Catatan: Artikel ini akan diperbarui saat informasi tambahan tersedia. Silakan periksa kembali di sini secara berkala untuk pembaruan dan Tanya Jawab Umum baru.

Kerentanan

Artikel ini membahas kerentanan eksekusi spekulatif berikut ini:

Windows Update juga akan menyediakan mitigasi Internet Explorer dan Edge. Kami akan terus meningkatkan mitigasi ini terhadap kelas kerentanan ini.

Untuk mempelajari selengkapnya tentang kelas kerentanan ini, lihat

Pada 14 Mei 2019, Intel menerbitkan informasi tentang subkelas baru kerentanan saluran sisi eksekusi spekulatif yang dikenal sebagai Microarchitectural Data Sampling dan didokumentasikan dalam ADV190013 | Microarchitectural Data Sampling. Mereka telah ditetapkan sebagai CVEs berikut:

Penting: Masalah ini akan memengaruhi sistem lain seperti Android, Chrome, iOS, dan MacOS. Kami menyarankan pelanggan untuk mencari panduan dari vendor tersebut.

Microsoft telah merilis pembaruan untuk membantu mengurangi kerentanan ini. Untuk mendapatkan semua perlindungan yang tersedia, pembaruan firmware (mikrokode) dan perangkat lunak diperlukan. Ini mungkin termasuk kode mikro dari OEM perangkat. Dalam beberapa kasus, menginstal pembaruan ini akan berdampak pada kinerja. Kami juga telah bertindak untuk mengamankan layanan cloud kami. Kami sangat menyarankan untuk menyebarkan pembaruan ini.

Untuk informasi selengkapnya tentang masalah ini, lihat Panduan berbasis Skenario dan Konsultan Keamanan berikut ini untuk menentukan tindakan yang diperlukan untuk mengurangi ancaman:

Catatan: Kami menyarankan agar Anda menginstal semua pembaruan terbaru dari Windows Update sebelum menginstal pembaruan kode mikro apa pun.

Pada 6 Agustus 2019 Intel merilis detail tentang kerentanan pengungkapan informasi kernel Windows. Kerentanan ini merupakan varian dari spektre Varian 1 spekulatif eksekusi sisi-saluran kerentanan dan telah ditetapkan CVE-2019-1125.

Pada 9 Juli 2019, kami merilis pembaruan keamanan untuk sistem operasi Windows untuk membantu mengurangi masalah ini. Harap diperhatikan bahwa kami menahan pendokumentasian mitigasi ini secara publik hingga pengungkapan industri terkoordinasi pada selasa, 6 Agustus 2019.

Pelanggan yang telah Windows Update diaktifkan dan telah menerapkan pembaruan keamanan yang dirilis pada 9 Juli 2019 dilindungi secara otomatis. Tidak ada konfigurasi lebih lanjut yang diperlukan.

Catatan: Kerentanan ini tidak memerlukan pembaruan kode mikro dari produsen perangkat Anda (OEM).

Untuk informasi selengkapnya tentang kerentanan ini dan pembaruan yang berlaku, lihat Panduan Pembaruan Keamanan Microsoft:

Pada 12 November 2019, Intel menerbitkan konsultasi teknis tentang Intel® Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability that is assigned CVE-2019-11135. Microsoft telah merilis pembaruan untuk membantu mengurangi kerentanan ini dan perlindungan OS diaktifkan secara default untuk Windows Server 2019 tetapi dinonaktifkan secara default untuk Windows Server 2016 dan edisi OS Windows Server yang lebih lama.

Pada tanggal 14 Juni 2022, kami menerbitkan ADV220002 | Panduan Microsoft tentang Kerentanan Data Mmio Prosesor Intel yang Basi dan menetapkan CV Ini: 

Tindakan yang disarankan

Anda harus melakukan tindakan berikut untuk membantu melindungi dari kerentanan:

  1. Terapkan semua pembaruan sistem operasi Windows yang tersedia, termasuk pembaruan keamanan Windows bulanan.

  2. Terapkan pembaruan firmware (microcode) yang berlaku yang disediakan oleh produsen perangkat.

  3. Evaluasi risiko terhadap lingkungan Anda berdasarkan informasi yang disediakan di Microsoft Security Advisories: ADV180002, ADV180012, ADV190013, dan ADV220002, selain informasi yang disediakan dalam artikel Pangkalan Pengetahuan ini.

  4. Lakukan tindakan sesuai keperluan menggunakan informasi kunci registri dan konsultan yang disediakan dalam artikel Pangkalan Pengetahuan ini.

Catatan: Pelanggan Surface akan menerima pembaruan kode mikro melalui Windows Update. Untuk daftar pembaruan firmware perangkat Surface (microcode) terbaru, lihat KB4073065.

Pengaturan mitigasi untuk Windows Server dan Azure Stack HCI

Penasihat keamanan ADV180002, ADV180012, ADV190013, dan ADV220002 menyediakan informasi tentang risiko yang ditimbulkan oleh kerentanan ini. Mereka juga membantu Anda mengidentifikasi kerentanan dan mengidentifikasi status default mitigasi untuk sistem Windows Server. Tabel di bawah ini merangkum persyaratan kode mikro CPU dan status default mitigasi di Windows Server.

CVE

Memerlukan kode mikro/firmware CPU?

Status Default Mitigasi

CVE-2017-5753

Tidak

Diaktifkan secara default (tidak ada opsi untuk menonaktifkan)

Silakan lihat ADV180002 untuk informasi tambahan

CVE-2017-5715

Ya

Dinonaktifkan secara default.

Silakan lihat ADV180002 untuk informasi tambahan dan artikel KB ini untuk pengaturan kunci registri yang berlaku.

Catatan "Retpoline" diaktifkan secara default untuk perangkat yang menjalankan Windows 10 1809 atau yang lebih baru jika Spectre Varian 2 (CVE-2017-5715) diaktifkan. Untuk informasi selengkapnya tentang "Retpoline", ikuti Mitigating Spectre varian 2 dengan Retpoline di posting blog Windows.

CVE-2017-5754

Tidak

Windows Server 2019, Windows Server 2022, dan Azure Stack HCI: Diaktifkan secara default.
Windows Server 2016 dan yang lebih lama: Dinonaktifkan secara default.

Silakan merujuk ke ADV180002 untuk informasi tambahan.

CVE-2018-3639

Intel: Ya

AMD: Tidak

Dinonaktifkan secara default. Lihat ADV180012 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku.

CVE-2018-11091

Intel: Ya

Windows Server 2019, Windows Server 2022, dan Azure Stack HCI: Diaktifkan secara default.
Windows Server 2016 dan yang lebih lama: Dinonaktifkan secara default.

Lihat ADV190013 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku.

CVE-2018-12126

Intel: Ya

Windows Server 2019, Windows Server 2022, dan Azure Stack HCI: Diaktifkan secara default.
Windows Server 2016 dan yang lebih lama: Dinonaktifkan secara default.

Lihat ADV190013 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku.

CVE-2018-12127

Intel: Ya

Windows Server 2019, Windows Server 2022, dan Azure Stack HCI: Diaktifkan secara default.
Windows Server 2016 dan yang lebih lama: Dinonaktifkan secara default.

Lihat ADV190013 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku.

CVE-2018-12130

Intel: Ya

Windows Server 2019, Windows Server 2022, dan Azure Stack HCI: Diaktifkan secara default.
Windows Server 2016 dan yang lebih lama: Dinonaktifkan secara default.

Lihat ADV190013 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku.

CVE-2019-11135

Intel: Ya

Windows Server 2019, Windows Server 2022, dan Azure Stack HCI: Diaktifkan secara default.
Windows Server 2016 dan yang lebih lama: Dinonaktifkan secara default.

Lihat CVE-2019-11135 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku.

CVE-2022-21123 (bagian dari MMIO ADV220002)

Intel: Ya

Windows Server 2019, Windows Server 2022, dan Azure Stack HCI: Diaktifkan secara default. 
Windows Server 2016 dan yang lebih lama: Dinonaktifkan secara default.* 

Lihat CVE-2022-21123 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku.

CVE-2022-21125 (bagian dari MMIO ADV220002)

Intel: Ya

Windows Server 2019, Windows Server 2022, dan Azure Stack HCI: Diaktifkan secara default. 
Windows Server 2016 dan yang lebih lama: Dinonaktifkan secara default.* 

Lihat CVE-2022-21125 untuk informasi selengkapnya.

CVE-2022-21127 (bagian dari MMIO ADV220002)

Intel: Ya

Windows Server 2019, Windows Server 2022, dan Azure Stack HCI: Diaktifkan secara default. 
Windows Server 2016 dan yang lebih lama: Dinonaktifkan secara default.* 

Lihat CVE-2022-21127 untuk informasi selengkapnya.

CVE-2022-21166 (bagian dari MMIO ADV220002)

Intel: Ya

Windows Server 2019, Windows Server 2022, dan Azure Stack HCI: Diaktifkan secara default. 
Windows Server 2016 dan yang lebih lama: Dinonaktifkan secara default.* 

Lihat CVE-2022-21166 untuk informasi selengkapnya.

CVE-2022-23825 (Amd CPU Branch Type Confusion)

AMD: Tidak

Lihat CVE-2022-23825 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku.

CVE-2022-23816 (Amd CPU Branch Type Confusion)

AMD: Tidak

Lihat CVE-2022-23816 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku.

*Ikuti panduan mitigasi untuk Meltdown di bawah ini.

Jika Anda ingin mendapatkan semua perlindungan yang tersedia terhadap kerentanan ini, Anda harus membuat perubahan kunci registri untuk mengaktifkan mitigasi ini yang dinonaktifkan secara default.

Mengaktifkan mitigasi ini dapat memengaruhi kinerja. Skala efek kinerja bergantung pada beberapa faktor, seperti chipset tertentu dalam host fisik Anda dan beban kerja yang berjalan. Kami menyarankan agar Anda menilai efek kinerja untuk lingkungan Anda dan melakukan penyesuaian yang diperlukan.

Server Anda berisiko meningkat jika berada dalam salah satu kategori berikut:

  • Host Hyper-V: Memerlukan perlindungan untuk serangan VM-to-VM dan VM-to-host.

  • Host Layanan Desktop Jarak Jauh (RDSH): Memerlukan perlindungan dari satu sesi ke sesi lain atau dari serangan sesi-ke-host.

  • Host fisik atau mesin virtual yang menjalankan kode yang tidak tepercaya, seperti kontainer atau ekstensi yang tidak tepercaya untuk database, konten web yang tidak tepercaya, atau beban kerja yang menjalankan kode yang berasal dari sumber eksternal. Ini memerlukan perlindungan dari proses yang tidak tepercaya ke proses lain atau serangan proses-ke-kernel yang tidak tepercaya.

Gunakan pengaturan kunci registri berikut ini untuk mengaktifkan mitigasi pada server, dan mulai ulang perangkat agar perubahan dapat diterapkan.

Catatan: Secara default, mengaktifkan mitigasi yang nonaktif dapat memengaruhi kinerja. Efek kinerja aktual bergantung pada beberapa faktor, seperti chipset tertentu dalam perangkat dan beban kerja yang berjalan.

Pengaturan registri

Penting: Kami menyediakan informasi registri berikut untuk mengaktifkan mitigasi yang tidak diaktifkan secara default, seperti yang didokumentasikan dalam Penasihat Keamanan ADV180002, ADV180012, ADV190013, dan ADV220002.

Selain itu, kami menyediakan pengaturan kunci registri jika Anda ingin menonaktifkan mitigasi yang terkait dengan CVE-2017-5715 dan CVE-2017-5754 untuk klien Windows.

Penting: Bagian, metode, atau tugas ini berisi langkah-langkah yang memberi tahu Anda untuk memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum memodifikasinya. Lalu, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi selengkapnya tentang cara mencadangkan dan memulihkan registri, klik nomor artikel berikut ini untuk menampilkan artikel di Microsoft Pangkalan Pengetahuan:

322756 Cara mencadangkan dan memulihkan registri di Windows

Penting: Secara default, Retpoline diaktifkan di Windows 10, versi 1809 server jika Spectre, Varian 2 (CVE-2017-5715) diaktifkan. Mengaktifkan Retpoline pada versi terbaru Windows 10 dapat meningkatkan kinerja pada server yang menjalankan Windows 10, versi 1809 untuk Spectre varian 2, khususnya pada prosesor lama.

Untuk mengaktifkan mitigasi untuk CVE-2017-5715 (Spectre Varian 2) dan CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jika fitur Hyper-V diinstal, tambahkan pengaturan registri berikut:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jika ini adalah host Hyper-V dan pembaruan firmware telah diterapkan: Matikan semua Virtual Machines. Hal ini memungkinkan mitigasi terkait firmware diterapkan pada host sebelum VM dimulai. Oleh karena itu, VM juga diperbarui saat VM dimulai ulang.

Mulai ulang perangkat agar perubahan dapat diterapkan.

Untuk menonaktifkan mitigasi untuk CVE-2017-5715 (Spectre Varian 2) dan CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Mulai ulang perangkat agar perubahan dapat diterapkan.

Catatan: Pengaturan FeatureSettingsOverrideMask ke 3 akurat untuk pengaturan "aktifkan" dan "nonaktifkan". (Lihat bagian "FAQ " untuk detail selengkapnya tentang kunci registri.)

Untuk menonaktifkan Varian 2: (CVE-2017-5715  "Branch Target Injection") mitigasi:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Mulai ulang perangkat agar perubahan dapat diterapkan.

Untuk mengaktifkan mitigasi Varian 2: (CVE-2017-5715"Injeksi Target Cabang"):   

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Mulai ulang perangkat agar perubahan dapat diterapkan.

Secara default, perlindungan pengguna ke kernel untuk CVE-2017-5715 dinonaktifkan untuk CPU AMD. Pelanggan harus mengaktifkan mitigasi untuk menerima perlindungan tambahan untuk CVE-2017-5715.  Untuk informasi selengkapnya, lihat FAQ #15 di ADV180002.

Aktifkan perlindungan user-to-kernel pada prosesor AMD bersama dengan perlindungan lain untuk CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jika fitur Hyper-V diinstal, tambahkan pengaturan registri berikut:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jika ini adalah host Hyper-V dan pembaruan firmware telah diterapkan: Matikan semua Virtual Machines. Hal ini memungkinkan mitigasi terkait firmware diterapkan pada host sebelum VM dimulai. Oleh karena itu, VM juga diperbarui saat VM dimulai ulang.

Mulai ulang perangkat agar perubahan dapat diterapkan.

Untuk mengaktifkan mitigasi untuk CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Varian 2), dan CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jika fitur Hyper-V diinstal, tambahkan pengaturan registri berikut:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jika ini adalah host Hyper-V dan pembaruan firmware telah diterapkan: Matikan semua Virtual Machines. Hal ini memungkinkan mitigasi terkait firmware diterapkan pada host sebelum VM dimulai. Oleh karena itu, VM juga diperbarui saat VM dimulai ulang.

Mulai ulang perangkat agar perubahan dapat diterapkan.

Untuk menonaktifkan mitigasi CVE-2018-3639 (Speculative Store Bypass) DAN mitigasi CVE-2017-5715 (Spectre Varian 2) dan CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Mulai ulang perangkat agar perubahan dapat diterapkan.

Secara default, perlindungan user-to-kernel untuk CVE-2017-5715 dinonaktifkan untuk prosesor AMD. Pelanggan harus mengaktifkan mitigasi untuk menerima perlindungan tambahan untuk CVE-2017-5715.  Untuk informasi selengkapnya, lihat FAQ #15 di ADV180002.

Memungkinkan perlindungan pengguna-ke-kernel pada prosesor AMD bersama dengan perlindungan lain untuk CVE 2017-5715 dan perlindungan untuk CVE-2018-3639 (Bypass Store Spekulatif):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jika fitur Hyper-V diinstal, tambahkan pengaturan registri berikut:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jika ini adalah host Hyper-V dan pembaruan firmware telah diterapkan: Matikan semua Virtual Machines. Hal ini memungkinkan mitigasi terkait firmware diterapkan pada host sebelum VM dimulai. Oleh karena itu, VM juga diperbarui saat VM dimulai ulang.

Mulai ulang perangkat agar perubahan dapat diterapkan.

Untuk mengaktifkan mitigasi untuk Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) dan Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) bersama dengan Spectre [CVE-2017-5753 & CVE-2017-5715] dan Mel varian [CVE-2017-5754], termasuk Speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ] sebagai serta L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620, dan CVE-2018-3646] tanpa menonaktifkan Hyper-Threading:

reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jika fitur Hyper-V diinstal, tambahkan pengaturan registri berikut:

reg tambahkan "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jika ini adalah host Hyper-V dan pembaruan firmware telah diterapkan: Matikan semua Virtual Machines. Hal ini memungkinkan mitigasi terkait firmware diterapkan pada host sebelum VM dimulai. Oleh karena itu, VM juga diperbarui saat VM dimulai ulang.

Mulai ulang perangkat agar perubahan dapat diterapkan.

Untuk mengaktifkan mitigasi untuk Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) dan Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) bersama dengan Spectre [ CVE-2017-5753 & CVE-2017-5715 ] dan Mel [CVE-2017-5754 ] varian, termasuk Speculative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] sebagai serta L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620, dan CVE-2018-3646 ] dengan Hyper-Threading dinonaktifkan:

reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jika fitur Hyper-V diinstal, tambahkan pengaturan registri berikut:

reg tambahkan "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jika ini adalah host Hyper-V dan pembaruan firmware telah diterapkan: Matikan semua Virtual Machines. Hal ini memungkinkan mitigasi terkait firmware diterapkan pada host sebelum VM dimulai. Oleh karena itu, VM juga diperbarui saat VM dimulai ulang.

Mulai ulang perangkat agar perubahan dapat diterapkan.

Untuk menonaktifkan mitigasi untuk Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) dan Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) bersama dengan Spectre [ CVE-2017-5753 & CVE-2017-5715 ] dan Mel [CVE-2017-5754 ] varian, termasuk Speculative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] sebagai serta L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620, dan CVE-2018-3646 ]:

reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Mulai ulang perangkat agar perubahan dapat diterapkan.

Aktifkan perlindungan user-to-kernel pada prosesor AMD:

reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Agar sepenuhnya terlindungi, pelanggan mungkin juga perlu menonaktifkan Hyper-Threading (juga dikenal sebagai Simultaneous Multi Threading (SMT)). Silakan lihat KB4073757untuk panduan tentang melindungi perangkat Windows.

Memverifikasi bahwa proteksi diaktifkan

Untuk membantu memverifikasi bahwa proteksi diaktifkan, kami telah menerbitkan skrip PowerShell yang dapat Anda jalankan di perangkat Anda. Instal dan jalankan skrip dengan menggunakan salah satu metode berikut.

Instal Modul PowerShell:

PS> Install-Module SpeculationControl

Jalankan modul PowerShell untuk memverifikasi bahwa proteksi diaktifkan:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Instal modul PowerShell dari Technet ScriptCenter:

  1. Masuk ke https://aka.ms/SpeculationControlPS .

  2. Unduh SpeculationControl.zip ke folder lokal.

  3. Ekstrak konten ke folder lokal. Misalnya: C:\ADV180002

Jalankan modul PowerShell untuk memverifikasi bahwa proteksi diaktifkan:

Mulai PowerShell, lalu gunakan contoh sebelumnya untuk menyalin dan menjalankan perintah berikut:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Untuk penjelasan mendetail tentang output skrip PowerShell, lihat KB4074629

Pertanyaan umum

Untuk membantu menghindari dampak buruk pada perangkat pelanggan, pembaruan keamanan Windows yang dirilis pada Bulan Januari dan Februari 2018 tidak ditawarkan kepada semua pelanggan. Untuk detailnya, lihat KB407269 .

Kode mikro dikirimkan melalui pembaruan firmware. Hubungi OEM Anda tentang versi firmware yang memiliki pembaruan yang sesuai untuk komputer Anda.

Ada beberapa variabel yang memengaruhi kinerja, mulai dari versi sistem hingga beban kerja yang berjalan. Untuk beberapa sistem, efek kinerja akan diabaikan. Untuk orang lain, itu akan sangat penting.

Kami menyarankan agar Anda menilai efek kinerja pada sistem Anda dan melakukan penyesuaian seperlunya.

Selain panduan yang ada dalam artikel ini mengenai mesin virtual, Anda harus menghubungi penyedia layanan Anda untuk memastikan bahwa host yang menjalankan mesin virtual Anda dilindungi secara memadai.

Untuk mesin virtual Windows Server yang berjalan di Azure, lihat Panduan untuk memitigasi kerentanan saluran sisi eksekusi spekulatif di Azure . Untuk panduan tentang menggunakan Manajemen Pembaruan Azure untuk mengurangi masalah ini pada VM tamu, lihat KB4077467.

Pembaruan yang dirilis untuk gambar wadah Windows Server untuk Windows Server 2016 dan Windows 10, versi 1709 menyertakan mitigasi untuk rangkaian kerentanan ini. Tidak diperlukan konfigurasi tambahan.

Catatan Anda harus tetap memastikan bahwa host yang menjalankan kontainer ini dikonfigurasi untuk mengaktifkan mitigasi yang sesuai.

Tidak, pesanan instalasi tidak masalah.

Ya, Anda harus memulai ulang setelah pembaruan firmware (kode mikro) lalu lagi setelah pembaruan sistem.

Berikut adalah detail untuk kunci registri:

FeatureSettingsOverride mewakili bitmap yang menimpa pengaturan default dan kontrol mitigasi mana yang akan dinonaktifkan. Bit 0 mengontrol mitigasi yang terkait dengan CVE-2017-5715. Bit 1 mengontrol mitigasi yang terkait dengan CVE-2017-5754. Bit diatur ke 0 untuk mengaktifkan mitigasi dan ke 1 untuk menonaktifkan mitigasi.

FeatureSettingsOverrideMask mewakili masker bitmap yang digunakan bersama dengan FeatureSettingsOverride.  Dalam situasi ini, kami menggunakan nilai 3 (dinyatakan sebagai 11 dalam sistem angka biner atau basis-2) untuk menunjukkan dua bit pertama yang sesuai dengan mitigasi yang tersedia. Kunci registri ini diatur ke 3 untuk mengaktifkan atau menonaktifkan mitigasi.

MinVmVersionForCpuBasedMitigations adalah untuk host Hyper-V. Kunci registri ini menentukan versi VM minimum yang diperlukan agar Anda dapat menggunakan kapabilitas firmware yang diperbarui (CVE-2017-5715). Atur ini ke 1.0 untuk mencakup semua versi VM. Perhatikan bahwa nilai registri ini akan diabaikan (jinak) pada host non-Hyper-V. Untuk detail selengkapnya, lihat Melindungi mesin virtual tamu dari CVE-2017-5715 (injeksi target cabang).

Ya, tidak ada efek samping jika pengaturan registri ini diterapkan sebelum menginstal perbaikan terkait Januari 2018.

Lihat deskripsi mendetail tentang output skrip di KB4074629: Memahami Output skrip SpeculationControl PowerShell .

Ya, untuk host Hyper-V Windows Server 2016 yang belum memiliki pembaruan firmware yang tersedia, kami telah menerbitkan panduan alternatif yang dapat membantu mengurangi VM ke VM atau VM untuk menghosting serangan. Lihat Perlindungan alternatif untuk Host Hyper-V Windows Server 2016 terhadap kerentanan saluran sisi eksekusi spekulatif .

Pembaruan keamanan saja tidak bersifat kumulatif. Tergantung pada versi sistem operasi, Anda mungkin perlu menginstal beberapa pembaruan keamanan untuk perlindungan penuh. Secara umum, pelanggan perlu menginstal pembaruan Januari, Februari, Maret, dan April 2018. Sistem yang memiliki prosesor AMD memerlukan pembaruan tambahan seperti yang diperlihatkan dalam tabel berikut:

Versi Sistem Operasi

Pembaruan Keamanan

Windows 8.1, Windows Server 2012 R2

KB4338815 - Rollup Bulanan

KB4338824- Keamanan-saja

Windows 7 SP1, Windows Server 2008 R2 SP1, atau Windows Server 2008 R2 SP1 (instalasi Server Core)

KB4284826 - Rollup Bulanan

KB4284867 - Hanya Keamanan

Windows Server 2008 SP2

KB4340583 - Pembaruan Keamanan

Kami menyarankan agar Anda menginstal pembaruan Keamanan saja dalam urutan rilis.

Catatan: Versi faq yang lebih lama ini secara tidak benar menyatakan bahwa pembaruan khusus Keamanan bulan Februari menyertakan perbaikan keamanan yang dirilis pada bulan Januari. Bahkan, tidak.

Tidak. Pembaruan keamanan KB4078130 adalah perbaikan khusus untuk mencegah perilaku sistem yang tidak terduga, masalah kinerja, dan mulai ulang yang tidak diharapkan setelah penginstalan kode mikro. Menerapkan pembaruan keamanan pada sistem operasi klien Windows memungkinkan ketiga mitigasi. Pada sistem operasi Windows Server, Anda masih harus mengaktifkan mitigasi setelah Anda melakukan pengujian yang tepat. Untuk informasi selengkapnya, lihat KB4072698.

Masalah ini telah diatasi di KB4093118.

Pada Februari 2018, Intel mengumumkan bahwa mereka telah menyelesaikan validasi mereka dan mulai merilis kode mikro untuk platform CPU yang lebih baru. Microsoft menyediakan pembaruan kode mikro tervalidasi Intel yang menyangkut Varian Spectre 2 Spectre Varian 2 (CVE-2017-5715 | Injeksi Target Cabang). KB4093836 mencantumkan artikel Pangkalan Pengetahuan tertentu menurut versi Windows. Setiap artikel KB tertentu berisi pembaruan kode mikro Intel yang tersedia oleh CPU.

Pada 11 Januari 2018,  Intel melaporkan masalah dalam mikrokode yang baru dirilis yang dimaksudkan untuk mengatasi Spectre varian 2 (CVE-2017-5715 | Injeksi Target Cabang). Secara khusus, Intel mencatat bahwa kode mikro ini dapat menyebabkan "reboot yang lebih tinggi dari yang diharapkan dan perilaku sistem tak terduga lainnya" dan bahwa skenario ini dapat menyebabkan "hilangnya data atau kerusakan." Pengalaman kami adalah ketidakstabilan sistem dapat menyebabkan hilangnya data atau kerusakan dalam beberapa situasi. Pada 22 Januari, Intel menyarankan agar pelanggan berhenti menyebarkan versi kode mikro saat ini pada prosesor yang terpengaruh sementara Intel melakukan pengujian tambahan pada solusi yang diperbarui. Kami memahami bahwa Intel terus menyelidiki potensi efek dari versi kode mikro saat ini. Kami mendorong pelanggan untuk meninjau panduan mereka secara berkelanjutan untuk menginformasikan keputusan mereka.

Saat Intel menguji, memperbarui, dan menyebarkan kode mikro baru, kami menyediakan pembaruan out-of-band (OOB), KB4078130, yang secara khusus menonaktifkan mitigasi terhadap CVE-2017-5715. Dalam pengujian kami, pembaruan ini ditemukan untuk mencegah perilaku yang dijelaskan. Untuk daftar lengkap perangkat, lihat panduan revisi kode mikro dari Intel. Pembaruan ini mencakup Windows 7 Service Pack 1 (SP1), Windows 8.1, dan semua versi Windows 10, baik klien maupun server. Jika Anda menjalankan perangkat yang terpengaruh, pembaruan ini dapat diterapkan dengan mengunduhnya dari situs web Katalog Pembaruan Microsoft. Aplikasi muatan ini secara khusus hanya menonaktifkan mitigasi terhadap CVE-2017-5715.

Pada saat ini, tidak ada laporan yang diketahui yang menunjukkan bahwa Varian Spectre 2 ini (CVE-2017-5715 - "Injeksi Target Cabang") telah digunakan untuk menyerang pelanggan. Kami menyarankan agar, jika diperlukan, pengguna Windows dapat memperbanyak mitigasi terhadap CVE-2017-5715 ketika Intel melaporkan bahwa perilaku sistem yang tidak dapat diprediksi ini telah diatasi untuk perangkat Anda.

Pada Februari 2018, Intelmengumumkan bahwa mereka telah menyelesaikan validasi mereka dan mulai merilis kode mikro untuk platform CPU yang lebih baru. Microsoft menyediakan pembaruan kode mikro intel yang terkait dengan Spectre Varian 2 Spectre Varian 2 (CVE-2017-5715 | Injeksi Target Cabang). KB4093836 mencantumkan artikel Pangkalan Pengetahuan tertentu menurut versi Windows. Daftar KB tersedia pembaruan kode mikro Intel oleh CPU.

Untuk informasi selengkapnya, lihat Updates Keamanan AMD dan Whitepaper AMD: Panduan Arsitektur di sekitar Kontrol Cabang Tidak Langsung . Ini tersedia dari saluran firmware OEM.

Kami menyediakan pembaruan mikrokode yang divalidasi Intel yang menyangkut Spectre Varian 2 (CVE-2017-5715 – "Injeksi Target Cabang "). Untuk mendapatkan pembaruan kode mikro Intel terbaru melalui Windows Update, pelanggan harus telah menginstal kode mikro Intel pada perangkat yang menjalankan sistem operasi Windows 10 sebelum memutakhirkan ke pembaruan Windows 10 April 2018 (versi 1803).

Pembaruan kode mikro juga tersedia secara langsung dari Katalog Pembaruan Microsoft jika tidak diinstal di perangkat sebelum memutakhirkan sistem. Kode mikro Intel tersedia melalui Windows Update, Windows Server Update Services (WSUS), atau Katalog Pembaruan Microsoft. Untuk informasi selengkapnya dan instruksi pengunduhan, lihat KB4100347.

Lihat bagian "Tindakan yang direkomendasikan" dan "FAQ" adv180012  | Panduan Microsoft untuk Bypass Bursa Spekulatif.

Untuk memverifikasi status SSBD, skrip Get-SpeculationControlSettings PowerShell telah diperbarui untuk mendeteksi prosesor yang terpengaruh, status pembaruan sistem operasi SSBD, dan status kode mikro prosesor, jika berlaku. Untuk informasi selengkapnya dan untuk mendapatkan skrip PowerShell, lihat KB4074629.

Pada 13 Juni 2018, kerentanan tambahan yang melibatkan eksekusi spekulatif saluran sisi, yang dikenal sebagai Pemulihan Negara FP Malas, diumumkan dan ditetapkan CVE-2018-3665 . Untuk informasi tentang kerentanan dan tindakan yang direkomendasikan ini, lihat | Penasihat Keamanan ADV180016 Panduan Microsoft untuk Pemulihan Status FP Malas .

Note Tidak ada pengaturan konfigurasi (registri) yang diperlukan untuk Pemulihan FP Malas.

Bounds Check Bypass Store (BCBS) diungkapkan pada 10 Juli 2018, dan ditetapkan CVE-2018-3693. Kami menganggap BCBS termasuk dalam kelas kerentanan yang sama dengan Bypass Pemeriksaan Batas (Varian 1). Saat ini kami belum mengetahui contoh BCBS dalam perangkat lunak kami. Namun, kami terus meneliti kelas kerentanan ini dan akan bekerja dengan mitra industri untuk merilis mitigasi sesuai kebutuhan. Kami mendorong peneliti untuk mengirimkan temuan yang relevan ke program hadiah Saluran Sisi Eksekusi Spekulatif Microsoft, termasuk setiap contoh BCBS yang dapat dieksploitasi. Pengembang perangkat lunak harus meninjau panduan pengembang yang telah diperbarui untuk BCBS di C++ Panduan Pengembang untuk Saluran Sisi Eksekusi Spekulatif 

Pada 14 Agustus 2018, L1 Terminal Fault (L1TF) diumumkan dan ditetapkan beberapa CVEs. Kerentanan saluran sisi spekulatif baru ini dapat digunakan untuk membaca konten memori di seluruh batas tepercaya dan, jika dieksploitasi, dapat menyebabkan pengungkapan informasi. Ada beberapa vektor di mana penyerang bisa memicu kerentanan, tergantung pada lingkungan yang dikonfigurasi. L1TF memengaruhi prosesor Intel® Core® dan prosesor Intel® Xeon®.

Untuk informasi selengkapnya tentang kerentanan ini dan tampilan mendetail skenario yang terpengaruh, termasuk pendekatan Microsoft untuk memitigasi L1TF, lihat sumber daya berikut ini:

Langkah-langkah untuk menonaktifkan Hyper-Threading berbeda dari OEM ke OEM tetapi umumnya merupakan bagian dari alat konfigurasi dan penyiapan bios atau firmware.

Pelanggan yang menggunakan prosesor ARM 64-bit harus menghubungi OEM perangkat untuk dukungan firmware karena perlindungan sistem operasi ARM64 yang mengurangi CVE-2017-5715 | Injeksi target cabang (Spectre, Varian 2) memerlukan pembaruan firmware terbaru dari OEM perangkat agar dapat diterapkan.

Untuk informasi selengkapnya tentang pemberdayaan Retpoline, lihat postingan blog kami: Mitigasi Spectre varian 2 dengan Retpoline di Windows .

Untuk detail tentang kerentanan ini, lihat Panduan Keamanan Microsoft: | CVE-2019-1125 Kerentanan Pengungkapan Informasi Kernel Windows.

Kami tidak menyadari adanya kerentanan pengungkapan informasi ini yang memengaruhi infrastruktur layanan cloud kami.

Segera setelah kami menyadari masalah ini, kami bekerja cepat untuk mengatasinya dan merilis pembaruan. Kami sangat percaya pada kemitraan yang erat dengan peneliti dan mitra industri untuk membuat pelanggan lebih aman, dan tidak menerbitkan detail hingga Selasa, 6 Agustus, konsisten dengan praktik pengungkapan kerentanan terkoordinasi.

Referensi

Kami menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak yang tertera dapat berubah sewaktu-waktu. Kami tidak menjamin keakuratan informasi kontak pihak ketiga ini.

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?

Terima kasih atas umpan balik Anda!

×