Linee guida per i client Windows per i professionisti IT per la protezione contro le vulnerabilità del canale laterale di esecuzione speculativa

Si applica a: Windows 10, version 1903Windows 10, version 1809Windows 10, version 1803

Riepilogo


Microsoft è a conoscenza di una nuova classe divulgata pubblicamente di vulnerabilità che vengono chiamati "attacchi di canale laterale di esecuzione speculativa" e che interessano molti processori moderni tra cui Intel, AMD, VIA e ARM.

Nota: Questo problema riguarda anche altri sistemi operativi, ad esempio Android, Chrome, iOS e macOS. Pertanto, consigliamo ai clienti di richiedere assistenza a tali fornitori.

Abbiamo rilasciato diversi aggiornamenti per contribuire a mitigare queste vulnerabilità. Abbiamo anche preso provvedimenti per proteggere i nostri servizi cloud. Per ulteriori dettagli, vedere le sezioni seguenti.

Non abbiamo ancora ricevuto alcuna informazione per indicare che queste vulnerabilità sono state utilizzate per attaccare i clienti. Stiamo lavorando a stretto contatto con partner del settore, tra cui produttori di chip, OEM hardware e fornitori di applicazioni per proteggere i clienti. Per ottenere tutte le protezioni disponibili, sono necessari aggiornamenti del firmware (microcodice) e del software. Ciò include microcodice dagli OEM del dispositivo e, in alcuni casi, aggiornamenti al software antivirus.

In questo articolo vengono illustrate le seguenti vulnerabilità:

Windows Update fornirà anche internet Explorer ed Edge mitigations. Continueremo a migliorare queste attenuazioni contro questa classe di vulnerabilità.

Per ulteriori informazioni su questa classe di vulnerabilità, vedere

AGGIORNAMENTO ON 14 maggio 2019 Il 14 maggio 2019, Intel ha pubblicato informazioni su una nuova sottoclasse di vulnerabilità del canale laterale di esecuzione speculativa note come Microarchitectural Data Sampling. Sono state assegnate le seguenti CME:

Importante Questi problemi interesseranno altri sistemi come Android, Chrome, iOS e MacOS. Consigliamo ai clienti di cercare assistenza dai rispettivi fornitori.

Abbiamo rilasciato aggiornamenti per contribuire a mitigare queste vulnerabilità. Per ottenere tutte le protezioni disponibili, sono necessari aggiornamenti del firmware (microcodice) e del software. Questo può includere microcodice dagli OEM del dispositivo. In alcuni casi, l'installazione di questi aggiornamenti avrà un impatto sulle prestazioni. Abbiamo anche agito per proteggere i nostri servizi cloud. È consigliabile distribuire questi aggiornamenti.

Per ulteriori informazioni su questo problema, vedere i seguenti avvisi sulla sicurezza e utilizzare le linee guida basate su scenari per determinare le azioni necessarie per ridurre la minaccia:

Nota: Si consiglia di installare tutti gli aggiornamenti più recenti da Windows Update prima di installare eventuali aggiornamenti di microcodice.

UPDATED ON AUGUST 6, 2019 Il 6 agosto 2019 Intel ha rilasciato dettagli su una vulnerabilità di divulgazione delle informazioni sul kernel di Windows. Questa vulnerabilità è una variante della vulnerabilità del canale lato esecuzione speculativa Spectre Variant 1 ed è stato assegnato CVE-2019-1125.

Il 9 luglio 2019 abbiamo rilasciato gli aggiornamenti della sicurezza per il sistema operativo Windows per contribuire a mitigare questo problema. Si prega di notare che abbiamo trattenuto la documentazione di questa mitigazione pubblicamente fino alla divulgazione coordinata del settore di martedì 6 agosto 2019.

I clienti che hanno attivato Windows Update e hanno applicato gli aggiornamenti della sicurezza rilasciati il 9 luglio 2019 sono protetti automaticamente. Non è necessaria alcuna ulteriore configurazione.

Nota: Questa vulnerabilità non richiede un aggiornamento microcodice dal produttore del dispositivo (OEM).

Per ulteriori informazioni su questa vulnerabilità e sugli aggiornamenti applicabili, vedere la Guida all'aggiornamento della protezione Microsoft:

CVE-2019-1125 Vulnerabilitàdi divulgazione delle informazioni sul kernel di Windows .

AGGIORNATO su NOVEMBER 12, 2019 Il 12 novembre 2019, Intel ha pubblicato un advisory tecnico su Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asincron e sit vulnerability that is assigned CVE-2019-11135. Microsoft ha rilasciato aggiornamenti per ridurre questa vulnerabilità e le protezioni del sistema operativo sono abilitate per impostazione predefinita per le edizioni del sistema operativo client Windows.

Azioni consigliate


I clienti devono intraprendere le seguenti azioni per proteggere contro le vulnerabilità:

  1. Applicare tutti gli aggiornamenti del sistema operativo Windows disponibili, inclusi gli aggiornamenti mensili della sicurezza di Windows.
  2. Applicare l'aggiornamento del firmware (microcodice) applicabile fornito dal produttore del dispositivo.
  3. Valutare il rischio per l'ambiente in base alle informazioni fornite negli avvisi di microsoft protezione: ADV180002, ADV180012, ADV190013 e le informazioni fornite in questo articolo della Knowledge Base.
  4. Intervenire in base alle esigenze utilizzando gli avvisi e le informazioni sulle chiavi del Registro di sistema forniti in questo articolo della Knowledge Base.

Nota: I clienti Surface riceveranno un aggiornamento del microcodice tramite l'aggiornamento di Windows. Per un elenco dei più recenti aggiornamenti disponibili nel firmware del dispositivo Surface (microcodice), vedere KB 4073065.

Impostazioni di attenuazione per i client WindowsMitigation settings for Windows clients


Gli avvisi di sicurezza ADV180002, ADV180012e ADV190013 forniscono informazioni sul rischio rappresentato da queste vulnerabilità e consentono di identificare lo stato predefinito delle attenuazioni per i sistemi client Windows. Nella tabella seguente sono riepilogati i requisiti del microcodice della CPU e lo stato predefinito delle attenuazioni nei client Windows.

Cve

Richiede microcodice/firmware della CPU?

Mitigazione Stato predefinito

CVE-2017-5753

No

Abilitato per impostazione predefinita (nessuna opzione da disabilitare)

Fare riferimento a ADV180002 per ulteriori informazioni.

CVE-2017-5715

Abilitato per impostazione predefinita. Gli utenti di sistemi basati su processori AMD dovrebbero vedere FAQ #15 e gli utenti di processori ARM dovrebbero vedere FAQ #20 su ADV180002 per ulteriori azioni e questo articolo della Knowledge Base per le impostazioni della chiave del Registro di sistema applicabile.

Nota: "Retpoline" è abilitato per impostazione predefinita per i dispositivi che eseguono Windows 10 1809 o più recente se Spectre Variant 2 (CVE-2017-5715) è abilitato. Per ulteriori informazioni, intorno a "Retpoline", seguire le indicazioni nelMitigating Spectre variant 2 con Retpoline sul post di blog di Retpoline su Windows.

CVE-2017-5754

No

Abilitato per impostazione predefinita

Fare riferimento a ADV180002 per ulteriori informazioni.

CVE-2018-3639

Intel: Sì AMD: No ARM: Sì

Intel e AMD: disattivati per impostazione predefinita. Vedere ADV180012 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili.

ARM: Abilitato per impostazione predefinita senza opzione da disabilitare.

CVE-2018-11091 Intel: Sì

Abilitato per impostazione predefinita.

Vedere ADV190013 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili.
CVE-2018-12126 Intel: Sì

Abilitato per impostazione predefinita.

Vedere ADV190013 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili.
CVE-2018-12127 Intel: Sì

Abilitato per impostazione predefinita.

Vedere ADV190013 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili.
CVE-2018-12130 Intel: Sì

Abilitato per impostazione predefinita.

Vedere ADV190013 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili.
CVE-2019-11135 Intel: Sì

Abilitato per impostazione predefinita.

Vedere CVE-2019-11135 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili.

Nota: L'abilitazione delle attenuazioni disattivate per impostazione predefinita può influire sulle prestazioni. L'effetto effettivo delle prestazioni dipende da più fattori, ad esempio il chipset specifico nel dispositivo e i carichi di lavoro in esecuzione.

Impostazioni del Registro di sistema


Stiamo fornendo le seguenti informazioni del Registro di sistema per abilitare le attenuazioni che non sono abilitate per impostazione predefinita, come documentato in Security Advisories ADV180002 e ADV180012. Inoltre, vengono fornite le impostazioni della chiave del Registro di sistema per gli utenti che desiderano disabilitare le attenuazioni correlate a CVE-2017-5715 e CVE-2017-5754 per i client Windows.

Importante Questa sezione, metodo o attività contiene passaggi che indicano come modificare il Registro di sistema. Tuttavia, se si modifica il Registro di sistema in modo non corretto, potrebbero verificarsi problemi gravi. Pertanto, assicurarsi di seguire questi passaggi con attenzione. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Quindi, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, vedere il seguente articolo della Microsoft Knowledge Base:

322756 come eseguire il backup e ripristinare il Registro di sistema in Windows

Gestire le attenuazioni per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)


Nota importante Retpoline è abilitato per impostazione predefinita nei dispositivi Windows 10, versione 1809 se Spectre, Variant2 (CVE-2017-5715) è abilitato. L'abilitazione di Retpoline sull'ultima versione di Windows 10 può migliorare le prestazioni sui dispositivi che eseguono Windows 10, versione 1809 per la variante 2 di Spectre, in particolare sui processori meno recenti.

Per abilitare le attenuazioni predefinite per CVE-2017-5715 (Variante 2) e CVE-2017-5754 (Meltdown)

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer per rendere effettive le modifiche.

Per disabilitare le attenuazioni per CVE-2017-5715 (Variante Spectre 2) e CVE-2017-5754 (Meltdown)

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer per rendere effettive le modifiche.

Nota: Il valore 3 è accurato per FeatureSettingsOverrideMask per entrambe le impostazioni "enable" e "disable". (Vedere la sezione "FAQ" per ulteriori dettagli sulle chiavi del Registro di sistema.)

Gestire la mitigazione per CVE-2017-5715 (Variante Spectre 2)


Per disattivare le attenuazioni per CVE-2017-5715 (Variante Spectre 2):

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer per rendere effettive le modifiche.

Per abilitare le attenuazioni predefinite per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown):

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer per rendere effettive le modifiche.

Solo processori AMD e ARM: attiva la mitigazione completa per CVE-2017-5715 (Variante 2)


Per impostazione predefinita, la protezione da utente a kernel per CVE-2017-5715 è disabilitata per le CPU AMD e ARM. I clienti devono abilitare la mitigazione per ricevere protezioni aggiuntive per CVE-2017-5715. Per altre informazioni, vedere domande frequenti #15 in ADV180002 per processori AMD e domande frequenti #20 in ADV180002 per processori ARM.

Abilitare la protezione da utente a kernel sui processori AMD e ARM insieme ad altre protezioni per CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer per rendere effettive le modifiche.

Gestire le attenuazioni per CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)


Per abilitare le attenuazioni per CVE-2018-3639 (Speculative Store Bypass), mitigazioni predefinite per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer per rendere effettive le modifiche.

Nota: I processori AMD non sono vulnerabili a CVE-2017-5754 (Meltdown). Questa chiave del Registro di sistema viene utilizzata nei sistemi con processori AMD per abilitare le attenuazioni predefinite per CVE-2017-5715 sui processori AMD e la mitigazione per CVE-2018-3639.

Per disabilitare le attenuazioni per CVE-2018-3639 (Speculative Store Bypass) e per le mitigazioni CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer per rendere effettive le modifiche.

Solo processori AMD: abilita la mitigazione completa per CVE-2017-5715 (Spectre Variant 2) e CVE 2018-3639 (Speculative Store Bypass)


Per impostazione predefinita, la protezione da utente a kernel per CVE-2017-5715 è disabilitata per i processori AMD. I clienti devono abilitare la mitigazione per ricevere protezioni aggiuntive per CVE-2017-5715.  Per ulteriori informazioni, vedere Domande frequenti #15 in ADV180002.

Abilitare la protezione da utente a kernel sui processori AMD insieme ad altre protezioni per CVE 2017-5715 e protezioni per CVE-2018-3639 (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer per rendere effettive le modifiche.

Gestire Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) e Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) insieme a Spectre (CVE-2017-5753 & CVE-2017-5715) e Meltdown (CVE-2017-5754), tra cui Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) e L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646)


Per abilitare le attenuazioni per Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability(CVE-2019-11135) e Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2 0018-12127, CVE-2018-12130) insieme aSpectre (CVE-2017-5753 & CVE-2017-5715) e Meltdown (CVE-2017-5754) varianti, tra cui Speculative Store Bypass Disable (SSBD) ( CVE-2018-3639) e L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646) senza disabilitare Hyper-Threading:

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM , CurrentControlSet , Control , Gestione della memoria , Gestione della memoria " /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se è installata la funzionalità Hyper-V, aggiungere la seguente impostazione del Registro di sistema:

reg aggiungere "HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion " /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se si tratta di un host Hyper-V e sono stati applicati gli aggiornamenti del firmware: Arrestare completamente tutte le macchine virtuali. In questo modo l'attenuazione correlata al firmware da applicare all'host prima dell'avvio delle macchine virtuali. Pertanto, le macchine virtuali vengono aggiornate anche quando vengono riavviate.

Riavviare il computer per rendere effettive le modifiche.

Per abilitare le attenuazioni per Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability(CVE-2019-11135) e Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2 0018-12127, CVE-2018-12130) insieme aSpectre (CVE-2017-5753 & CVE-2017-5715) e Meltdown (CVE-2017-5754) varianti, tra cui Speculative Store Bypass Disable (SSBD) ( CVE-2018-3639) e L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646) con Hyper-Threading disabilitato:

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se è installata la funzionalità Hyper-V, aggiungere la seguente impostazione del Registro di sistema:

reg aggiungere "HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion " /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

 

Se si tratta di un host Hyper-V e sono stati applicati gli aggiornamenti del firmware: Arrestare completamente tutte le macchine virtuali. In questo modo l'attenuazione correlata al firmware da applicare all'host prima dell'avvio delle macchine virtuali. Pertanto, le macchine virtuali vengono aggiornate anche quando vengono riavviate.

Riavviare il computer per rendere effettive le modifiche.

Per disattivare le attenuazioni per Intel® le estensioni di sincronizzazione transazionale (Intel® TSX) di aborto asincrono(CVE-2019-11135) eil campionamento dei dati microarchitetturali (CVE-2018-11091, CVE-2018-12126, CVE-2 0018-12127, CVE-2018-12130) insieme aSpectre (CVE-2017-5753 & CVE-2017-5715) e Meltdown (CVE-2017-5754) varianti, tra cui Speculative Store Bypass Disable (SSBD) ( CVE-2018-3639) e L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646):

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer per rendere effettive le modifiche.

Verifica dell'abilitazione delle protezioni


Per consentire ai clienti di verificare che le protezioni siano abilitate, è stato pubblicato uno script di PowerShell che i clienti possono eseguire nei propri sistemi. Installare ed eseguire lo script eseguendo i comandi seguenti.

Verifica di PowerShell tramite PowerShell Gallery (Windows Server 2016 o WMF 5.0/5.1)

Installare il modulo PowerShell:Install the PowerShell Module:

PS> Modulo di installazione SpeculationControl

Eseguire il modulo PowerShell per verificare che le protezioni siano abilitate:Run the PowerShell module to verify that protections are enabled:

PS> - Salva il criterio di esecuzione corrente in modo che possa essere reimpostato

PS> $SaveExecutionPolicy - Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Modulo di importazione SpeculationControl

PS> Get-SpeculationControlSettings

PS> - Reimpostare il criterio di esecuzione allo stato originale

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

 

Verifica di PowerShell tramite un download da Technet (versioni precedenti del sistema operativo e versioni precedenti di WMF)

Installare il modulo PowerShell da Technet ScriptCenter:

Vai a https://aka.ms/SpeculationControlPS

Scaricare SpeculationControl.zip in una cartella locale.

Estrarre il contenuto in una cartella locale, ad esempio C:

Eseguire il modulo PowerShell per verificare che le protezioni siano abilitate:Run the PowerShell module to verify that protections are enabled:

Avviare PowerShell, quindi (utilizzando l'esempio precedente) copiare ed eseguire i comandi seguenti:Start PowerShell, then (by using the previous example) copy and run the following commands:

PS> - Salva il criterio di esecuzione corrente in modo che possa essere reimpostato

PS> $SaveExecutionPolicy - Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:

PS> Modulo di importazione .

PS> Get-SpeculationControlSettings

PS> - Reimpostare il criterio di esecuzione allo stato originale

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Per una spiegazione dettagliata dell'output dello script di PowerShell, vedere l'articolo 4074629della Knowledge Base .

Domande frequenti