רמת הפגיעות הזו ופועלים עם שותפים בתעשייה כדי לשחרר צמצום סיכונים כ הנדרש. אנו ממשיכים לעודד את החוקרים להגיש את הממצאים הרלוונטיים לתוכנית הפרסים של Microsoft בנושא ביצוע ערוץ צדדי ספקולטיבי , כולל כל המופעים הניתנים לניצול של BCBS. מפתחי תוכנה צריכים לעיין בהדרכה למפתחים עודכנה עבור BCBS https://aka.ms/sescdevguide.
ב- 14 באוגוסט 2018, הוכרז על תקלת מסוף L1 (L1TF) שהוקצתה להם מספר CVEs. פגיעויות ערוץ צדדי חדשות אלה של ביצוע ספקולטיבי יכולות לשמש כדי לקרוא את תוכן הזיכרון בגבול מהימן, ואם ייעשה בהם שימוש לרעה, עלולות להוביל לגילוי מידע. תוקף עלול להפעיל את הפגיעויות באמצעות וקטורים מרובים, בהתאם לסביבה שתצורתה נקבעה. L1TF משפיע על מעבדי Intel® Core® ועל מעבדי Intel® Xeon®.
לקבלת מידע נוסף על פגיעות זו ותצוגה מפורטת של תרחישים מושפעים, כולל הגישה של Microsoft לצמצום L1TF, עיין במשאבים הבאים:
לקוחות המשתמשים במעבדי ARM של 64 סיביות צריכים לבדוק עם יצרן הציוד המקורי (OEM) של המכשיר לקבלת תמיכה בקושחה מכיוון שהגנת מערכת ההפעלה ARM64 שמצמצם את CVE-2017-5715 | הזרקת יעד הסתעפות (Spectre, Variant 2) מחייבת שימוש בעדכון הקושחה האחרון של יצרני ציוד מקורי (OEM) של המכשיר כדי להיכנס לתוקף.
לקבלת מידע נוסף, עיין בנושאים המינורית הבאים בנושא אבטחה
לקבלת מידע נוסף, עיין בנושאים המינורית הבאים בנושא אבטחה
ניתן למצוא הדרכה נוספת בהדרכה של Windows להגנה מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי
עיין בהדרכה בנושא Windows כדי להגן מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי
לקבלת הדרכה עבור Azure, עיין במאמר זה: הדרכה לצמצום פגיעויות ערוץ צדדי של ביצוע ספקולטיבי ב- Azure.
לקבלת מידע נוסף על הפעלת Retpoline, עיין בפרסום הבלוג שלנו: צמצום Spectre variant 2 באמצעות Retpoline ב- Windows.
לקבלת פרטים על פגיעות זו, עיין במדריך האבטחה של Microsoft: CVE-2019-1125 | פגיעות גילוי מידע של הליבה של Windows.
איננו מודעים לפגיעות זו של גילוי מידע המשפיעה על תשתית שירות הענן שלנו.
ברגע שנוהרנו לבעיה זו, עבדנו במהירות כדי לטפל בה ולשחרר עדכון. אנו מאמינים מאוד ששותפויות הדוקות עם חוקרים ושותפים בתעשייה כדי להפוך את הלקוחות לאבטחים יותר, ולא פרסמנו פרטים עד יום שלישי, 6 באוגוסט, בהתאם לנוהלי גילוי פגיעויות מתואמים.
ניתן למצוא הדרכה נוספת בהדרכה של Windows כדי להגן מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי.
ניתן למצוא הדרכה נוספת בהדרכה של Windows כדי להגן מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי.
ניתן למצוא הדרכה נוספת בהדרכה לה השבתת יכולת Intel® Transactional Synchronization Extensions (Intel® TSX).
ספרי עזר
אנו מספקים פרטי קשר של ספקים חיצוניים כדי לסייע לך למצוא תמיכה טכנית. פרטי קשר אלה עשויים להשתנות ללא הודעה. איננו מבטיחים את מידת הדיוק של פרטי הקשר של ספק חיצוני זה.
