Ringkasan
Microsoft telah mengetahui kelas publik dibuka baru kerentanan yang disebut sebagai "spekulatif eksekusi sisi-saluran serangan."Â Kerentanan ini mempengaruhi banyak modern prosesor dan sistem operasi. Ini termasuk Chipset Intel, AMD dan ARM.
Kami belum menerima informasi apa pun untuk menunjukkan kerentanan ini digunakan untuk menyerang pelanggan. Kami terus bekerja sama dengan mitra industri untuk melindungi pelanggan. Ini termasuk pembuat chip, perangkat keras OEM dan aplikasi vendor. Untuk mendapatkan semua perlindungan yang tersedia, pembaruan perangkat keras atau firmware dan perangkat lunak diperlukan. Ini mencakup pengendali dari perangkat OEM dan, dalam beberapa kasus, pembaruan perangkat lunak antivirus. Kami telah merilis beberapa pembaruan untuk membantu mengurangi kerentanan ini. Informasi lebih lanjut tentang kerentanan dapat ditemukan di Microsoft Security Advisory ADV180002. Untuk panduan umum, juga lihat panduan untuk mengurangi kerentanan sisi-saluran spekulatif eksekusi. Kami juga telah mengambil tindakan untuk membantu mengamankan layanan cloud kami. Lihat bagian berikut ini untuk informasi lebih lanjut.
Versi Exchange Server yang terpengaruh
Karena ini adalah tingkat hardware serangan yang menargetkan sistem x64-x86 berbasis dan prosesor, Semua versi yang didukung dari Microsoft Exchange Server yang terpengaruh oleh masalah ini.
Rekomendasi
Tabel berikut ini menjelaskan tindakan yang disarankan untuk Exchange Server pelanggan. Ada tidak ada update Exchange khusus yang diperlukan saat ini. Namun, kami merekomendasikan bahwa pelanggan selalu menjalankan Exchange Server pembaruan kumulatif terbaru dan pembaruan keamanan yang diperlukan. Kami sarankan Anda menyebarluaskan perbaikan dengan menggunakan prosedur ususal Anda untuk memvalidasi biner baru sebelum disebarkan ke lingkungan produksi.
|
Skenario |
Deskripsi |
Rekomendasi |
|
1 |
Exchange Server berjalan pada logam telanjang (tidak ada mesin virtual) dan tidak ada lain terpercaya logika aplikasi (aplikasi tingkat) dijalankan di mesin logam telanjang yang sama. Â |
Menerapkan semua sistem dan Exchange Server pembaruan setelah pengujian biasa validasi pra-produksi. Mengaktifkan Kernel Virtual alamat bayangan (KVAS) yang tidak diperlukan (Lihat bagian terkait kemudian di artikel ini). |
|
2 |
Exchange Server dijalankan pada mesin virtual di lingkungan host publik (awan). |
Untuk Azure: Microsoft telah dikirim ke rincian tentang upaya mitigasi Azure (Lihat KB 4073235 untuk rincian informasi). Penyedia awan lainnya: merujuk ke panduan mereka. Kami menyarankan menginstal semua pembaruan OS pada semua mesin virtual (VM). Rujuk ke panduan nanti dalam artikel ini tentang apakah untuk mengaktifkan KVAS. |
|
3 |
Exchange Server dijalankan pada mesin virtual di lingkungan host pribadi. |
Lihat dokumentasi hypervisor keamanan untuk keamanan praktik terbaik. Lihat KB 4072698 untuk Windows Server dan Hyper-V. Kami menyarankan menginstal semua pembaruan OS di VM tamu. Rujuk ke panduan yang lebih baru dalam artikel ini tentang apakah untuk mengaktifkan KVAS. |
|
4 |
Exchange Server dijalankan di mesin virtual atau fisik dan tidak terisolasi dari logika aplikasi lain yang berjalan pada sistem yang sama. Â |
Kami sarankan menginstal semua pembaruan OS. Sebaiknya pelanggan menyebarluaskan pemutakhiran produk terbaru dan pembaruan keamanan terkait. Rujuk ke panduan kemudian di artikel ini artikel tentang apakah untuk mengaktifkan KVAS. |
Kinerja penasihat
Kami menyarankan semua konsumen untuk mengevaluasi kinerja lingkungan yang khusus ketika Anda menerapkan pembaruan.
Solusi yang disediakan oleh Microsoft untuk jenis kerentanan yang dibahas di sini akan menggunakan mekanisme berbasis perangkat lunak untuk melindungi silang proses akses ke data. Kami menyarankan semua pelanggan untuk menginstal versi yang diperbarui dari Exchange Server dan Windows. Ini akan memiliki efek kinerja minimal, berdasarkan pada pengujian Microsoft Exchange beban kerja.
Kami telah mengukur efek dari Kernel Virtual alamat bayangan (KVAS) pada berbagai beban kerja. Kami telah menemukan bahwa beberapa beban kerja mengalami penurunan kinerja. Exchange Server adalah salah satu beban kerja tersebut yang dapat mengalami penurunan signifikan jika KVAS diaktifkan. Server yang menunjukkan penggunaan CPU yang tinggi atau pola penggunaan I/O tinggi diharapkan untuk menunjukkan efek terbesar. Kami sangat menyarankan agar Anda pertama kali mengevaluasi efek kinerja mengaktifkan KVAS dengan menjalankan tes di lab yang mewakili kebutuhan produksi Anda sebelum Anda menyebarkan ke lingkungan produksi. Jika mengaktifkan KVAS efek kinerja terlalu tinggi, mempertimbangkan apakah mengisolasi Exchange Server dari kode yang tidak dipercaya yang berjalan pada sistem yang sama mitigasi lebih baik untuk aplikasi.
Selain KVAS, informasi tentang kinerja efek dari cabang Target injeksi mitigasi dukungan perangkat keras (KPI) rincian di sini. Server yang menjalankan Exchange Server dan yang memiliki solusi KPI disebarkan ke itu dapat mengalami penurunan kinerja jika KPI diaktifkan.
Kami mengantisipasi bahwa perangkat keras pemasok akan menawarkan pembaruan untuk produk mereka dalam bentuk pengendali pemutakhiran. Pengalaman kami dengan Exchange menunjukkan bahwa pengendali Pemutakhiran akan meningkatkan kinerja drop. Sejauh yang terjadi sangat tergantung pada komponen dan desain sistem di mana mereka diterapkan. Kami yakin bahwa tidak ada solusi tunggal, Apakah perangkat lunak atau perangkat keras-based, cukup untuk menyelesaikan jenis kerentanan sendiri. Kami menyarankan Anda untuk mengevaluasi kinerja semua pemutakhiran untuk memperhitungkan variabilitas dalam desain sistem dan kinerja sebelum Anda menempatkan mereka ke dalam produksi. Tim Exchange tidak berencana untuk memperbarui Kalkulator ukuran yang digunakan oleh pelanggan untuk menjelaskan perbedaan kinerja saat ini. Perhitungan yang disediakan oleh alat ini akan memperhitungkan perubahan dalam performa yang berkaitan dengan perbaikan untuk masalah ini. Kami akan terus mengevaluasi alat ini dan pengaturan yang kami mungkin diperlukan, berdasarkan penggunaan sendiri dan bahwa pelanggan.
Kami akan memperbarui bagian ini sebagai informasi lebih lanjut tersedia.
Mengaktifkan alamat Maya Kernel bayangan
Exchange Server berjalan di lingkungan banyak, termasuk sistem fisik, VM di lingkungan cloud swasta dan publik, dan sistem operasi Windows. Terlepas dari lingkungan, program ini terletak di sistem fisik atau VM. Â Lingkungan ini, Apakah fisik atau virtual, disebut sebagai keamanan batas.
Jika semua kode dalam batas memiliki akses ke semua data dalam batas tersebut, tidak ada tindakan diperlukan. Jika hal ini tidak terjadi, batas dikatakan multi-penyewa. Kerentanan yang telah ditemukan memungkinkan kode yang dijalankan di setiap proses dalam bahwa batas untuk membaca data apa pun dalam batas tersebut. Hal ini berlaku bahkan di bawah izin yang lebih rendah. Apabila proses batas menjalankan kode yang tidak dipercaya , proses tersebut dapat menggunakan kerentanan ini untuk membaca data dari proses lainnya.
Untuk melindungi kode yang tidak dipercaya di batas multi-penyewa, lakukan salah satu dari berikut ini:
-
Menghapus kode yang tidak dipercaya.
-
Mengaktifkan KVAS untuk melindungi terhadap proses-proses dibaca. Ini akan berdampak kinerja. Lihat bagian sebelumnya dalam artikel ini untuk informasi selengkapnya.
Untuk informasi selengkapnya tentang cara mengaktifkan KVAS untuk Windows, lihat KB 4072698.
Contoh skenario (KVAS sangat dianjurkan)
Skenario 1
VM Azure menjalankan layanan yang terpercaya pengguna dapat mengirimkan JavaScript kode yang dijalankan oleh terbatas memiliki izin. Di VM sama, Exchange Server menjalankan dan mengelola data yang tidak boleh diakses oleh pengguna terpercaya. Dalam situasi ini, KVAS diperlukan untuk melindungi pengungkapan antara dua entitas.
Skenario 2
Sistem fisik lokal yang menjadi tuan rumah Exchange Server dapat menjalankan skrip pihak ketiga yang terpercaya atau executable. Hal ini diperlukan untuk mengaktifkan KVAS untuk melindungi pengungkapan data Exchange untuk skrip atau eksekusi.
Catatan Hanya karena mekanisme Ekstensibilitas dalam Exchange Server yang sedang digunakan, yang tidak secara otomatis membuat tidak aman. Mekanisme ini dapat digunakan dengan aman dalam Exchange Server selama dependensi setiap dipahami dan terpercaya. Selain itu, ada produk lain yang dibuat di Exchange Server yang memerlukan Ekstensibilitas mekanisme untuk bekerja dengan benar. Sebaliknya, sebagai tindakan Anda pertama, Tinjau setiap digunakan untuk menentukan apakah kode dipahami dan terpercaya. Panduan ini disediakan untuk membantu pelanggan menentukan apakah mereka harus mengaktifkan KVAS karena implikasi kinerja yang lebih besar.
Mengaktifkan dukungan Hardware cabang Target injeksi mitigasi (KPI)
KPI mitigates terhadap CVE 2017-5715, juga dikenal sebagai satu setengah hantu atau "varian 2" pengungkapan GPZ.
Petunjuk ini untuk mengaktifkan KVAS Windows juga dapat mengaktifkan KPI. Namun, KPI juga memerlukan update firmware dari pabrik perangkat keras. Instruksi di KB 4072698 untuk mengaktifkan perlindungan di Windows, pelanggan harus mendapatkan dan menginstal pembaruan dari pabrik perangkat keras mereka.
Contoh skenario (KPI sangat dianjurkan)
Skenario 1
Dalam fisik sistem lokal yang menjadi inang Exchange Server, terpercaya pengguna diperbolehkan untuk mengunggah dan jalankan sembarang kode JavaScript. Dalam skenario ini, kami sangat direkomendasikan KPI untuk melindungi pengungkapan informasi proses-proses.
Dalam situasi di mana KPI dukungan perangkat keras tidak ada, kami sarankan Anda memisahkan proses terpercaya dan terpercaya proses ke fisik yang berbeda atau mesin virtual.
Mekanisme Ekstensibilitas terpercaya Exchange Server
Exchange Server meliputi Ekstensibilitas fitur dan mekanisme. Banyak ini didasarkan pada api yang tidak mengizinkan terpercaya kode untuk dijalankan di server yang menjalankan Exchange Server. Agen transpor dan Exchange Management Shell dapat memungkinkan kode yang tidak dipercaya untuk dijalankan di server yang menjalankan Exchange Server di situasi tertentu. Pada semua kasus, kecuali agen transpor, fitur Ekstensibilitas memerlukan otentikasi sebelum mereka dapat digunakan. Kami sarankan Anda menggunakan fitur Ekstensibilitas yang dibatasi ke serangkaian minimal biner mana pun dapat diterapkan. Kami juga menyarankan bahwa pelanggan membatasi akses server untuk menghindari sembarang kode yang dijalankan pada sistem yang sama sebagai Exchange Server. Kami menyarankan Anda untuk menentukan apakah akan mempercayai biner masing-masing. Anda harus menonaktifkan atau menghapus biner terpercaya. Anda juga harus memastikan bahwa manajemen antarmuka tidak terbuka di Internet.
Produk pihak ketiga yang dibahas di artikel ini dibuat oleh perusahaan yang independen terhadap Microsoft. Microsoft tidak menyediakan jaminan, baik tersirat maupun tersurat, mengenai kinerja atau keandalan produk ini.
