Sažetak
Ovaj će se članak ažurirati kao što dodatne informacije postaju dostupne. Molimo vas da ovdje redovito Provjerite ažuriranja i nova FAQ.
Microsoft je svjestan nove javno objavljene klase ranjivosti koje se nazivaju "spekulativno izvršenje strane kanala napada" i koji utječu na mnoge moderne procesore uključujući Intel, AMD, VIA, i ARM.
Note Taj problem također utječe na druge operativne sustave, kao što su Android, Chrome, iOS i macOS. Stoga savjetujemo kupcima da potraže vodstvo od tih dobavljača.
Objavili smo nekoliko ažuriranja kako bi se ublažili ove ranjivosti. Također smo poduzeli mjere za osiguravanje naših usluga u oblaku. Dodatne pojedinosti potražite u sljedećim odjeljcima.
Još nismo primili nikakve informacije koje ukazuju na to da su te ranjivosti korištene za napad na kupce. Blisko surađujemo s industrijskim partnerima, uključujući tvorce čipsa, hardverske OEM-ove i dobavljače aplikacija za zaštitu kupaca. Da biste dobili sve dostupne zaštite, firmware (microcode) i softverska ažuriranja su potrebne. To uključuje mikrokôd iz OEM-ova uređaja i, u nekim slučajevima, ažuriranja antivirusnog softvera.
Ovaj članak rješava sljedeće ranjivosti:
Windows Update također će pružiti Internet Explorer i Edge mitigations. Nastavit ćemo unaprijediti ove mitigations protiv ove klase ranjivosti.
Da biste saznali više o ovoj klasi ranjivosti, pogledajte
-
ADV180002 | Smjernice za ublažavanje ranjivosti spekulativnog izvršavanja bočnog kanala
-
ADV180012 | Microsoft smjernice za zaobilaženje špekulativnog spremišta
Ažurirano Svibanj 14, 2019 14. svibnja 2019, Intel je objavio informacije o novoj podklasi ranjivosti spekulativnog izvršavanja bočnih kanala poznatih kao uzorkovanje Mikroarhitektonskog podataka. Dodijeljeni su sljedećim CVEs-ima:
-
CVE-2018-11091 – "uzorkovanje Mikroarhitektonskih podataka bez mogućnosti pamćenja (MDSUM)"
-
CVE-2018-12126 – "uzorkovanje podataka međuspremnika Mikroarhitektonskog spremišta (MSBDS)"
-
CVE-2018-12127 – "uzorkovanje Mikroarhitektonskog međuspremnika punjenja (MFBDS)"
-
CVE-2018-12130 – "uzorke podataka iz Mikroarhitektonskog opterećenja (MLPDS)"
Važnim Ti problemi utjecat će na druge sustave kao što su Android, Chrome, iOS i MacOS. Savjetujemo klijentima da potraže vodstvo od svojih dobavljača.
Microsoft je objavio ažuriranja kako bi ublažio te ranjivosti. Da biste dobili sve dostupne zaštite, firmware (microcode) i softverska ažuriranja su potrebne. To može uključivati mikrokôd iz OEM-ova uređaja. U nekim slučajevima, instaliranje tih ažuriranja će imati učinak performansi. Također smo djelovali kako bismo osigurali naše usluge u oblaku. Preporučujemo implementaciju tih ažuriranja.
Dodatne informacije o tom problemu potražite u sljedećem smjernicama za sigurnost i koristite upute temeljene na scenariju kako biste odredili radnje potrebne za ublažavanje prijetnje:
-
ADV190013 | Microsoft smjernice za ublažavanje ranjivosti Mikroarhitektonskih podataka uzorkovanja
-
Windows smjernica za zaštitu od ranjivosti spekulativnog izvršavanja bočnog kanala
Note Preporučujemo da instalirate sva najnovija ažuriranja iz sustava Windows Update prije nego instalirate bilo koje ažuriranje microcode.
U pdated kolovoz 6, 2019 na Kolovoz 6, 2019 Intel objavio pojedinosti o sustavu Windows kernel informacija o ranjivosti. Ova ranjivost je varijanta Spectre varijanta 1 spekulativno izvršenje strani kanal ranjivosti i dodijeljen CVE-2019-1125.
Srpanj 9, 2019 smo objavili sigurnosna ažuriranja za operacijski sustav Windows kako bi se ublažio taj problem. Imajte na umu da smo zadržali dokumentiranje ovog ublažavanja javno sve do koordiniranog objavljivanja industrije u utorak, 6. kolovoza 2019.
Klijenti koji imaju omogućen Windows Update i primijenili sigurnosna ažuriranja objavljena na Srpanj 9, 2019 su zaštićeni automatski. Nema daljnje konfiguracije potrebno.
Napomena Ova ranjivost ne zahtijeva ažuriranje microcode od proizvođača uređaja (OEM).
Dodatne informacije o ovoj ranjivosti i primjenjivim ažuriranjima potražite u vodiču za Microsoft Security Update:
CVE-2019-1125 | Slabe točke otkrivanja informacija jezgre sustava Windows
Ažurirano na N ovember 12, 2019 na studenom 12, 2019, Intel objavio tehničko savjetovanje oko Intel® transakcijskih sinkronizacija proširenja (Intel® TSX) transakcija asinkroni prekid slabosti koja je dodijeljena CVE-2019-11135. Microsoft je objavio ažuriranja kako bi ublažio ovu ranjivost i OS zaštite su omogućene po zadanim postavkama za Windows Server 2019, ali onemogućen po zadanim postavkama za Windows Server 2016 i starijih Windows Server OS izdanja.
Preporučene radnje
Kupci bi trebali poduzeti sljedeće radnje kako bi zaštitili od ranjivosti:
-
Primijenite sva dostupna ažuriranja operacijskog sustava Windows, uključujući mjesečna sigurnosna ažuriranja za Windows.
-
Primijenite ažuriranje primjenjivog firmvera (microcode) koje pruža proizvođač uređaja.
-
Procijenite rizik za okruženje na temelju informacija koje se pružaju u Microsoftovim sigurnosnim Savjetovima: ADV180002, ADV180012, ADV190013i informacije navedene u ovom članku iz baze znanja.
-
Poduzmi akciju kao što je potrebno pomoću obavijesti i informacije o ključu registra koje su navedene u ovom članku iz baze znanja.
Note Korisnici površine će dobiti ažuriranje microcode putem Windows Update. Popis najnovijih nadopuna firmvera Surface uređaja (microcode) potražite na KB 4073065.
Postavke ublažavanja za Windows Server
Sigurnosni Savjeti ADV180002, ADV180012i ADV190013 pružaju informacije o riziku koji predstavlja te ranjivosti. Oni također vam pomoći identificirati ove ranjivosti i identificirati zadano stanje mitigations za Windows Server sustava. U nastavku tablica sažima zahtjev CPU microcode i zadani status mitigations na Windows Server.
|
Cve |
Zahtijeva CPU microcode/firmware? |
Smanjenje zadanog statusa |
|---|---|---|
|
CVE-2017-5753 |
Ne |
Omogućeno po zadanim postavkama (nema mogućnosti za onemogućivanje) Molimo pogledajte ADV180002 za dodatne informacije |
|
CVE-2017-5715 |
Da |
Prema zadanim postavkama onemogućen. Molimo pogledajte ADV180002 za dodatne informacije i ovaj članak KB za primjenjive postavke ključa registra. Note "Retpoline" je omogućeno po zadanim postavkama za uređaje sa sustavom Windows 10 1809 ili noviji ako je omogućen Spectre Variant 2 ( CVE-2017-5715 ). Za više informacija, oko "retpoline", slijedemitigating Spectre varijantu 2 s retpoline na Windows blog post. |
|
CVE-2017-5754 |
Ne |
Windows Server 2019: omogućeno prema zadanim postavkama. Windows Server 2016 i raniji: prema zadanim postavkama onemogućen je. Molimo pogledajte ADV180002 za dodatne informacije. |
|
CVE-2018-3639 |
Intel: da AMD: ne |
Prema zadanim postavkama onemogućen. Pogledajte ADV180012 za više informacija i ovaj članak iz baze podataka za primjenjive postavke ključa registra. |
|
CVE-2018-11091 |
Intel: da |
Windows Server 2019: omogućeno prema zadanim postavkama. Windows Server 2016 i raniji: prema zadanim postavkama onemogućen je. Pogledajte ADV190013 za više informacija i ovaj članak KB za primjenjive postavke ključa registra. |
|
CVE-2018-12126 |
Intel: da |
Windows Server 2019: omogućeno prema zadanim postavkama. Windows Server 2016 i raniji: prema zadanim postavkama onemogućen je. Pogledajte ADV190013 za više informacija i ovaj članak KB za primjenjive postavke ključa registra. |
|
CVE-2018-12127 |
Intel: da |
Windows Server 2019: omogućeno prema zadanim postavkama. Windows Server 2016 i raniji: prema zadanim postavkama onemogućen je. Pogledajte ADV190013 za više informacija i ovaj članak KB za primjenjive postavke ključa registra. |
|
CVE-2018-12130 |
Intel: da |
Windows Server 2019: omogućeno prema zadanim postavkama. Windows Server 2016 i raniji: prema zadanim postavkama onemogućen je. Pogledajte ADV190013 za više informacija i ovaj članak KB za primjenjive postavke ključa registra. |
|
CVE-2019-11135 |
Intel: da |
Windows Server 2019: omogućeno prema zadanim postavkama. Windows Server 2016 i raniji: prema zadanim postavkama onemogućen je. Vidi CVE-2019-11135 za više informacija i ovog članka iz baze podataka za primjenjive postavke ključa registra. |
Kupci koji žele dobiti sve dostupne zaštite od tih ranjivosti moraju napraviti promjene ključa registra kako bi omogućili ove mitigations koje su onemogućene prema zadanim postavkama.
Omogućavanje tih mitigations može utjecati na performanse. Skala efekata performansi ovisi o više čimbenika, kao što su određeni chipset u vašem fizičkom domaćinu i radnim opterećenjima koji se izvode. Preporučujemo da kupci ocijene učinke performansi za njihov okoliš i učine sve potrebne prilagodbe.
Vaš poslužitelj je povećan rizik ako je u jednoj od sljedećih kategorija:
-
Značajke Hyper-V Hosts – potrebna je zaštita za VM-to-VM i VM-host napade.
-
Servisi udaljene radne površine (RDSH) – potrebna je zaštita od jedne sesije do druge sesije ili od napada na domaćin.
-
Fizičke hostove ili virtualne strojeve koji izvode nepouzdani kôd, kao što su spremnici ili nepouzdana proširenja za bazu podataka, nepouzdani web-sadržaj ili radna opterećenja koja izvode kod iz vanjskih izvora. Oni zahtijevaju zaštitu od nepouzdanog procesa-do-drugog procesa ili nepouzdanih procesa do jezgre napada.
Upotrijebite sljedeće postavke ključnog registra da biste omogućili ublažavanja na poslužitelju i ponovno pokrenite sustav kako bi promjene stupile na snagu.
Note Omogućavanje ublažavanja koje su isključeno po zadanom može utjecati na performanse. Stvarni učinak performansi ovisi o višestrukim čimbenicima, kao što su određeni chipset u uređaju i radna opterećenja koja se izvode.
Postavke registra
Pružamo sljedeće podatke o registru kako bismo omogućili ublažavanja koje nisu omogućene prema zadanim postavkama, kao što je dokumentirano u sigurnosnim savjetovanjima ADV180002, ADV180012i ADV190013.
Osim toga, pružamo postavke ključa registra za korisnike koji žele onemogućiti mitigations koje su povezane s CVE-2017-5715 i CVE-2017-5754 za Windows klijente.
Važnim Ovaj odjeljak, metoda ili zadatak sadrži korake koji vam govore kako izmijeniti registar. Međutim, može doći do ozbiljnih problema ako nepravilno izmijenite registar. Stoga pazite da pažljivo slijedite ove korake. Za dodatnu zaštitu u registru prije izmjene registra. Zatim možete vratiti registar ako se pojavi problem. Dodatne informacije o tome kako obnoviti i vratiti registar kliknite sljedeći broj članka u Microsoftovoj bazi znanja:
322756 kako obnoviti i vratiti registar u sustavu Windows
Upravljanje mitigations za CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (meltdown)
Važna bilješka Retpoline je omogućen po zadanim postavkama na Windows 10, verzija 1809 poslužiteljima ako SPECTRE, varijanta 2 ( CVE-2017-5715 ) je omogućen. Omogućavanje Retpoline na najnoviju verziju sustava Windows 10 može poboljšati performanse na poslužiteljima koji izvode Windows 10, verzija 1809 za Spectre varijantu 2, posebno na starijim procesorima.
|
Da biste omogućili mitigations za CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ako je ovo glavno računalo za Hyper-V i primijenjeno je Ažuriranje firmvera: Potpuno isključite sve virtualne strojeve. To omogućuje ublažavanje firmvera vezanih uz firmware koji se primjenjuje na host prije početka VMs-a. Stoga se VMs ažuriraju i kada se ponovno pokrenu. Ponovno pokrenite računalo da bi promjene stupile na snagu. Da biste onemogućili mitigations za CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovno pokrenite računalo da bi promjene stupile na snagu. |
Note Postavljanje Značajuresettingsoverridemask na 3 je točna za "Enable" i "Onemogući" postavke. (Pogledajte odjeljak "FAQ " za više detalja o ključevima registra.)
Upravljanje ublažavanjem za CVE-2017-5715 (Spectre varijanta 2)
|
Da biste onemogućili varijantu 2: (CVE-2017-5715 "Ciljna injekcija") ublažavanje: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovno pokrenite računalo da bi promjene stupile na snagu. Da biste omogućili varijantu 2: (CVE-2017-5715 "cilj injekcije") ublažavanje: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovno pokrenite računalo da bi promjene stupile na snagu. |
Samo procesora AMD: omogućite potpunu ublažavanje za CVE-2017-5715 (Spectre varijanta 2)
Prema zadanim postavkama, zaštita od korisnika do jezgre za CVE-2017-5715 je onemogućena za AMD CPU-ove. Kupci moraju omogućiti ublažiti dobiti dodatne zaštite za CVE-2017-5715. Dodatne informacije potražite u odjeljku FAQ #15 u ADV180002.
|
Omogući zaštitu korisnika na kernel na AMD procesorima zajedno s drugim zaštitom za CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ako je ovo glavno računalo za Hyper-V i primijenjeno je Ažuriranje firmvera: Potpuno isključite sve virtualne strojeve. To omogućuje ublažavanje firmvera vezanih uz firmware koji se primjenjuje na host prije početka VMs-a. Stoga se VMs ažuriraju i kada se ponovno pokrenu. Ponovno pokrenite računalo da bi promjene stupile na snagu. |
Upravljajte mitigations za CVE-2018-3639 (spekulativna zaobilaženje spremišta), CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (meltdown)
|
Da biste omogućili mitigations za CVE-2018-3639 (spekulativna bypass spremišta), CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ako je ovo glavno računalo za Hyper-V i primijenjeno je Ažuriranje firmvera: Potpuno isključite sve virtualne strojeve. To omogućuje ublažavanje firmvera vezanih uz firmware koji se primjenjuje na host prije početka VMs-a. Stoga se VMs ažuriraju i kada se ponovno pokrenu. Ponovno pokrenite računalo da bi promjene stupile na snagu. Da biste onemogućili mitigations za CVE-2018-3639 (spekulativna zaobilaženje spremišta) i mitigations za CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovno pokrenite računalo da bi promjene stupile na snagu. |
AMD procesori samo: omogućite potpunu ublažavanje za CVE-2017-5715 (Spectre varijanta 2) i CVE 2018-3639 (spekulativna zaobilaženje spremišta)
Prema zadanim postavkama, zaštita od korisnika do jezgre za CVE-2017-5715 je onemogućena za procesore AMD. Kupci moraju omogućiti ublažiti dobiti dodatne zaštite za CVE-2017-5715. Dodatne informacije potražite u odjeljku FAQ #15 u ADV180002.
|
Omogući zaštitu korisnika na kernel na AMD procesorima uz druge zaštite za cve 2017-5715 i zaštitu za CVE-2018-3639 (špekulativna zaobilaženje spremišta): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ako je ovo glavno računalo za Hyper-V i primijenjeno je Ažuriranje firmvera: Potpuno isključite sve virtualne strojeve. To omogućuje ublažavanje firmvera vezanih uz firmware koji se primjenjuje na host prije početka VMs-a. Stoga se VMs ažuriraju i kada se ponovno pokrenu. Ponovno pokrenite računalo da bi promjene stupile na snagu. |
Upravljajte podacima o Transakcijskoj sinkronizaciji sustava Intel® (Intel® TSX) asinkroni promjena (CVE-2019-11135) i uzorkovanje Mikroarhitektonskih podataka (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) zajedno s Spectre [CVE-2017-5753 & CVE-2017-5715] i meltdown [CVE-2017-5754] varijante, uključujući špekulativni zaobilaženje spremišta Onemogući (SSBD) [CVE-2018-3639] kao i L1 terminal kvara (da) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646]
|
Da biste omogućili mitigations za Intel® transakcijskih sinkronizacija proširenja (Intel® TSX) transakcija asinkroni smanjenje ranjivosti (CVE-2019-11135) te uzorkovanje mikroarhitektonskih podataka ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) uz Spectre [CVE-2017-5753 & CVE-2017-5715] i meltdown [CVE-2017-5754] varijante, uključujući Isključivanje spremišta Onemogući (SSBD) [CVE-2018-3639] kao i L1 terminal kvara (da) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646] bez onemogućivanja Hyper-Threading: Reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Menadžer\memory Management"/72 REG_DWORD v Reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/REG_DWORD v. Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra: Reg Dodaj "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f Ako je ovo glavno računalo za Hyper-V i primijenjeno je Ažuriranje firmvera: Potpuno isključite sve virtualne strojeve. To omogućuje ublažavanje firmvera vezanih uz firmware koji se primjenjuje na host prije početka VMs-a. Stoga se VMs ažuriraju i kada se ponovno pokrenu. Ponovno pokrenite računalo da bi promjene stupile na snagu. Da biste omogućili mitigations za Intel® transakcijskih sinkronizacija proširenja (Intel® TSX) transakcija asinkroni smanjenje ranjivosti (CVE-2019-11135) te uzorkovanje mikroarhitektonskih podataka ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) uz Spectre [CVE-2017-5753 & CVE-2017-5715] i meltdown [CVE-2017-5754] varijante, uključujući Špekulativna trgovina zaobilaženje Onemogući (SSBD) [CVE-2018-3639] kao i L1 terminal kvara (da) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646] s pomoću značajke Hyper-Threading: Reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Menadžer\memory Management"/8264 REG_DWORD v Reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/REG_DWORD v. Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra: Reg Dodaj "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f Ako je ovo glavno računalo za Hyper-V i primijenjeno je Ažuriranje firmvera: Potpuno isključite sve virtualne strojeve. To omogućuje ublažavanje firmvera vezanih uz firmware koji se primjenjuje na host prije početka VMs-a. Stoga se VMs ažuriraju i kada se ponovno pokrenu. Ponovno pokrenite računalo da bi promjene stupile na snagu. Da biste onemogućili mitigations za Intel® transakcijskih sinkronizacija proširenja (Intel® TSX) transakcija asinkroni smanjenje ranjivosti (CVE-2019-11135) te uzorkovanje mikroarhitektonskih podataka ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) uz Spectre [CVE-2017-5753 & CVE-2017-5715] i meltdown [CVE-2017-5754] varijante, uključujući Spekulativni premosnik u spremištu Onemogući (SSBD) [CVE-2018-3639] kao i L1 terminal kvara (da) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646]: Reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Menadžer\memory Management"/REG_DWORD v Reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/REG_DWORD v. Ponovno pokrenite računalo da bi promjene stupile na snagu. |
Provjera je li omogućena zaštita
Kako biste pomogli korisnicima provjeriti jesu li zaštite omogućeni, Microsoft je objavio PowerShell skriptu koju kupci mogu izvoditi na svojim sustavima. Instalirajte i pokrenite skriptu pokretanjem sljedećih naredbi.
|
Provjera PowerShell pomoću galerije PowerShell (Windows Server 2016 ili WMF 5.0/5.1) |
|
Instalirajte PowerShell modul: PS> Install-Module SpeculationControl Pokrenite modul PowerShell da biste provjerili jesu li zaštite omogućeni: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
Provjera PowerShell pomoću preuzimanja iz TechNet (starije verzije operacijskog sustava i ranijih WMF verzija) |
|
Instalirajte PowerShell modul iz TechNet ScriptCenter:
Pokrenite modul PowerShell kako biste provjerili jesu li zaštite omogućeni: Pokrenite PowerShell, a zatim upotrijebite prethodni primjer da biste kopirali i pokrenuli sljedeće naredbe: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Za detaljno objašnjenje izlaza PowerShell skripte, pogledajte članak baze znanja 4074629 .
Najčešća pitanja
Nije mi ponuđena sigurnosna ažuriranja za Windows koja su objavljena u siječnju i veljači 2018. Što da radim?
Kako bi se izbjeglo negativno utjecati na korisničke uređaje, sigurnosna ažuriranja za Windows koja su objavljena u siječnju i veljači 2018 nisu ponuđena svim kupcima. Pojedinosti potražite u članku Microsoft baze znanja 4072699 .
Kako mogu reći da li imam ispravnu verziju CPU microcode?
Mikrokôd se isporučuje putem ažuriranja firmvera. Obratite se OEM-u o verziji firmvera koja ima odgovarajuće ažuriranje za vaše računalo.
Koji su efekti izvedbe mitigations?
Postoji više varijabli koje utječu na performanse, u rasponu od verzije sustava do radnih opterećenja koje se izvode. Za neke sustave, učinak performansi će biti zanemariv. Za druge, to će biti znatan.
Preporučujemo da procijenite učinke performansi na svoje sustave i da prilagodite po potrebi.
Pokrenut ću Windows Server u okruženju ili oblaku treće strane. Što da radim?
Osim smjernica koje se nalaze u ovom članku u vezi s virtualnim strojevima, obratite se davatelju usluga kako biste bili sigurni da su domaćini koji rade na vašim virtualnim strojevima adekvatno zaštićeni. Za Windows Server virtualne strojeve koji se izvode u servisu Azure pogledajte smjernice za ublažavanje ranjivosti spekulativnog izvršavanja bočnog kanala u servisu Azure . Za smjernice o korištenju servisa Azure Update Management za ublažavanje tog problema na VMs gosta pogledajte članak Microsoft baze znanja 4077467 .
Postoje li neki Windows Server Container-specifične smjernice?
Ažuriranja koja su objavljena za Windows Server spremnika slike za Windows Server 2016 i Windows 10, verzija 1709 uključuju mitigations za ovaj skup ranjivosti. Nije potrebna dodatna konfiguracija. Note Još uvijek morate biti sigurni da je host na kojem su ovi spremnici pokrenut konfiguriran kako bi omogućio odgovarajuće ublažavanje.
Treba li instalirati softverska i hardverska ažuriranja određenom redoslijedu?
Ne, naredba za instalaciju nije bitna.
Hoće li biti više ponovnog pokretanja?
Da, morate ponovno pokrenuti nakon firmware (microcode) ažuriranje, a zatim opet nakon ažuriranja sustava.
Možete li dati više detalja o ključevima registra?
Ovdje su detalji za ključeve registra:
Je značajnomapa koja nadjačava zadanu postavku i kontrole koje će ublažiti. Bit 0 kontrolira ublažavanje koji odgovara CVE-2017-5715. Malo 1 kontrolira ublažavanje koji odgovara CVE-2017-5754. Bitovi su postavljeni na 0 kako bi se omogućilo ublažavanje i do 1 onemogućiti ublažiti.
Značajurepostavakakridemask predstavlja bitmapa maska koja se koristi zajedno s značajurepostavnostuvožnja. U ovoj situaciji koristimo vrijednost 3 (predstavljen kao 11 u binarnom brojčanom ili Base-2 brojčanom sustavu) kako bi se naznačili prva dva bita koja odgovaraju dostupnim mitigations. Ovaj ključ registra postavljen je na 3 kako biste omogućili ili onemogućili ublažavanja.
Minvmversionforcpubasedmitigations je za Hyper-V Hosts. Ovaj ključ registra definira minimalnu verziju VM koja je potrebna za korištenje ažuriranih mogućnosti firmver (CVE-2017-5715). Postavite ovo na 1,0 da pokrije sve verzije VM. Primijetite da će ta vrijednost registra biti zanemarena (benigna) na hostovima koji nisu Hyper-V. Za više detalja, pogledajte Zaštita gosta virtualnih strojeva iz CVE-2017-5715 (cilj podružnice) .
Mogu li postaviti ključeve registra prije instaliranja ažuriranja, a zatim instalirati ažuriranje i restart kako bi promjene stupile na snagu?
Da, nema nuspojava ako se ove postavke registra primjenjuju prije instaliranja Siječanj 2018 vezane popravke.
Možete li dati više detalja o izlazu skripte za provjeru PowerShell?
Pogledajte detaljan opis izlaza skripte na razumijevanje izlaz Speshationcontrolsettings PowerShell skripta izlaza .
Ako Ažuriranje firmvera (microcode) još nije dostupno iz mog OEM-a, postoji li još uvijek način zaštite svog glavnog računala Hyper-V?
Da, za Windows Server 2016 Hyper-V Hosts koji još uvijek nisu dostupni firmware ažuriranje, objavili smo alternativne smjernice koje mogu pomoći ublažiti VM za VM ili VM na domaćinima napada. Pogledajte alternativne zaštite za Windows Server 2016 Hyper-V Hosts protiv ranjivosti spekulativnog izvršavanja bočnog kanala .
Ako sam na ogranku sigurnosti samo, što sigurnost samo ažuriranja moram instalirati da se štite od tih ranjivosti?
Sigurnosna ažuriranja samo nisu kumulativna. Ovisno o verziji operacijskog sustava, možda ćete morati instalirati nekoliko sigurnosnih ažuriranja za potpunu zaštitu. Općenito, kupci će morati instalirati Siječanj, Veljača, Ožujak, i Travanj 2018 ažuriranja. Sistemi koji imaju AMD procesore trebaju dodatno ažuriranje kao što je prikazano u sljedećoj tablici:
|
Verzija operacijskog sustava |
Sigurnosno ažuriranje |
|
Windows 8,1, Windows Server 2012 R2 |
4338815-mjesečni skupne vrijednosti |
|
4338824-samo sigurnost |
|
|
Windows 7 SP1, Windows Server 2008 R2 SP1 ili Windows Server 2008 R2 SP1 (Instalacija poslužitelja Core) |
4284826-mjesečni skupne vrijednosti |
|
4284867-samo sigurnost |
|
|
Windows Server 2008 SP2 |
4340583-Sigurnosno ažuriranje |
Preporučujemo da instalirate sigurnosna ažuriranja samo po redoslijedu objavljivanja.
Napomena stariju verziju ove FAQ pogrešno navodi da je u veljači sigurnost samo ažuriranje uključene sigurnosne popravke koji su objavljeni u siječnju. Zapravo, nije.
Ako primijenim bilo koja od primjenjivih sigurnosnih ažuriranja, hoće li onemogućiti zaštitu za CVE-2017-5715 na isti način na koji je sigurnosno ažuriranje KB 4078130 učinio?
ne. Sigurnosno ažuriranje KB 4078130 bilo je određeno popravak kako bi se spriječilo ponašanje nepredvidljivog sustava, problemi s performansama i neočekivani ponovno pokrenuti nakon instalacije mikrokoda. Primjena sigurnosnih ažuriranja na Windows Client operativni sustavi omogućuje sve tri mitigations. Na operativnim sustavima Windows Server još uvijek morate omogućiti mitigations nakon što učinite pravilno testiranje. Dodatne informacije potražite u članku Microsoft baze znanja 4072698 .
Poznati problem: neki korisnici mogu doživjeti probleme s mrežnom vezom ili izgubiti postavke IP adrese nakon što instaliraju Ožujak 13, 2018, sigurnosno ažuriranje (KB 4088875).
Taj je problem riješen u KB 4093118 .
Intel je identificirao probleme ponovnog pokretanja koji uključuju microcode na nekim starijim procesorima. Što da radim?
U veljači 2018, Intel je najavio da su dovršili svoje validacije i počeo objaviti microcode za novije CPU platforme. Microsoft radi na dostupnim Intelovim ažuriranjem microcode ažuriranja koja se tiču Spectre varijanti 2 Spectre varijanta 2 (CVE-2017-5715 – "ciljna oznaka podružnice"). KB 4093836 popisuje određene članke baze znanja po verziji sustava Windows. Svaki određeni članak iz baze znanja sadrži dostupna ažuriranja microcode Intel po CPU.
Siječanj 11, 2018 Intel izvijestio problema u nedavno objavljen microcode koji je namijenjen za rješavanje Spectre varijantu 2 (CVE-2017-5715 – "cilj podružnice injekcija"). Konkretno, Intel je istaknuo da ovaj mikrokôd može uzrokovati "više od očekivanog ponovnog pokretanja i drugog nepredvidljivog sustava ponašanja " i da ti scenariji mogu uzrokovati "gubitak podataka ili korupciju". Naše iskustvo je da nestabilnost sustava može uzrokovati gubitak podataka ili korupciju u nekim okolnostima. 22. siječnja, Intel je preporučio da kupci prestanu implementirati trenutnu verziju mikrokoda na zahvaćene procesore dok Intel izvodi dodatna testiranja na ažuriranom rješenju. Shvaćamo da Intel nastavlja istraživati potencijalni učinak trenutne mikrokodne verzije. Potičemo kupce da kontinuirano preispitaju svoje smjernice kako bi informira svoje odluke.
Dok Intel testira, ažurira i uvodi novi mikrokod, mi smo stvaranje dostupan van-of-bend (OOB) ažuriranje, KB 4078130 , koji posebno onemogućuje samo ublažiti protiv CVE-2017-5715. U našim testovima, ovo ažuriranje pronađeno je kako bi se spriječilo opisano ponašanje. Potpuni popis uređaja potražite u uputama za reviziju microcode Intel. Ovo ažuriranje pokriva Windows 7 Service Pack 1 (SP1), Windows 8,1 i sve verzije sustava Windows 10, i klijent i poslužitelj. Ako koristite zahvaćeni uređaj, ovo se ažuriranje može primijeniti preuzimanjem s web-mjesta Microsoft Update Catalog . Primjena ovog opterećenja posebno onemogućuje samo ublažiti protiv CVE-2017-5715.
Od ovog vremena, ne postoje poznati izvještaji koji ukazuju na to da je ova Spectre varijanta 2 (CVE-2017-5715 – "ciljni cilj ubrizgavanja") je korišten za napad kupaca. Preporučujemo da, kada je to primjereno, korisnici sustava Windows ponovno omogući ublažavanje protiv CVE-2017-5715 kada Intel izvještava da je ovo ponašanje nepredvidljivog sustava riješeno za vaš uređaj.
Čuo sam da je Intel objavio microcode ažuriranja. Gdje ih mogu naći?
U veljači 2018, Intel jenajavio da su dovršili svoje validacije i počeo objaviti microcode za novije CPU platforme. Microsoft radi na dostupnim Intel-validiranim microcode ažuriranja koja su povezana s Spectre varijanti 2 Spectre varijanta 2 (CVE-2017-5715 – "ciljna oznaka podružnice"). KB 4093836 popisuje određene članke baze znanja po verziji sustava Windows. KBs popis dostupnih Intel microcode ažuriranja po CPU.
Za više informacija, pogledajte AMD sigurnosna ažuriranja i AMD Whitepaper: smjernice arhitekture oko kontrole indirektnih grana . Oni su dostupni na OEM firmware kanalu.
Ja sam trčanje Windows 10 Travanj 2018 ažuriranje (verzija 1803). Je li Intel microcode dostupan za moj uređaj? Gdje ga mogu naći?
Koristimo Intel-validirane microcode ažuriranja koja se tiču Spectre varijanti 2 (CVE-2017-5715 – "ciljna oznaka podružnice "). Da biste dobili najnoviji Intel microcode ažuriranja putem Windows Update, kupci moraju imati instaliran Intel microcode na uređajima koji izvode operacijski sustav Windows 10 prije nadogradnje na Windows 10 Travanj 2018 ažuriranje (verzija 1803).
Ažuriranje mikrokoda također je dostupno izravno iz kataloga Microsoft Update ako nije instaliran na uređaju prije nadogradnje sustava. Mikrokôd Intel dostupan je putem servisa Windows Update, Windows Server Update Services (WSUS) ili kataloga Microsoft Update. Dodatne informacije i upute za preuzimanje potražite u KB 4100347 .
Gdje mogu pronaći informacije o novim ranjivosti spekulativnog izvršavanja bočnog kanala (špekulativna spremište zaobići-cve-2018-3639 i Rogue sustav registra čitanje-cve-2018-3640)?
Dodatne informacije potražite u sljedećim resursima:
Gdje mogu pronaći više informacija o podršci za Windows za špekulativno spremište zaobići Onemogući (ssbd) u Intel procesorima?
Pogledajte sekcije "preporučene akcije" i "FAQ" u ADV180012 | Microsoftov vodič za zaobilaženje špekulativnog spremišta .
Kako odrediti je li ssbd omogućen ili onemogućen?
Da biste provjerili status SSBD, skripta Get-da se kontrolirašPowerShell je ažurirana za otkrivanje pogođenih procesora, status ažuriranja operacijskog sustava ssbd i stanje microcode procesora, ako je primjenjivo. Za više informacija i za dobivanje PowerShell skripte, pogledajte KB 4074629 .
Čuo sam o "lijen FP stanje vraćanja" (CVE-2018-3665). Hoće li Microsoft osloboditi mitigations za njega?
U lipnju 13, 2018, dodatna ranjivost koja uključuje bočno-kanal špekulativno izvršenje, poznat kao lijen FP State Restore, je objavljen i dodijeljen CVE-2018-3665 . Informacije o ovoj ranjivosti i preporučenim akcijama potražite u okviru sigurnosnog savjetodavnog ADV180016 | Microsoft smjernice za vraćanje države lijen FP .
Note Nema potrebnih konfiguracija (registra) postavke za lijen vratiti FP Restore.
Čuo sam da CVE-2018-3693 ("granice provjere bypass trgovine") je povezan s Spectre. Hoće li Microsoft osloboditi mitigations za njega?
Granice provjeriti zaobilaženje trgovine (BCBS) je objavljen u srpnju 10, 2018, i dodijeljen CVE-2018-3693 . Smatramo da BCBS pripadaju istoj klasi ranjivosti kao granice provjera bypass (varijanta 1). Trenutno nismo svjesni nikakvih instanci BCBS-a u našem softveru. Međutim, mi smo nastavili istraživati ovaj razred ranjivosti i da će raditi s partnerima industrije za oslobađanje mitigations po potrebi. Potičemo istraživače da podnesu sve relevantne zaključke Microsoftu na strani Kanalski kanal za špekulativno izvršavanje , uključujući sve eksplikativne INSTANCE bcbs-a. Programeri softvera trebali bi pregledati smjernice razvojnog programera koje su ažurirane za BCBS na c++ programerskim smjernicama za špekulativno izvršavanje bočnih kanala .
Čuo sam da je L1 terminal kvara (L1TF) objavljen. Gdje mogu pronaći dodatne informacije o tome i podršku za Windows?
Na Kolovoz 14, 2018, L1 terminal kvara (da) je objavljen i dodijeljen više CVEs. Ta nova ranjivost bočnog kanala spekulativnog izvršavanja može se koristiti za čitanje sadržaja memorije preko pouzdane granice i, ako se iskorištava, može dovesti do otkrivanja informacija. Postoji više vektora po kojima napadač može pokrenuti slabosti, ovisno o konfiguriranom okruženju. , Je li u procesorima Intel® Core® i Intel® Xeon® procesora.
Dodatne informacije o ovoj ranjivosti i detaljnom prikazu pogođenih scenarija, uključujući Microsoftov pristup ublažavanju, pogledajte sljedeće resurse:
Kako onemogućiti Hyper-Threading za, na mom uređaju?
Koraci za onemogućivanje značajke Hyper-Threading razlikuju se od OEM-a do OEM-a, ali su općenito dio BIOS-a ili alata za postavljanje i konfiguracije firmvera.
Gdje mogu dobiti ARM64 firmware koji ublažava CVE-2017-5715-meta injekcija (Spectre varijanta 2)?
Klijenti koji koriste 64-bitne ARM procesore bi trebao kontaktirati uređaj OEM za podršku firmver jer ARM64 operativni sustav zaštite koje ublažiti CVE-2017-5715 -ciljno mjesto injekcije (SPECTRE, varijanta 2) zahtijevaju najnoviju firmware update od OEM uređaja da stupe na snagu.
Gdje mogu pronaći informacije o Intelovom otkrivanju oko uzorkovanja mikroarhitektonskog podataka (CVE-2018-11091,CVE-2018-12126,CVE-2018-12127,CVE-2018-12130)
Za više informacija pogledajte sljedeće sigurnosne savjete
Gdje mogu pronaći smjernice temeljene na scenariju kako bi se utvrdilo mjere potrebne za ublažavanje slabih uzoraka Mikroarhitektonskih podataka?
Daljnje smjernice možete pronaći u Windows smjernicama za zaštitu od ranjivosti spekulativnog izvršavanja bočnog kanala
Kako onemogućiti Hyper-Threading za MDS na mom uređaju?
Molimo pogledajte smjernice u Windows smjernicama za zaštitu od ranjivosti spekulativnog izvršavanja bočnog kanala
Gdje mogu pronaći smjernice za Azure?
Za smjernice za Azure Pogledajte ovaj članak: smjernice za ublažavanje ranjivosti spekulativnog izvršavanja bočnog kanala u Azure .
Gdje mogu saznati više o retpoline omogućenja na Windows 10, verzija 1809?
Dodatne informacije o Retpoline omogućivanju, pogledajte naš blog post: mitigating Spectre varijantu 2 s retpoline na Windows .
Čuo sam da postoji varijanta Spectre varijantu 1 spekulativno izvršenje bočnog kanala ranjivosti. Gdje mogu saznati više?
Pojedinosti o ovoj ranjivosti potražite u Microsoftovu vodiču za sigurnost: CVE-2019-1125 | Slabe točke otkrivanja informacija jezgre sustava Windows.
Da li CVE-2019-1125 | Slabe točke otkrivanja informacija jezgre sustava Windows utječu na Microsoftove usluge u oblaku?
Nismo svjesni bilo kakve instance ove informacije otkrivanja ranjivost utječe na naše Cloud Service infrastrukturu.
Ako ažuriranja za CVE-2019-1125 | Ranjivost podataka jezgre sustava Windows objavljena je srpnja 9, 2019, zašto su detalji objavljeni na Kolovoz 6, 2019?
Čim smo postali svjesni tog problema, radili smo brzo kako bi ga riješili i objaviti ažuriranje. Snažno vjerujemo u bliska partnerstva s istraživačima i industrijskim partnerima kako bi kupci bili sigurniji i nisu objavili detalje do utorka, 6. kolovoza, u skladu s koordiniranim praksama otkrivanja ranjivosti.
Gdje mogu pronaći smjernice temeljene na scenariju kako bi se utvrdilo akcije potrebne za ublažavanje Intel® transakcijskih sinkronizacija proširenja (Intel® TSX) transakcija asinkroni smanjenje ranjivosti (CVE-2019-11135)?
Daljnje smjernice možete pronaći u Windows smjernicama za zaštitu od ranjivosti spekulativnog izvršavanja bočnog kanala.
Trebam li onemogućiti Hyper-Threading za Intel® transakcijskih sinkronizacija proširenja (Intel® TSX) transakcija asinkroni prekid (CVE-2019-11135) na mom uređaju?
Daljnje smjernice možete pronaći u Windows smjernicama za zaštitu od ranjivosti spekulativnog izvršavanja bočnog kanala.
Postoji li način kako onemogućiti Intel® transakcijskih sinkronizacija proširenja (Intel® TSX) sposobnost?
Daljnje smjernice možete pronaći u smjernicama za onemogućavanje Intel® transakcijskih sinkronizacija proširenja (intel® TSX) sposobnost.
Reference
Odricanje od odgovornosti za informacije treće strane
Proizvodi drugih proizvođača koji se spominju u ovom članku proizvedeni su u tvrtkama neovisnima o Microsoftu. Microsoft ne daje ni posredna ni druga jamstva vezana uz performanse ili pouzdanost tih proizvoda.