Módosítási napló
| Dátum módosítása | A változás leírása |
|---|---|
| Április 20, 2023 |
|
| 8. augusztus 2023. |
|
| Augusztus 9, 2023 |
|
| 2024. április 9. |
|
| 2024. április 16. |
|
Összegzés
Ez a cikk a szilíciumalapú mikroarchitekturális és spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések egy új osztályához nyújt útmutatást, amely számos modern processzort és operációs rendszert érint. Ezek közé tartozik az Intel, az AMD és az ARM. A szilíciumalapú biztonsági résekre vonatkozó konkrét részletek a következő biztonsági tanácsadókban (ADV-k) és CVE-kben (gyakori biztonsági rések és kitett helyek) találhatók:
- ADV180002 | Útmutató a spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések csökkentéséhez
- ADV180012 | A Microsoft útmutatása a spekulatív áruház megkerüléséhez
- ADV180013 | Microsoft-útmutatás az engedélyezetlen rendszernyilvántartás olvasásához
- ADV180016 | Microsoft-útmutatás lusta FP-állapot visszaállításához
- ADV180018 | Microsoft-útmutatás az L1TF variáns kockázatcsökkentéséhez
- ADV190013 | Microsoft-útmutatás a mikroarchitekturális adatmintavételt lehetővé tevő biztonsági rések csökkentéséhez
- ADV220002 | Microsoft-útmutatás az Intel processzorok MMIO elavult adatbiztonsági réseihez
- CVE-2022-23825 | AMD CPU-ágtípus zavar
- CVE-2023-20569 | AMD CPU visszatérési cím előrejelző
- CVE-2022-0001 | Intel-ág előzményeinek beszúrása
Fontos
Ezek a problémák más operációs rendszereket is érintenek, például Android, Chrome, iOS és MacOS. Javasoljuk ügyfeleinknek, hogy kérjenek útmutatást ezektől a beszállítóktól.
Számos frissítést adtunk ki a biztonsági rések csökkentése érdekében. Felhőszolgáltatásaink védelmére is tettünk lépéseket. További információért olvassa el az alábbi szakaszokat.
Még nem kaptunk olyan információt, amely arra utalna, hogy ezeket a biztonsági réseket az ügyfelek megtámadására használták volna. Ügyfeleink védelme érdekében szorosan együttműködünk az iparági partnerekkel, többek között processzorlapka-gyártókkal, hardvergyártókkal és alkalmazásszállítókkal. Az összes elérhető védelem megszerzéséhez a belső vezérlőprogram (mikrokód) és a szoftver frissítése szükséges. Ez magában foglalja az eszközök eredeti gyártóitól származó mikrokódot, illetve bizonyos esetekben a víruskereső szoftverek frissítéseit is.
Biztonsági rések
Spekulatív végrehajtás
Ez a cikk az alábbi spekulatív végrehajtási biztonsági résekkel foglalkozik:
- CVE-2017-5715 | Elágazáscél-beszúrás
- CVE-2017-5753 | Bounds Check Bypass
- CVE-2017-5754 | Rosszindulatú adatgyorsítótár betöltése
- CVE-2018-3639 | Speculative Store Bypass
A Windows Update az Internet Explorer és az Edge használatával kapcsolatos kockázatcsökkentő megoldásokat is biztosít. Továbbra is fejleszteni fogjuk a biztonsági rések ezen osztályát leküzdő megoldásokat.
A biztonsági rések ezen osztályával kapcsolatos további információkért lásd:
Mikroarchitekturális adatmintavételi biztonsági rés
2019. május 14-én az Intel információkat tett közzé a spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések egy új alosztályáról, amelyet mikroarchitekturális adatmintavételezés néven ismernek el, és amelyet a ADV190013 | Mikroarchitekturális adatok mintavétele. A következő CVE-ket kapták:
- CVE-2019-11091 | Mikroarchitekturális adatok mintavétele Gyorsítótárazhatatlan memória (MDSUM)
- CVE-2018-12126 | Mikroarchitekturális tárolópufferadatok mintavételezése (MSBDS)
- CVE-2018-12127 | Mikroarchitekturális kitöltési puffer adatmintavétel (MFBDS)
- CVE-2018-12130 | Mikroarchitekturális betöltési portadatok mintavétele (MLPDS)
Fontos
Ezek a problémák más rendszereket, például Android, Chrome, iOS és MacOS rendszereket is érintenek. Javasoljuk ügyfeleinknek, hogy kérjenek útmutatást ezektől a beszállítóktól.
A Microsoft frissítéseket adott ki a biztonsági rések enyhítésére. Az összes elérhető védelem megszerzéséhez a belső vezérlőprogram (mikrokód) és a szoftver frissítése szükséges. Ezek közé tartozhatnak az eszközök eredeti gyártóitól származó mikrokódok is. Bizonyos esetekben ezeknek a frissítéseknek a telepítése hatással van a teljesítményre. Emellett tettünk lépéseket felhőszolgáltatásaink biztonságának biztosításáért is. Határozottan javasoljuk, hogy telepítse ezeket a frissítéseket.
A problémával kapcsolatos további információkért tekintse meg a következő biztonsági tanácsadót, és forgatókönyv-alapú útmutató használatával határozza meg a fenyegetés csökkentéséhez szükséges műveleteket:
- ADV190013 | Microsoft-útmutatás a mikroarchitekturális adatmintavételt lehetővé tevő biztonsági rések csökkentéséhez
- Windows-útmutatás a spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések elleni védelemhez
Megjegyzés
Javasoljuk, hogy a mikrokódfrissítések telepítése előtt telepítse a legújabb frissítéseket a Windows Update webhelyről.
Spectre, Variant 1 sebezhetőség
2019. augusztus 6-án az Intel közzétette a Windows-rendszermag információfelfedési biztonsági résének részleteit. Ez a biztonsági rés a Spectre, Variant 1 spekulatív végrehajtási, oldalcsatornát érintő biztonsági rés egyik változata, CVE-2019-1125 besorolással rendelkezik.
2019. július 9-én biztonsági frissítéseket adtunk ki a Windows operációs rendszerhez a probléma enyhítése érdekében. Felhívjuk a figyelmét arra, hogy a kockázatcsökkentés nyilvános dokumentálását a 2019. augusztus 6-i, keddi koordinált iparági közzétételig elhalasztottuk.
Azok az ügyfelek, akiknél engedélyezve van a Windows Update, és telepítették a 2019. július 9-én kiadott biztonsági frissítéseket, automatikusan védelmet élveznek. Nincs szükség további konfigurálásra.
Megjegyzés
A biztonsági rés megszüntetéséhez nincs szükség mikrokódfrissítésre az eszköz gyártójától (OEM).
A biztonsági résről és az alkalmazható frissítésekről a Microsoft biztonsági frissítések útmutatójában talál további információt:
Aszinkron tranzakciómegszakítási biztonsági rés
2019. november 12-én az Intel technikai közleményt tett közzé az Intel® tranzakciószinkronizálási bővítmények (Intel TSX) szinkron tranzakciómegszakítási sérülékenységére vonatkozóan, CVE-2019-11135 besorolással. A Microsoft frissítéseket adott ki a biztonsági rés enyhítésére, és az operációs rendszer védelme alapértelmezés szerint engedélyezve van a Windows Server 2019-ben, de alapértelmezés szerint le van tiltva a Windows Server 2016-ban és a Windows Server operációs rendszer korábbi kiadásaiban.
A MMIO elavult adatmintavételt lehetővé tevő biztonsági rése
2022. június 14-én közzétettük a ADV220002 | Microsoft-útmutatás az Intel processzorok MMIO-val kapcsolatos elavult adatbiztonsági résekhez és hozzárendelt CVE-khez:
- CVE-2022-21123 | Megosztott pufferadatok olvasása (SBDR)
- CVE-2022-21125 | Megosztott pufferadat-mintavétel (SBDS)
- CVE-2022-21127 | Speciális regiszterpuffer adatmintavételi frissítés (SRBDS-frissítés)
- CVE-2022-21166 | Eszközregiszter részleges írás (DRPW)
Javasolt műveletek
A biztonsági rések elleni védekezéshez hajtsa végre az alábbi lépéseket:
- Alkalmazza a Windows operációs rendszer összes elérhető frissítését, beleértve a havonta megjelenő Windows biztonsági frissítéseket.
- Alkalmazza az eszköz gyártója által biztosított megfelelő belső vezérlőprogram (mikrokód) frissítést.
- Mérje fel a környezetét fenyegető kockázatot a Microsoft biztonsági tanácsadóiban szereplő információk alapján: ADV180002, ADV180012, ADV190013 és ADV220002, a jelen tudásbázis cikkben szereplő információk mellett.
- Végezze el a szükséges műveleteket a jelen tudásbázis-cikkben található tanácsok és beállításkulcs-információk segítségével.
Megjegyzés
A Surface-ügyfelek mikrokódfrissítést kapnak a Windows Update-en keresztül. A Surface eszközök belső vezérlőprogramjának (mikrokódjának) legújabb frissítéseinek listáját lásd: KB4073065.
Megtévesztés az ágtípusok között
2022. július 12-én közzétettük a következőt: CVE-2022-23825 | AMD CPU-ágtípus zavar, amely leírja, hogy az ág előrejelzőjében lévő aliasok miatt bizonyos AMD processzorok nem a megfelelő ágtípust jelezhetik előre. Ez a probléma potenciálisan adatközzétételhez vezethet.
A biztonsági rés elleni védelem érdekében javasoljuk, hogy telepítse a 2022 júliusában vagy azt követően létrehozott Windows-frissítéseket, majd tegye meg a CVE-2022-23825 és a jelen tudásbázis-cikkben található beállításkulcs-információk által előírt lépéseket.
További információk az AMD-SB-1037 biztonsági közleményében olvashatók.
Visszaküldési cím prediktor
2023. augusztus 8-án közzétettük a következőt: CVE-2023-20569 | Visszaküldési cím előrejelzője (más néven Inception), amely egy új, spekulatív oldalcsatornás támadást ír le, amely spekulatív végrehajtást eredményezhet egy támadó által irányított címen. Ez a probléma egyes AMD-processzorokat érint, és potenciálisan információfelfedéshez vezethet.
A biztonsági rés elleni védelem érdekében javasoljuk, hogy telepítse a 2023 augusztusában vagy azt követően létrehozott Windows-frissítéseket, majd tegye meg a CVE-2023-20569 által megkövetelt műveleteket, valamint az ebben a tudásbázis-cikkben található beállításkulcs-információkat.
További információk az AMD-SB-7005 biztonsági közleményben olvashatók.
Elágazási előzmények beszúrása
2024. április 9-én közzétettük a következőt: CVE-2022-0001 | Intel Branch History Injection , amely leírja az elágazástörténet-injektálást (BHI), amely az intramódusú BTI egy speciális formája. Ez a biztonsági rés akkor fordul elő, amikor a támadó módosítja az ágelőzményeket, mielőtt felhasználói módról felügyelő módra (vagy a nem VMX nem root/vendég módról a gyökérmódra) váltott volna. Ez a manipuláció azt eredményezheti, hogy egy közvetett elágazás előrejelző egy adott prediktív bejegyzést választ ki egy közvetett ághoz, és az előre jelzett célnál egy közzétételi minialkalmazás átmenetileg végrehajtódik. Ez azért lehetséges, mert a vonatkozó ágelőzmények korábbi biztonsági kontextusban, és különösen más prediktív üzemmódokban létrehozott ágakat is tartalmazhatnak.
A Windows Server és az Azure Stack HCI kockázatcsökkentési beállításai
A biztonsági tanácsadók (ADV-k) és a CVE-k információt nyújtanak, információt nyújtanak a biztonsági rések által jelentett kockázatokról. Emellett segítenek azonosítani a biztonsági réseket, valamint meghatározni a Windows Server rendszerek kockázatcsökkentésének alapértelmezett állapotát. Az alábbi táblázat összefoglalja a processzor mikrokódjára vonatkozó követelményeket és a kockázatcsökkentés alapértelmezett állapotát a Windows Server rendszeren.
| CVE | Processzor-mikrokód/belső vezérlőprogram szükséges? | Kockázatcsökkentés alapértelmezett állapota |
|---|---|---|
| CVE-2017-5753 | Nem | Alapértelmezés szerint engedélyezve van (nincs letiltható lehetőség) További információért tekintse meg ADV180002 |
| CVE-2017-5715 | Igen | Alapértelmezés szerint le van tiltva. További információt a ADV180002 , a vonatkozó beállításkulcs-beállításokat pedig ebben a tudásbáziscikkben talál. Megjegyzés A "Retpoline" alapértelmezés szerint engedélyezve van a Windows 10, 1809-es verzió és újabb rendszert futtató eszközökön, ha a Spectre 2. variánsa (CVE-2017-5715) engedélyezve van. A "Retpoline" termékkel kapcsolatos további információkért kövesse a Mitigating Spectre variant 2 with Retpoline on Windows blogbejegyzést . |
| CVE-2017-5754 | Nem | Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve. Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva. További információért tekintse meg ADV180002 . |
| CVE-2018-3639 | Intel: Igen AMD: Nem |
Alapértelmezés szerint le van tiltva. További információt a ADV180012 című témakörben talál, ez a cikk pedig a beállításkulcs vonatkozó beállításait ismerteti. |
| CVE-2018-11091 | Intel: Igen | Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve. Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva. További információt a ADV190013 témakörben talál, a beállításkulcsok vonatkozó beállításait pedig ez a cikk ismerteti. |
| CVE-2018-12126 | Intel: Igen | Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve. Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva. További információt a ADV190013 témakörben talál, a beállításkulcsok vonatkozó beállításait pedig ez a cikk ismerteti. |
| CVE-2018-12127 | Intel: Igen | Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve. Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva. További információt a ADV190013 témakörben talál, a beállításkulcsok vonatkozó beállításait pedig ez a cikk ismerteti. |
| CVE-2018-12130 | Intel: Igen | Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve. Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva. További információt a ADV190013 témakörben talál, a beállításkulcsok vonatkozó beállításait pedig ez a cikk ismerteti. |
| CVE-2019-11135 | Intel: Igen | Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve. Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva. További információért tekintse meg a CVE-2019-11135 című témakört, a vonatkozó beállításkulcs-beállításokat pedig ebben a cikkben. |
| CVE-2022-21123 (az MMIO ADV220002 része) | Intel: Igen | Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve. Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.* További információért tekintse meg a CVE-2022-21123 című témakört, valamint ezt a cikket az alkalmazandó beállításkulcs-beállításokkal kapcsolatban. |
| CVE-2022-21125 (az MMIO ADV220002 része) | Intel: Igen | Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve. Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.* További információért tekintse meg a CVE-2022-21125 című témakört, valamint ezt a cikket az alkalmazandó beállításkulcs-beállításokkal kapcsolatban. |
| CVE-2022-21127 (az MMIO ADV220002 része) | Intel: Igen | Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve. Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.* További információért tekintse meg a CVE-2022-21127 című cikket, valamint a vonatkozó beállításkulcs-beállításokkal kapcsolatos cikket. |
| CVE-2022-21166 (a MMIO ADV220002 része) | Intel: Igen | Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve. Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.* További információért tekintse meg a CVE-2022-21166 című témakört, valamint ezt a cikket a vonatkozó beállításkulcs-beállításokkal kapcsolatban. |
| CVE-2022-23825 (AMD CPU-ágtípus zavar) | AMD: Nem | További információért tekintse meg a CVE-2022-23825 című témakört, valamint az alkalmazandó beállításkulcs-beállításokkal kapcsolatos cikket. |
|
CVE-2023-20569 (AMD CPU visszatérési cím előrejelző) |
AMD: Igen | További információért tekintse meg a CVE-2023-20569 című témakört, valamint az alkalmazandó beállításkulcs-beállításokkal kapcsolatos cikket. |
| CVE-2022-0001 | Intel: Nem |
Alapértelmezés szerint letiltva További információért tekintse meg a CVE-2022-0001 című témakört, valamint ezt a cikket az alkalmazandó beállításkulcs-beállításokkal kapcsolatban. |
Megjegyzés
* Kövesse a Meltdownra vonatkozó alábbi kockázatcsökkentési útmutatást.
Ha az összes elérhető védelmet meg szeretné szerezni a biztonsági rések ellen, az alapértelmezés szerint letiltott megoldások engedélyezéséhez a beállításkulcs módosításával engedélyeznie kell ezeket a kockázatcsökkentéseket.
A kockázatcsökkentés engedélyezése hatással lehet a teljesítményre. A teljesítménybeli hatások mértéke több tényezőtől is függ, például a fizikai gazdagép lapkakészletétől és a futó számítási feladatoktól. Javasoljuk, hogy mérje fel a környezetére gyakorolt teljesítménybeli hatásokat, és végezze el a szükséges módosításokat.
A kiszolgáló fokozott kockázatnak van kitéve, ha az a következő kategóriák valamelyikébe tartozik:
- Hyper-V-gazdagépek: Védelmet igényel a virtuális gépek közötti, valamint a virtuális gépek közötti támadások esetén.
- Távoli asztali szolgáltatások gazdagépei (RDSH): Védelmet igényel egyik munkamenetről egy másikra vagy a munkamenetek közötti támadások ellen.
- Nem megbízható kódot futtató fizikai gazdagépek vagy virtuális gépek, például tárolók vagy nem megbízható adatbázis-kiterjesztések, nem megbízható webes tartalmak, illetve külső forrásból származó kódot futtató számítási feladatok. Ezek védelmet igényelnek a nem megbízható folyamatok között, illetve a nem megbízható folyamatok és a rendszermagok közötti nem megbízható támadások ellen.
A módosítások érvénybe léptetéséhez használja az alábbi beállításkulcs-beállításokat a kockázatcsökkentés engedélyezéséhez a kiszolgálón, majd indítsa újra az eszközt.
Megjegyzés
Alapértelmezés szerint a kikapcsolt kockázatcsökkentés engedélyezése befolyásolhatja a teljesítményt. A teljesítmény tényleges hatása több tényezőtől függ, például az eszköz lapkakészletétől és a futó munkaterhelésektől.
Beállításjegyzék beállításai
Az alábbi beállításjegyzék-információkat adjuk meg az alapértelmezés szerint nem engedélyezett kockázatcsökkentések engedélyezéséhez a Biztonsági tanácsadókban (ADV-k) és a CVE-kben dokumentáltaknak megfelelően. Emellett beállításkulcs-beállításokat biztosítunk azoknak a felhasználóknak, akik le szeretnék tiltani a kockázatcsökkentéseket, ha az alkalmazható a Windows-ügyfelekre.
Megjegyzés
- FONTOS Az alábbi szakasz, módszer vagy tevékenység a beállításjegyzék módosításának lépéseit ismerteti. A beállításjegyzék helytelen módosítása azonban komoly problémákhoz vezethet. Ezért a lehető legnagyobb körültekintéssel végezze el a következő lépéseket. A nagyobb biztonság érdekében a módosítás előtt készítsen biztonsági másolatot a beállításjegyzékről. így probléma esetén visszaállíthatja azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis következő cikkében talál további információt:
- KB322756 A beállításjegyzék biztonsági mentése és visszaállítása Windows rendszerben
A CVE-2017-5715 (Spectre 2. variáns), a CVE-2017-5754 (Meltdown) és a CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO) kockázatcsökkentő intézkedéseinek kezelése
Megjegyzés
- FONTOS Alapértelmezés szerint a Retpoline konfigurálása a következő, ha engedélyezve van a Spectre, a 2. variánssal kapcsolatos kockázatcsökkentés (CVE-2017-5715) engedélyezése:
-
- A Retpoline kockázatcsökkentés a Windows 10, 1809-es verzió és újabb Windows-verziókban engedélyezett.
-
- A Retpoline kockázatcsökkentés le van tiltva a Windows Server 2019-es és újabb Windows Server-verziókban.
- A Retpoline konfigurációjával kapcsolatos további információkért lásd: A Spectre 2. variánsának enyhítése a Retpoline-nal Windows rendszeren.
|
|---|
Megjegyzés
A FeatureSettingsOverrideMask 3-ra állítása pontos mind az "engedélyezés", mind a "letiltás" beállításnál. (A beállításkulcsokkal kapcsolatos további információkért lásd a "GYIK " című részt.)
A CVE-2017-5715 (Spectre 2. variáns) biztonsági megoldásának kezelése
A 2. variáns letiltása: (CVE-2017-5715 | Elágazáscél-beszúrás) kockázatcsökkentés:reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fA módosítások életbe léptetéséhez indítsa újra az eszközt. A 2. változat engedélyezése: (CVE-2017-5715 | Elágazáscél-beszúrás) kockázatcsökkentés: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fA módosítások életbe léptetéséhez indítsa újra az eszközt. |
|---|
Csak AMD gyártmányú processzorok: A CVE-2017-5715 (Spectre 2. variáns) teljes kockázatcsökkentő intézkedésének engedélyezése
Alapértelmezés szerint a felhasználó és a kernel közötti védelem a CVE-2017-5715 ellen van tiltva az AMD CPU-k esetében. Az ügyfeleknek engedélyezniük kell a kockázatcsökkentést, hogy további védelmet kapjanak a CVE-2017-5715 ellen. További információt a ADV180002 #15 GYIK lapján talál.
A felhasználó és a kernel közötti védelem engedélyezése az AMD gyártmányú processzorokon a CVE 2017-5715 egyéb védelmi intézkedései mellett:reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fHa a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /fHa ez egy Hyper-V gazdagép, és telepítette a belső vezérlőprogram frissítéseit: Állítsa le teljesen az összes Virtual Machines-t. Ez lehetővé teszi, hogy a belső vezérlőprogramokkal kapcsolatos kockázatcsökkentést a rendszer a gazdagépen alkalmazza a virtuális gépek elindítása előtt. Ezért a virtuális gépek újraindításakor is frissülnek. A módosítások életbe léptetéséhez indítsa újra az eszközt. |
|---|
A CVE-2018-3639 (Speculative Store Bypass), a CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Meltdown) kockázatcsökkentő intézkedéseinek kezelése
A CVE-2018-3639 (Speculative Store Bypass), a CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Meltdown) kockázatcsökkentő intézkedéseinek engedélyezéséhez:reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fHa a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /fHa ez egy Hyper-V gazdagép, és telepítette a belső vezérlőprogram frissítéseit: Állítsa le teljesen az összes Virtual Machines-t. Ez lehetővé teszi, hogy a belső vezérlőprogramokkal kapcsolatos kockázatcsökkentést a rendszer a gazdagépen alkalmazza a virtuális gépek elindítása előtt. Ezért a virtuális gépek újraindításakor is frissülnek. A módosítások életbe léptetéséhez indítsa újra az eszközt. A CVE-2018-3639 (Speculative Store Bypass) ÉS a CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Meltdown) kockázatcsökkentő intézkedéseinek letiltása reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fA módosítások életbe léptetéséhez indítsa újra az eszközt. |
|---|
Csak AMD gyártmányú processzorok: A CVE-2017-5715 (Spectre 2. variáns) és a CVE 2018-3639 (Speculative Store Bypass) megoldások teljes megoldásának engedélyezése
Alapértelmezés szerint a felhasználók és a kernelek közötti védelem a CVE-2017-5715 esetében le van tiltva az AMD gyártmányú processzorok esetében. Az ügyfeleknek engedélyezniük kell a kockázatcsökkentést, hogy további védelmet kapjanak a CVE-2017-5715 ellen. További információt a ADV180002 #15 GYIK lapján talál.
A felhasználó és a kernel közötti védelem engedélyezése az AMD gyártmányú processzorokon a CVE 2017-5715 és a CVE-2018-3639 (Speculative Store Bypass) egyéb védelmei mellett:reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fHa a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /fHa ez egy Hyper-V gazdagép, és telepítette a belső vezérlőprogram frissítéseit: Állítsa le teljesen az összes Virtual Machines-t. Ez lehetővé teszi, hogy a belső vezérlőprogramokkal kapcsolatos kockázatcsökkentést a rendszer a gazdagépen alkalmazza a virtuális gépek elindítása előtt. Ezért a virtuális gépek újraindításakor is frissülnek. A módosítások életbe léptetéséhez indítsa újra az eszközt. |
|---|
Tranzakció aszinkron megszakítási biztonsági résének kezelése, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) és L1 Terminal Fault (L1TF)
|
Az Intel Transactional Synchronization Extensions (Intel TSX) aszinkron tranzakciómegszakítási biztonsági résének (CVE-2019-11135) és a mikroarchitekturális adat-mintavételezés ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) megoldásának engedélyezése, valamint a Spectre [CVE-2017-5753 & CVE-2017-5715] variánsai, Meltdown [CVE-2017-5754] variánsok, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, és CVE-2022-21166), beleértve a Speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ], valamint az L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 és CVE-2018-3646] hibát a Hyper-Threading letiltása nélkül: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ha a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ha ez egy Hyper-V gazdagép, és telepítette a belső vezérlőprogram frissítéseit: Állítsa le teljesen az összes Virtual Machines-t. Ez lehetővé teszi, hogy a belső vezérlőprogramokkal kapcsolatos kockázatcsökkentést a rendszer a gazdagépen alkalmazza a virtuális gépek elindítása előtt. Ezért a virtuális gépek újraindításakor is frissülnek. A módosítások életbe léptetéséhez indítsa újra az eszközt. Az Intel tranzakciós szinkronizálási bővítmények (Intel TSX) aszinkron tranzakciómegszakítási biztonsági résének (CVE-2019-11135) és a mikroarchitekturális adatok mintavételezésének ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) valamint a Spectre [CVE-2017-5753 & CVE-2017-5715] és a Meltdown [CVE-2017-5754] variánsok megoldásának engedélyezése, beleértve a Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] valamint az L1 terminálhiba (L1TF) [CVE-2018-3615, CVE-2018-3620 és CVE-2018-3646] probléma letiltott Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ha a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ha ez egy Hyper-V gazdagép, és telepítette a belső vezérlőprogram frissítéseit: Állítsa le teljesen az összes Virtual Machines-t. Ez lehetővé teszi, hogy a belső vezérlőprogramokkal kapcsolatos kockázatcsökkentést a rendszer a gazdagépen alkalmazza a virtuális gépek elindítása előtt. Ezért a virtuális gépek újraindításakor is frissülnek. A módosítások életbe léptetéséhez indítsa újra az eszközt. Az Intel tranzakciós szinkronizálási bővítmények (Intel TSX) aszinkron tranzakciómegszakítási biztonsági rés (CVE-2019-11135) és a mikroarchitekturális adatmintavételezés ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) valamint a Spectre [CVE-2017-5753 & CVE-2017-5715] és a Meltdown [CVE-2017-5754] variánsok megoldásának letiltása, beleértve a Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] valamint az L1 terminálhiba (L1TF) [CVE-2018-3615, CVE-2018-3620 és CVE-2018-3646]: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f A módosítások életbe léptetéséhez indítsa újra az eszközt. |
|---|
CVE-2022-23825 \| AMD CPU-ágtípustévesztés (BTC)
A CVE-2022-23825 kockázatcsökkentésének engedélyezése AMD processzorokon:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
A teljes körű védelem érdekében az ügyfeleknek le kell tiltaniuk a Hyper-Threading (más néven Simultaneous Multi Threading (SMT)). A windowsos eszközök védelmével kapcsolatos útmutatásért tekintse meg a KB4073757 .
CVE-2023-20569 \| AMD CPU visszatérési cím előrejelző
A CVE-2023-20569 kockázatcsökkentésének engedélyezése AMD processzorokon:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
CVE-2022-0001 \| Intel-ág előzményeinek beszúrása
A CVE-2022-0001 biztonsági kockázatcsökkentésének engedélyezése Intel processzorokon:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Több kockázatcsökkentés engedélyezése
Több kockázatcsökkentés engedélyezéséhez össze kell adnia az egyes kockázatcsökkentések REG_DWORD értékét.
Például:
| A tranzakció aszinkron megszakítást lehetővé tevő biztonsági rése, a mikroarchitekturális adatmintavételezés, a Spectre, a Meltdown, az MMIO, a spekulatív tároló megkerülését megakadályozó (SSBD) és az L1 terminálhiba (L1TF) letiltott Hyper-Threading esetén | reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
|---|---|
|
NOTE 8264 (decimálisan) = 0x2048 (hexadecimálisan) Ha a BHI-t a többi meglévő beállítással együtt szeretné engedélyezni, akkor az aktuális érték bitenkénti VAGY művelettel (VAGY) függvényt kell használnia (8 388 608 (0x800000). 0x800000 VAGY 0x2048(tizedes számrendszerben 8264), és 8 396 872(0x802048) lesz. Ugyanez a helyzet a FeatureSettingsOverrideMask operátorral is. |
|
| A CVE-2022-0001 megoldása Intel processzorokon | reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
| Kombinált kockázatcsökkentés | reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
A védelem engedélyezésének ellenőrzése
A védelem engedélyezett állapotának ellenőrzéséhez közzétettünk egy PowerShell-parancsprogramot, amelyet futtathat az eszközein. Telepítse és futtassa a parancsfájlt az alábbi módszerek egyikével.
1. módszer: PowerShell-ellenőrzés a PowerShell-galéria használatával (Windows Server 2016 vagy WMF 5.0/5.1)
Telepítse a PowerShell-modult:PS> Install-Module SpeculationControlA PowerShell-modul futtatásával ellenőrizze, hogy engedélyezve vannak-e a védelmek: PS> # Save the current execution policy so it can be resetPS> $SaveExecutionPolicy = Get-ExecutionPolicyPS> Set-ExecutionPolicy RemoteSigned -Scope CurrentuserPS> Import-Module SpeculationControlPS> Get-SpeculationControlSettingsPS> # Reset the execution policy to the original statePS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|---|
2. módszer: PowerShell-ellenőrzés a Technetről letölthető eszközzel (az operációs rendszer korábbi verziói és a WMF korábbi verziói)
Telepítse a PowerShell-modult a Technet ScriptCenter alkalmazásból:
Indítsa el a PowerShellt, majd az előző példa alapján másolja és futtassa az alábbi parancsokat: PS> # Save the current execution policy so it can be resetPS> $SaveExecutionPolicy = Get-ExecutionPolicyPS> Set-ExecutionPolicy RemoteSigned -Scope CurrentuserPS> CD C:\ADV180002\SpeculationControlPS> Import-Module .\SpeculationControl.psd1PS> Get-SpeculationControlSettingsPS> # Reset the execution policy to the original statePS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|---|
A PowerShell-parancsfájl kimenetének részletes magyarázatáért lásd: KB4074629 .
Gyakori kérdések
Nem ajánlották fel a 2018. januárban és februárban kiadott Windows biztonsági frissítéseket. Mit tegyek?
Az ügyfelek eszközeit érintő kedvezőtlen hatások elkerülése érdekében a 2018 januárjában és februárjában kiadott Windows biztonsági frissítéseket a rendszer nem minden ügyfél számára ajánlotta fel. Részletekért lásd: KB407269 .
Hogyan állapíthatom meg, hogy a CPU mikrokódjának megfelelő verziójával rendelkezem?
A mikrokód a belső vezérlőprogram frissítésén keresztül érkezik. Érdeklődjön az eredeti hardvergyártónál annak a belső vezérlőprogram-verziónak a beállításához, amelyhez a megfelelő frissítés tartozik.
Milyen hatása van a teljesítménycsökkentésnek?
A teljesítményt több változó is befolyásolja, a rendszerverziótól kezdve a futó számítási feladatokig. Egyes rendszerek esetében a teljesítményre gyakorolt hatás elhanyagolható lesz. Mások számára ez jelentős lesz.
Javasoljuk, hogy mérje fel a rendszerekre gyakorolt teljesítménybeli hatásokat, és végezzen szükséges módosításokat.
Külső fél által üzemeltetett környezetben vagy felhőben futtatom a Windows Server rendszert. Mit tegyek?
Az ebben a cikkben található, a virtuális gépekre vonatkozó útmutatáson kívül forduljon a szolgáltatójához, hogy meggyőződhessen arról, hogy a virtuális gépeket futtató gazdagépek megfelelően védettek.
Az Azure-ban futó Windows Server virtuális gépek esetében lásd: Útmutató a spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések csökkentéséhez az Azure-ban. A Azure Update Management használatával a vendég virtuális gépeken jelentkező probléma megoldásához lásd: KB4077467.
Vannak Windows Server tárolóspecifikus irányelvek?
A Windows Server 2016 és a Windows 10 1709-es verziójához a Windows Server tárolólemezképekhez kiadott frissítések tartalmazzák a biztonsági rések ezen készletének enyhítését. Nincs szükség további konfigurálásra.
Megjegyzés Továbbra is meg kell győződnie arról, hogy az állomás, amelyen ezek a tárolók futnak, konfigurálva van a megfelelő kockázatcsökkentés engedélyezésére.
A szoftver- és hardverfrissítéseket meghatározott sorrendben kell telepíteni?
Nem, a telepítés sorrendje nem számít.
Több újraindítás is lesz?
Igen, újra kell indítania a rendszert a belső vezérlőprogram (mikrokód) frissítése után, majd a rendszerfrissítés után.
Tudna további információkkal szolgálni a beállításkulcsokról?
A beállításkulcsok adatai:
A FeatureSettingsOverride olyan bitkép, amely felülbírálja az alapértelmezett beállítást, és szabályozza, hogy mely kockázatcsökkentések legyenek letiltva. A 0. bit szabályozza a CVE-2017-5715 biztonsági kockázatcsökkentést. Az 1. bit szabályozza a CVE-2017-5754-nek megfelelő kockázatcsökkentést. A bitek értéke 0 érték van a kockázatcsökkentés engedélyezéséhez, és 1 értékre a kockázatcsökkentés letiltásához.
A FeatureSettingsOverrideMask a FeatureSettingsOverride művelettel együtt használt bitképmaszkot jelöli. Ebben az esetben a 3 értéket használjuk (a bináris számrendszerben vagy a 2-es számrendszerben 11-nek felel meg) az első két bit jelölésére, amelyek megfelelnek a rendelkezésre álló kockázatcsökkentésnek. Ez a beállításkulcs a 3 értékre van állítva a kockázatcsökkentés engedélyezéséhez vagy letiltásához.
A MinVmVersionForCpuBasedMitigations Hyper-V-gazdagépekre vonatkozik. Ez a beállításkulcs határozza meg a frissített belső vezérlőprogram képességeinek használatához szükséges minimális VM-verziót (CVE-2017-5715). Állítsa ezt 1.0-ra , hogy az összes virtuálisgép-verziót lefedje. Figyelje meg, hogy ezt a beállításazonosítót a rendszer figyelmen kívül hagyja (jóindulatú) a nem Hyper-V gazdagépeken. További részletekért lásd: Vendég virtuális gépek védelme a CVE-2017-5715 ellen (elágazáscél-beszúrás).
Beállíthatom a beállításkulcsokat, mielőtt telepítem a frissítést, majd újraindíthatom a frissítést a módosítások érvénybe léptetéséhez?
Igen, nincs mellékhatása, ha ezeket a beállításjegyzék-beállításokat a 2018. januárhoz kapcsolódó javítások telepítése előtt alkalmazza.
Tudna további részletekkel szolgálni a PowerShell ellenőrzési parancsfájl kimenetéről?
A szkript kimenetének részletes leírását lásd: KB4074629: A SpeculationControl PowerShell-szkript kimenetének ismertetése .
Ha a belső vezérlőprogram (mikrokód) frissítése még nem érhető el az OEM-től, akkor is van mód a Hyper-V-gazdagép védelmére?
Igen, a Windows Server 2016 Hyper-V gazdagépek esetében, amelyeken még nem érhető el a belső vezérlőprogram frissítése, alternatív útmutatót tettünk közzé, amely segíthet a virtuális gépek közötti vagy a virtuális gépek közötti támadások mérséklésében. Lásd: Alternatív védelem a Windows Server 2016 Hyper-V-gazdagépek számára a spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések ellen.
A Csak biztonsági ágra vonatkozó fióktelep esetén milyen csak biztonsági frissítéseket kell telepítenem a biztonsági rések elleni védelemhez?
A csak biztonsági frissítések nem kumulatívak. Az operációs rendszer verziójától függően előfordulhat, hogy a teljes védelem érdekében több biztonsági frissítést kell telepíteni. Az ügyfeleknek általában a 2018. januári, februári, márciusi és áprilisi frissítéseket kell telepíteniük. Az AMD processzorokkal felszerelt rendszereket további frissítésre van szükség az alábbi táblázatban látható módon:
| Operációs rendszer verziója | Biztonsági frissítés |
|---|---|
| Windows 8.1, Windows Server 2012 R2 | KB4338815 – Havi kumulatív frissítés |
| KB4338824 – csak biztonság | |
| Windows 7 SP1, Windows Server 2008 R2 SP1 vagy Windows Server 2008 R2 SP1 (Server Core-telepítés) | KB4284826 – Havi kumulatív frissítés |
| KB4284867 – Csak biztonság | |
| Windows Server 2008 SP2 | KB4340583 – Biztonsági frissítés |
Javasoljuk, hogy a csak biztonsági frissítéseket a megjelenésük sorrendjében telepítse.
Megjegyzés
A GYIK egy korábbi verziója tévesen azt állította, hogy a februári csak biztonsági frissítés tartalmazza a januárban kiadott biztonsági javításokat. Valójában nem.
Ha telepítem bármelyik vonatkozó biztonsági frissítést, az ugyanúgy letiltja a CVE-2017-5715 védelmét, mint a KB4078130 biztonsági frissítés?
Nem. A KB4078130 biztonsági frissítés egy konkrét javítás, amely megakadályozta a kiszámíthatatlan rendszerviselkedést, a teljesítménnyel kapcsolatos problémákat és a váratlan újraindításokat a mikrokód telepítése után. A biztonsági frissítéseknek a Windows-ügyfél típusú operációs rendszereken való alkalmazása mindhárom kockázatcsökkentést lehetővé teszi. Windows Server operációs rendszereken a megfelelő tesztelés elvégzése után is engedélyeznie kell a kockázatcsökkentő megoldásokat. További információért lásd : KB4072698.
Ismert probléma: Egyes felhasználók hálózati csatlakozási problémákat tapasztalhatnak, vagy elveszíthetik az IP-cím beállításait a 2018. március 13-i biztonsági frissítés (KB 4088875) telepítése után
Ezt a problémát KB4093118-ben megoldottuk.
Az Intel olyan újraindítási problémákat azonosított, amelyek egyes régebbi processzorok mikrokódját érintik. Mit tegyek?
2018 februárjában az Intel bejelentette , hogy befejezték az ellenőrzéseket, és elkezdték kiadni a mikrokódot az újabb CPU-platformokhoz. A Microsoft elérhetővé teszi az Intel által ellenőrzött, a Spectre 2. variánsára, a Spectre 2. variánsára (CVE-2017-5715 | Elágazáscél-beszúrás). KB4093836 Windows verzió szerinti tudásbázis cikkeket sorol fel. Az egyes tudásbáziscikkek tartalmazzák az Intel elérhető mikrokódfrissítéseit CPU szerint.
2018. január 11-én az Intel problémákat jelentett a nemrégiben kibocsátott mikrokódban, amelynek célja a Spectre 2. variánsa (CVE-2017-5715 | Elágazáscél-beszúrás). Az Intel konkrétan megjegyezte, hogy ez a mikrokód "a vártnál nagyobb számú újraindításokat és más kiszámíthatatlan rendszerviselkedést" okozhat, és hogy ezek a forgatókönyvek "adatvesztést vagy -sérülést" okozhatnak. Tapasztalataink szerint a rendszer instabilitása bizonyos körülmények között adatvesztést vagy -sérülést okozhat. Január 22-én az Intel azt javasolta, hogy az ügyfelek ne telepítsék az aktuális mikrokódverziót az érintett processzorokon, amíg az Intel további teszteket végez a frissített megoldáson. Értesüléseink szerint az Intel folyamatosan vizsgálja az aktuális mikrokódverzió lehetséges hatásait. Javasoljuk ügyfeleinknek, hogy rendszeresen ellenőrizzék az útmutatóikat, hogy értesülhessenek a döntésükről.
Mialatt az Intel teszteli, frissíti és üzembe helyezi az új mikrokódot, elérhetővé tesz egy sávon kívüli (OOB) frissítést ( KB4078130), amely kifejezetten csak a CVE-2017-5715 megszüntetését célzó megoldást tiltja le. A tesztelésünk során megállapítottuk, hogy ez a frissítés megakadályozza a leírt működést. Az eszközök teljes listáját az Intel mikrokód-felülvizsgálati útmutatójában találja. Ez a frissítés a Windows 7 Service Pack 1 (SP1), a Windows 8.1 rendszerre és a Windows 10 minden verziójára vonatkozik, ügyfélre és kiszolgálóra egyaránt. Ha érintett eszközt használ, a frissítés alkalmazásához töltse le azt a Microsoft Update katalógus webhelyéről. Ennek a hasznos adatnak az alkalmazása kifejezetten csak a CVE-2017-5715 biztonsági résre vonatkozó megoldást tiltja le.
Jelenleg nincs ismert jelentés arra vonatkozóan, hogy ez a Spectre 2. variáns (CVE-2017-5715 | elágazáscél-beszúrással) történt az ügyfelek megtámadására. Azt javasoljuk, hogy szükség esetén a Windows-felhasználók engedélyezzék újra a CVE-2017-5715 biztonsági rés megszüntetését célzó megoldást, ha az Intel azt jelenti, hogy az adott eszközzel kapcsolatban megoldódott a kiszámíthatatlan rendszerműködés.
Hallottam, hogy az Intel kiadott mikrokódfrissítéseket. Hol találom őket?
2018 februárjában az Intel bejelentette , hogy befejezték az ellenőrzéseket, és elkezdték kiadni a mikrokódot az újabb CPU-platformokhoz. A Microsoft elérhetővé teszi az Intel által ellenőrzött, a Spectre 2. variánsával és a Spectre 2. variánsával (CVE-2017-5715 | Elágazáscél-beszúrás). KB4093836 Windows verzió szerinti tudásbázis cikkeket sorol fel. A KB-k CPU szerint az Intel által elérhető mikrokódfrissítéseket sorolják fel.
További információ: AMD biztonsági Frissítések és AMD tanulmány: Architektúra-irányelvek a közvetett elágazásvezérléshez. Ezek az OEM belső vezérlőprogram-csatornán érhetők el.
A Windows 10 2018. áprilisi frissítését (1803-as verzió) futtatom. Elérhető Intel mikrokód az eszközömhöz? Hol találom meg?
A Spectre 2. variánsával (CVE-2017-5715 | Elágazáscél-beszúrás). Az Intel legújabb mikrokódfrissítéseinek a Windows Update szolgáltatáson keresztül történő letöltéséhez az ügyfeleknek Intel mikrokódot kell telepíteniük egy Windows 10 operációs rendszert futtató eszközre a Windows 10 2018. áprilisi frissítésére (1803-as verzió) való frissítés előtt.
A mikrokódfrissítés közvetlenül a Microsoft Update katalógusból is elérhető, ha a rendszer frissítése előtt nem telepítette azt az eszközre. Az Intel mikrokód a Windows Update, a Windows Server Update Services (WSUS) vagy a Microsoft Update katalógus szolgáltatáson keresztül érhető el. További információt és letöltési utasításokat a KB4100347 című témakörben talál.
Hol találhatok információt az új, spekulatív végrehajtási, oldalcsatornát érintő biztonsági résekről (Speculative Store Bypass - CVE-2018-3639 és Rogue System Register Read - CVE-2018-3640)?
További információért lásd a következő forrásokat:
- ADV180012 | A Microsoft útmutatásai aCVE-2018-3639 program spekulatív áruház megkerüléséhez
- ADV180013 | Microsoft útmutatás a rosszindulatú rendszerek számára Regisztráció a CVE-2018-3640 és a KB 4073065 számára | Útmutató a Surface-ügyfelek számára
- A Microsoft biztonsági kutatási és védelmi blogja
- Fejlesztői útmutató a spekulatív áruház megkerüléséhez
Hol találok további információt a Windows által támogatott SSBD szolgáltatásról Intel processzorokban?
Lásd a ADV180012 | A Microsoft útmutatása a spekulatív Store megkerüléséhez.
Hogyan állapíthatom meg, hogy az SSBD engedélyezve vagy letiltva van-e?
Az SSBD állapotának ellenőrzése érdekében frissítettük a Get-SpeculationControlSettings PowerShell-parancsfájlt, hogy észlelje az érintett processzorokat, az SSBD operációsrendszer-frissítések állapotát és a processzor mikrokódjának állapotát (ha van). További információkért és a PowerShell-parancsfájl beszerzéséhez lásd: KB4074629.
Hallottam a "Lazy FP State Restore"-ról (CVE-2018-3665). Ad ki a Microsoft enyhítő intézkedéseket?
2018. június 13-án bejelentettek egy további biztonsági rést, amely a Lazy FP State Restore elnevezésű, spekulatív végrehajtást foglal magában, és CVE-2018-3665 lett. A biztonsági résről és a javasolt műveletekről a ADV180016 | Microsoft-útmutatás lusta FP állapot-visszaállításhoz .
Megjegyzés A Lazy Restore FP Restore használatához nincsenek szükséges konfigurációs (beállításjegyzék-) beállítások.
Hallottam, hogy a CVE-2018-3693 (Bounds Check Bypass Store) a Spectre-hez kapcsolódik. Ad ki a Microsoft enyhítő intézkedéseket?
A Bounds Check Bypass Store-t (BCBS) 2018. július 10-én hozták nyilvánosságra, és CVE-2018-3693 dedikált. Úgy véljük, hogy a BCBS ugyanabba a biztonsági résosztályba tartozik, mint a Bounds Check Bypass (1. variáns). Jelenleg nem tudunk arról, hogy a BCBS szerepelne a szoftverünkben. Azonban továbbra is vizsgáljuk ezt a sebezhetőségi osztályt, és iparági partnereinkkel együttműködve vezetjük be a kockázatcsökkentéseket. Arra biztatjuk a kutatókat, hogy minden releváns eredményt küldjenek be a Microsoft Speculative Execution Side Channel jutalomprogramba, beleértve a BCBS bármely kihasználható példányát is. A szoftverfejlesztőknek át kell tekinteniük a BCBS-hez frissített fejlesztői útmutatót a C++ webhelyen: Fejlesztői útmutató a spekulatív végrehajtás oldalsó csatornáihoz
Hallottam, hogy az L1 terminálhibát (L1TF) nyilvánosságra hozták. Hol találok további információt erről és a Windows-támogatásról?
2018. augusztus 14-én bejelentették az L1 terminálhibát (L1TF), amelyhez több CVE-t rendeltek. Ezek az új, spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések felhasználhatók a memória tartalmának megbízható határon keresztüli olvasására, és ha kihasználják őket, információfelfedéshez vezethetnek. A támadó a beállított környezettől függően több vektorral aktiválhatja a biztonsági réseket. Az L1TF az Intel® Core® és az Intel® Xeon® processzorokat érinti.
A biztonsági résről és az érintett forgatókönyvek részletes áttekintéséről, beleértve a Microsoft megközelítését az L1TF enyhítésére, a következő forrásokban talál:
Hogyan letiltani az L1TF Hyper-Threading az eszközömön?
A Hyper-Threading letiltásának lépései OEM-enként eltérnek, de általában a BIOS vagy a belső vezérlőprogram beállítási és konfigurációs eszközeinek részét képezik.
Hol szerezhetem be a CVE-2017-5715 problémát enyhítő ARM64 belső vezérlőprogramot \| Elágazó célpont befecskendezés (Spectre 2. variáns)?
A 64 bites ARM processzorokat használó ügyfeleknek az eszköz eredeti hardvergyártójától kell érdeklődniük a belső vezérlőprogram támogatásáért, mivel az ARM64 operációs rendszer védelme csökkenti a CVE-2017-5715 problémát | Az elágazáscél-beszúrás (Spectre, 2. variáns) érvénybe léptetéséhez a legújabb belső vezérlőprogram-frissítés szükséges az eszköz eredeti gyártóitól.
Hol találok információkat az Intel által a mikroarchitekturális adatok mintavételezésével kapcsolatos információval kapcsolatban (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130)
További információért tekintse meg az alábbi biztonsági tanácsokat
Hol találom az adatmintavételezés mikroarchitekturális biztonsági réseinek mérsékléséhez szükséges műveletek meghatározására vonatkozó forgatókönyv-alapú útmutatást?
További útmutatás a Windows spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések elleni védelemre vonatkozó útmutatójában található.
Hogyan letiltani az MDS-hez kapcsolódó Hyper-Threading az eszközömön?
A spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések elleni védelemre vonatkozó Windows-útmutatóban talál útmutatást
Hol találok útmutatást az Azure-hoz?
Az Azure-ral kapcsolatos útmutatásért tekintse meg ezt a cikket: Útmutató a spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések csökkentéséhez az Azure-ban.
Hol tudhatok meg többet a Retpoline engedélyezéséről a Windows 10, 1809-es verzió esetén?
A Retpoline engedélyezésével kapcsolatos további információkért tekintse meg blogbejegyzésünket: A Spectre 2. variánsának enyhítése a Retpoline-nal Windows rendszeren .
Hallottam, hogy van egy változata a Spectre Variant 1 spekulatív végrehajtási oldalcsatornás sebezhetőségének. További információk
A biztonsági réssel kapcsolatos részletekért tekintse meg a Microsoft biztonsági útmutatóját: CVE-2019-1125 | A Windows-kernel információfelfedését lehetővé tevő biztonsági rés.
A CVE-2019-1125 \| A Windows-kernel információfelfedési biztonsági rése érinti a Microsoft felhőszolgáltatásait?
Nem tudunk arról, hogy ez az adatfelfedési biztonsági rés hatással lenne a felhőszolgáltatási infrastruktúránkra.
Ha a CVE-2019-1125 \| A Windows-kernel információfelfedésével kapcsolatos biztonsági rés 2019. július 9-én jelent meg, miért tették közzé a részleteket 2019. augusztus 6-án?
Amint tudomást szereztünk a problémáról, gyorsan dolgoztunk a megoldásán és egy frissítés kiadásán. Szilárdan hiszünk a kutatókkal és az iparági partnerekkel való szoros együttműködésben az ügyfelek biztonságának növelése érdekében, és csak augusztus 6-án, kedden tettük közzé a részleteket, összhangban az összehangolt sebezhetőség-közzétételi gyakorlattal.
Hol találom az Intel tranzakciószinkronizálási bővítmények (Intel TSX) aszinkron tranzakciómegszakítási sérülékenységének (CVE-2019-11135) mérsékléséhez szükséges műveleteket meghatározó forgatókönyv-alapú útmutatást?
További útmutatás a Windows útmutatójában található, amely védelmet nyújt a spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések ellen.
Le Hyper-Threading kell tiltanom az Intel Transactional Synchronization Extensions (Intel TSX) aszinkron tranzakciómegszakítási sérülékenységét (CVE-2019-11135) az eszközömön?
További útmutatás a Windows útmutatójában található, amely védelmet nyújt a spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések ellen.
Le lehet tiltani az Intel tranzakciószinkronizálási bővítmények (Intel TSX) képességét?
További útmutatást az Útmutató az Intel tranzakciószinkronizálási bővítmények (Intel TSX) képesség letiltásához című részben talál.
Hivatkozások
Harmadik felektől származó információkra vonatkozó jogi nyilatkozat
A jelen cikkben tárgyalt, külső féltől származó termékeket a Microsofttól független cégek készítik. Nem vállalunk sem kifejezett, sem más jellegű jótállást e termékek megbízhatóságára és működésére vonatkozóan.
Azért biztosítjuk harmadik felek elérhetőségi adatait, hogy a felhasználók könnyebben találhassanak technikai támogatást. Ezek az elérhetőségi adatok értesítés nélkül megváltozhatnak. Nem garantáljuk az ezen harmadik félre vonatkozó elérhetőségi adatok pontosságát.