KB4073119: Panduan klien Windows untuk Profesional TI untuk melindungi terhadap kerentanan saluran sisi mikroarsitektur dan spekulatif berbasis silikon

Pada 14 Mei 2019, Intel menerbitkan informasi tentang subkelas baru kerentanan saluran sisi eksekusi spekulatif yang dikenal sebagai Microarchitectural Data Sampling. Kerentanan ini ditangani dalam CVEs berikut:

• CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

• CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)

• CVE-2018-12127 | Microarchitectural Fill Buffer Data Sampling (MFBDS)

• CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)

Kami telah merilis pembaruan untuk membantu mengurangi kerentanan ini. Untuk mendapatkan semua perlindungan yang tersedia, pembaruan firmware (mikrokode) dan perangkat lunak diperlukan. Ini mungkin termasuk kode mikro dari OEM perangkat. Dalam beberapa kasus, menginstal pembaruan ini akan berdampak pada kinerja. Kami juga telah bertindak untuk mengamankan layanan cloud kami. Kami sangat menyarankan untuk menyebarkan pembaruan ini.

Untuk informasi selengkapnya tentang masalah ini, lihat Panduan berbasis Skenario dan Konsultan Keamanan berikut ini untuk menentukan tindakan yang diperlukan untuk mengurangi ancaman:

• ADV190013 | Panduan Microsoft untuk mengurangi kerentanan Pengambilan Sampel Data Microarchitectural

• Panduan Windows untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif

Pada 6 Agustus 2019 Intel merilis detail tentang kerentanan pengungkapan informasi kernel Windows. Kerentanan ini merupakan varian dari spektre Varian 1 spekulatif eksekusi sisi-saluran kerentanan dan telah ditetapkan CVE-2019-1125.

Pada 9 Juli 2019, kami merilis pembaruan keamanan untuk sistem operasi Windows untuk membantu mengurangi masalah ini. Harap diperhatikan bahwa kami menahan pendokumentasian mitigasi ini secara publik hingga pengungkapan industri terkoordinasi pada selasa, 6 Agustus 2019.

Pelanggan yang telah Windows Update diaktifkan dan telah menerapkan pembaruan keamanan yang dirilis pada 9 Juli 2019 dilindungi secara otomatis. Tidak ada konfigurasi lebih lanjut yang diperlukan.

Untuk informasi selengkapnya tentang kerentanan ini dan pembaruan yang berlaku, lihat Panduan Pembaruan Keamanan Microsoft:

• CVE-2019-1125 | Kerentanan Pengungkapan Informasi Kernel Windows

Pada 12 November 2019, Intel menerbitkan konsultasi teknis tentang Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability that is assigned CVE-2019-11135. Kami telah merilis pembaruan untuk membantu mengurangi kerentanan ini. Secara default, proteksi OS diaktifkan untuk edisi OS Klien Windows.

Pada tanggal 14 Juni 2022, kami menerbitkan ADV220002 | Panduan Microsoft tentang Kerentanan Data Prosesor Intel MMIO Basi. Kerentanan thes ditetapkan dalam CVEs berikut:

• CVE-2022-21123 | Baca Data Penyangga Bersama (SBDR)

• CVE-2022-21125 | Pengambilan sampel data penyangga bersama (SBDS)

• CVE-2022-21127 | Special Register Buffer Data Sampling Update (Pembaruan SRBDS)

• CVE-2022-21166 | Device Register Partial Write (DRPW)

Tindakan yang disarankan

Anda harus melakukan tindakan berikut untuk membantu melindungi dari kerentanan ini:

1. Terapkan semua pembaruan sistem operasi Windows yang tersedia, termasuk pembaruan keamanan Windows bulanan.

2. Terapkan pembaruan firmware (microcode) yang berlaku yang disediakan oleh produsen perangkat.

3. Evaluasi risiko terhadap lingkungan Anda berdasarkan informasi yang disediakan dalam Microsoft Security Advisories ADV180002, ADV180012, ADV190013, dan ADV220002,selain informasi yang disediakan dalam artikel ini.

4. Lakukan tindakan sesuai keperluan menggunakan informasi kunci registri dan konsultan yang disediakan dalam artikel ini.

Pada 12 Juli 2022, kami menerbitkan CVE-2022-23825 | AMD CPU Branch Type Confusion yang menjelaskan bahwa alias di branch predictor dapat menyebabkan prosesor AMD tertentu untuk memprediksi jenis cabang yang salah. Masalah ini mungkin berpotensi menyebabkan pengungkapan informasi.

Untuk membantu melindungi dari kerentanan ini, sebaiknya instal pembaruan Windows yang tertanggal pada atau setelah Juli 2022 lalu lakukan tindakan sesuai keharusan CVE-2022-23825 dan informasi kunci registri yang disediakan dalam artikel Pangkalan Pengetahuan ini.

Untuk informasi selengkapnya, lihat buletin keamanan AMD-SB-1037 .

Pada 8 Agustus 2023, kami menerbitkan CVE-2023-20569 | AMD CPU Return Address Predictor (juga dikenal sebagai Inception) yang menjelaskan serangan saluran sisi spekulatif baru yang dapat mengakibatkan eksekusi spekulatif pada alamat yang dikontrol penyerang. Masalah ini memengaruhi prosesor AMD tertentu dan mungkin berpotensi menyebabkan pengungkapan informasi.

Untuk membantu melindungi dari kerentanan ini, sebaiknya instal pembaruan Windows yang tertanggal pada atau setelah Agustus 2023 lalu lakukan tindakan sesuai keharusan CVE-2023-20569 dan informasi kunci registri yang disediakan dalam artikel Pangkalan Pengetahuan ini.

Untuk informasi selengkapnya, lihat buletin keamanan AMD-SB-7005 .

Pada 9 April 2024, kami menerbitkan CVE-2022-0001 | Injeksi Riwayat Cabang Intel yang menjelaskan Injeksi Riwayat Cabang (BHI) yang merupakan bentuk tertentu dari intra-mode BTI. Kerentanan ini terjadi ketika penyerang dapat memanipulasi riwayat cabang sebelum beralih dari pengguna ke mode supervisor (atau dari VMX non-akar/tamu ke mode akar). Manipulasi ini dapat menyebabkan prediktor cabang tidak langsung memilih entri prediktor tertentu untuk cabang tidak langsung, dan gadget pengungkapan pada target yang diprediksi akan dijalankan secara sementara. Ini mungkin dimungkinkan karena riwayat cabang yang relevan mungkin berisi cabang yang diambil dalam konteks keamanan sebelumnya, dan khususnya, mode prediktor lainnya.

Secara default, perlindungan user-to-kernel untuk CVE-2017-5715 dinonaktifkan untuk CPU AMD dan ARM. Anda harus mengaktifkan mitigasi untuk menerima perlindungan tambahan untuk CVE-2017-5715. Untuk informasi selengkapnya, lihat FAQ #15 dalam ADV180002 untuk prosesor AMD dan FAQ #20 dalam ADV180002 untuk prosesor ARM.

Secara default, perlindungan user-to-kernel untuk CVE-2017-5715 dinonaktifkan untuk prosesor AMD. Pelanggan harus mengaktifkan mitigasi untuk menerima perlindungan tambahan untuk CVE-2017-5715.  Untuk informasi selengkapnya, lihat FAQ #15 di ADV180002.

Untuk mengaktifkan mitigasi untuk CVE-2022-23825 pada prosesor AMD :

reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Agar sepenuhnya terlindungi, pelanggan mungkin juga perlu menonaktifkan Hyper-Threading (juga dikenal sebagai Simultaneous Multi Threading (SMT)). Silakan lihat KB4073757untuk panduan tentang melindungi perangkat Windows. 

Untuk mengaktifkan mitigasi untuk CVE-2023-20569 pada prosesor AMD:

reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Untuk mengaktifkan mitigasi untuk CVE-2022-0001 pada prosesor Intel:

reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Untuk penjelasan mendetail tentang output skrip PowerShell, silakan lihat KB4074629.

Kode mikro dikirimkan melalui pembaruan firmware. Anda harus memeriksa dengan CPU (chipset) dan produsen perangkat Anda tentang ketersediaan pembaruan keamanan firmware yang berlaku untuk perangkat tertentu mereka, termasuk Panduan Revisi Kode Mikro Intel.

Mengatasi kerentanan perangkat keras melalui pembaruan perangkat lunak memberikan tantangan yang signifikan. Selain itu, mitigasi untuk sistem operasi yang lebih lama memerlukan perubahan arsitektur yang ekstensif. Kami bekerja dengan produsen chip yang terpengaruh untuk menentukan cara terbaik untuk menyediakan mitigasi, yang mungkin akan dikirimkan dalam pembaruan mendatang.

Updates untuk perangkat Microsoft Surface akan dikirimkan kepada pelanggan melalui Windows Update bersama dengan pembaruan untuk sistem operasi Windows. Untuk daftar pembaruan firmware perangkat Surface (microcode) yang tersedia, lihat KB4073065.

Jika perangkat Anda bukan berasal dari Microsoft, terapkan firmware dari produsen perangkat. Untuk informasi selengkapnya, hubungi produsen perangkat OEM.

Pada bulan Februari dan Maret 2018, Microsoft merilis perlindungan tambahan untuk beberapa sistem berbasis x86. Untuk informasi selengkapnya, lihat KB4073757 dan ADV180002 Penasihat Keamanan Microsoft.

Updates ke Windows 10 untuk HoloLens tersedia untuk pelanggan HoloLens melalui Windows Update.

Setelah menerapkan Pembaruan Keamanan Windows Februari 2018, pelanggan HoloLens tidak perlu melakukan tindakan tambahan apa pun untuk memperbarui firmware perangkat mereka. Mitigasi ini juga akan disertakan dalam semua rilis Windows 10 untuk HoloLens di masa mendatang.

Tidak. Pembaruan Keamanan Saja tidak kumulatif. Tergantung pada versi sistem operasi yang Anda jalankan, Anda harus menginstal setiap pembaruan Keamanan Hanya bulanan untuk dilindungi terhadap kerentanan ini. Misalnya, jika Anda menjalankan Windows 7 untuk Sistem 32-bit pada CPU Intel yang terpengaruh, Anda harus menginstal semua pembaruan Keamanan Saja. Sebaiknya instal pembaruan Keamanan Saja dalam urutan rilis.

Catatan Versi yang lebih lama dari FAQ ini secara tidak benar menyatakan bahwa pembaruan Keamanan Hanya Bulan Februari menyertakan perbaikan keamanan yang dirilis pada bulan Januari. Bahkan, tidak.

Tidak. Pembaruan keamanan 4078130 adalah perbaikan khusus untuk mencegah perilaku sistem yang tidak terduga, masalah kinerja, dan/atau boot ulang yang tidak diharapkan setelah penginstalan kode mikro. Menerapkan pembaruan keamanan bulan Februari pada sistem operasi klien Windows memungkinkan ketiga mitigasi.

Intel baru-baru ini mengumumkan bahwa mereka telah menyelesaikan validasi mereka dan mulai merilis kode mikro untuk platform CPU yang lebih baru. Microsoft menyediakan pembaruan kode mikro tervalidasi Intel di sekitar Spectre Varian 2 (CVE-2017-5715 "Injeksi Target Cabang"). KB4093836 mencantumkan artikel Basis Pengetahuan tertentu menurut versi Windows. Setiap KB tertentu berisi pembaruan kode mikro Intel yang tersedia oleh CPU.

Masalah ini telah diatasi dalam KB4093118.

AMD baru-baru ini mengumumkan bahwa mereka telah mulai merilis kode mikro untuk platform CPU yang lebih baru di sekitar Spectre Varian 2 (CVE-2017-5715 "Branch Target Injection"). Untuk informasi selengkapnya, lihat Updates Keamanan AMD dan AMD Whitepaper: Panduan Arsitektur di sekitar Kontrol Cabang Tidak Langsung. Ini tersedia dari saluran firmware OEM.

Kami menyediakan pembaruan kode mikro tervalidasi Intel di sekitar Spectre Varian 2 (CVE-2017-5715 "Branch Target Injection "). Untuk mendapatkan pembaruan kode mikro Intel terbaru melalui Windows Update, pelanggan harus telah menginstal kode mikro Intel pada perangkat yang menjalankan sistem operasi Windows 10 sebelum memutakhirkan ke pembaruan Windows 10 April 2018 (versi 1803).

Pembaruan kode mikro juga tersedia secara langsung dari Katalog jika tidak diinstal di perangkat sebelum memutakhirkan OS. Kode mikro Intel tersedia melalui Windows Update, WSUS, atau Katalog Pembaruan Microsoft. Untuk informasi selengkapnya dan instruksi pengunduhan, lihat KB4100347.

Untuk informasi selengkapnya, lihat sumber daya berikut ini:

• ADV180012 | Panduan Microsoft untuk Bypass Bursa Spekulatif untuk CVE-2018-3639

• ADV180013 | Panduan Microsoft untuk Pendaftaran Sistem Nakal Dibaca untuk CVE-2018-3640 dan KB4073065

• Blog Riset dan Pertahanan Keamanan Microsoft

• Panduan Pengembang untuk Bypass Store Spekulatif

Untuk detailnya, lihat bagian "Tindakan yang Direkomendasikan" dan "FAQ" di ADV180012 | Panduan Microsoft untuk Bypass Bursa Spekulatif.

Untuk memverifikasi status SSBD, skrip Get-SpeculationControlSettings PowerShell diperbarui untuk mendeteksi prosesor yang terpengaruh, status pembaruan sistem operasi SSBD, dan status kode mikro prosesor jika berlaku. Untuk informasi selengkapnya dan untuk mendapatkan skrip PowerShell, lihat KB4074629.

Pada 13 Juni 2018, kerentanan tambahan yang melibatkan eksekusi spekulatif saluran sisi, yang dikenal sebagai Pemulihan Negara FP Malas, diumumkan dan ditetapkan CVE-2018-3665. Tidak diperlukan pengaturan konfigurasi (registri) untuk Pemulihan Malas FP Pulihkan.

Untuk informasi selengkapnya tentang kerentanan ini dan untuk tindakan yang direkomendasikan, lihat ADV180016 konsultan keamanan | Panduan Microsoft untuk Pemulihan Status FP Malas.

Bounds Check Bypass Store (BCBS) diungkapkan pada 10 Juli 2018 dan ditetapkan CVE-2018-3693. Kami menganggap BCBS termasuk dalam kelas kerentanan yang sama dengan Bypass Pemeriksaan Batas (Varian 1). Kami saat ini tidak menyadari adanya BCBS dalam perangkat lunak kami, tetapi kami terus melakukan riset untuk kelas kerentanan ini dan akan bekerja dengan mitra industri untuk merilis mitigasi sesuai kebutuhan. Kami terus mendorong peneliti untuk mengirimkan temuan yang relevan ke program karunia Saluran Sisi Eksekusi Spekulatif Microsoft, termasuk setiap contoh BCBS yang dapat dieksploitasi. Pengembang perangkat lunak harus meninjau panduan pengembang yang diperbarui untuk BCBS di https://aka.ms/sescdevguide.

Pada 14 Agustus 2018, L1 Terminal Fault (L1TF) diumumkan dan ditetapkan beberapa CVEs. Kerentanan saluran sisi spekulatif baru ini dapat digunakan untuk membaca konten memori di seluruh batas tepercaya dan, jika dieksploitasi, dapat mengarah pada pengungkapan informasi. Penyerang dapat memicu kerentanan melalui beberapa vektor, tergantung pada lingkungan yang dikonfigurasi. L1TF memengaruhi prosesor Intel® Core® dan prosesor Intel® Xeon®.

Untuk informasi selengkapnya tentang kerentanan ini dan tampilan mendetail skenario yang terpengaruh, termasuk pendekatan Microsoft untuk memitigasi L1TF, lihat sumber daya berikut ini:

• ADV180018 | Panduan Microsoft untuk mengurangi varian L1TF

• Blog Riset Keamanan Penasihat Keamanan

• Panduan Server untuk Kesalahan Terminal L1

Pelanggan yang menggunakan prosesor ARM 64-bit harus memeriksa dengan OEM perangkat untuk dukungan firmware karena perlindungan sistem operasi ARM64 yang mengurangi CVE-2017-5715 | Injeksi target cabang (Spectre, Varian 2) memerlukan pembaruan firmware terbaru dari OEM perangkat agar dapat diterapkan.

Untuk informasi selengkapnya, lihat saran keamanan berikut 

• Penasihat Keamanan Intel

• ADV190013 | Panduan Microsoft untuk mengurangi kerentanan Pengambilan Sampel Data Microarchitectural

Untuk informasi selengkapnya, lihat saran keamanan berikut

• Penasihat Keamanan Intel

• ADV190013 | Panduan Microsoft untuk mengurangi kerentanan Pengambilan Sampel Data Microarchitectural

Panduan lebih lanjut dapat ditemukan dalam panduan Windows untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif

Silakan lihat panduan dalam panduan Windows untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif

Untuk panduan Azure, silakan lihat artikel ini: Panduan untuk memitigasi kerentanan saluran sisi eksekusi spekulatif di Azure.  

Untuk informasi selengkapnya tentang pemberdayaan Retpoline, lihat postingan blog kami: Mitigasi Spectre varian 2 dengan Retpoline di Windows. 

Untuk detail tentang kerentanan ini, lihat Panduan Keamanan Microsoft: CVE-2019-1125 | Kerentanan Pengungkapan Informasi Kernel Windows.

Kami tidak menyadari adanya kerentanan pengungkapan informasi ini yang memengaruhi infrastruktur layanan cloud kami.

Segera setelah kami menyadari masalah ini, kami bekerja cepat untuk mengatasinya dan merilis pembaruan. Kami sangat percaya pada kemitraan yang erat dengan peneliti dan mitra industri untuk membuat pelanggan lebih aman, dan tidak menerbitkan detail hingga Selasa, 6 Agustus, konsisten dengan praktik pengungkapan kerentanan terkoordinasi.

Panduan lebih lanjut dapat ditemukan dalam panduan Windows untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif.

Panduan lebih lanjut dapat ditemukan dalam panduan Windows untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif.

Panduan lebih lanjut dapat ditemukan dalam Panduan untuk menonaktifkan kemampuan Intel® Transactional Synchronization Extensions (Intel® TSX).

Kami menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak ini mungkin berubah tanpa pemberitahuan. Kami tidak menjamin keakuratan informasi kontak pihak ketiga ini.