Riepilogo
Microsoft è a conoscenza di una nuova classe pubblicamente delle vulnerabilità che sono noti come "attacchi di canale laterale esecuzione speculativa". Queste vulnerabilità interessano molti moderni processori e sistemi operativi. Sono inclusi i chipset di Intel, AMD e ARM.
Non abbiamo ancora ricevuto informazioni che indichino che queste vulnerabilità sono state utilizzate per l'attacco. Continuiamo a lavorare a stretto contatto con i partner del settore per proteggere i clienti. Sono inclusi i produttori di chip hardware OEM e fornitori di applicazioni. Per ottenere la protezione disponibile tutti, sono necessari aggiornamenti hardware o firmware e software. Questo include microcodice dalla periferica OEM e, in alcuni casi, gli aggiornamenti software antivirus. Microsoft ha inoltre rilasciato diversi aggiornamenti per ridurre tali vulnerabilità. Sono disponibili ulteriori informazioni sulle vulnerabilità in Microsoft Security Advisory ADV180002. Per indicazioni generali, vedere anche indicazioni per ridurre le vulnerabilità di esecuzione speculativa canale laterale. Abbiamo inoltre adottato l'azione per la protezione dei servizi cloud. Vedere le sezioni seguenti per ulteriori dettagli.
Versioni interessate di Exchange Server
Poiché si tratta di attacchi a livello di hardware destinati a sistemi con processori basati su x86 e x64, tutte le versioni supportate di Microsoft Exchange Server sono interessate dal problema.
Consigli
Nella tabella seguente vengono descritte le azioni consigliate per i clienti di Exchange Server. Non sono presenti aggiornamenti specifici di Exchange che sono attualmente necessari. Tuttavia, si consiglia di clienti eseguono sempre l'ultimo aggiornamento cumulativo per Exchange Server e gli aggiornamenti necessari. Si consiglia di distribuire le correzioni utilizzando le procedure di ususal per convalidare i file binari di nuovi prima di distribuirli agli ambienti di produzione.
Scenario |
Descrizione |
Consigli |
1 |
Exchange Server viene eseguito su bare metal (non virtuali) e non la logica dell'applicazione non attendibile (livello applicazione) viene eseguita sullo stesso computer bare metal.
|
Applicare tutti i sistema e gli aggiornamenti di Exchange Server dopo il test di convalida di pre-produzione normale. Abilitazione del Kernel virtuale indirizzo Shadowing (KVAS) non è necessario (vedere la relativa sezione più avanti in questo articolo). |
2 |
Exchange Server viene eseguito su una macchina virtuale in un ambiente di hosting pubblico (cloud). |
Per Azure: Microsoft ha registrate informazioni dettagliate sulle attività di attenuazione per Azure (per informazioni dettagliate, vedere KB 4073235 ). Per altri fornitori di servizi cloud: consultare la Guida. Fare riferimento alla Guida più avanti in questo articolo sulla possibilità di attivare KVAS. |
3 |
Exchange Server viene eseguito su una macchina virtuale in un ambiente di hosting privato. |
Fare riferimento alla documentazione sulla sicurezza hypervisor per le procedure consigliate. Vedere KB 4072698 per Windows Server e Hyper-V. Fare riferimento alla Guida successivamente in questo articolo sulla possibilità di attivare KVAS. |
4 |
Exchange Server viene eseguito su una macchina virtuale o di fisica e non è isolato dalle altre la logica dell'applicazione in esecuzione sullo stesso sistema.
|
Si consiglia di installare tutti gli aggiornamenti del sistema operativo. Consultare la Guida più avanti in questo articolo articolo sulla possibilità di attivare KVAS. |
Prestazioni Advisory
Ti consigliamo di tutti i clienti di valutare le prestazioni dell'ambiente specifico quando si applicano gli aggiornamenti.
Le soluzioni fornite da Microsoft per i tipi di vulnerabilità descritti qui utilizzerà meccanismi basati su software per la protezione da cross-processo di accesso ai dati. Ti consigliamo di tutti i clienti di installare le versioni aggiornate di Exchange Server e Windows. Dovrebbe avere un effetto minimo di prestazioni, in base ai test dei carichi di lavoro di Exchange di Microsoft.
Abbiamo abbiamo misurato l'effetto del Kernel virtuale indirizzo Shadowing (KVAS) su vari carichi di lavoro. È stato riscontrato che alcuni carichi di lavoro verifichi un significativo calo delle prestazioni. Exchange Server è uno di questi carichi di lavoro in cui potrebbe verificarsi un calo significativo se KVAS è attivata. I server che mostrano l'utilizzo elevato della CPU o modelli di utilizzo elevati i/o previsto per mostrare l'effetto più grande. Si consiglia di valutare l'effetto di prestazioni dell'attivazione KVAS eseguendo i test in laboratorio che rappresenta le esigenze di produzione prima di distribuire nell'ambiente di produzione. Se l'effetto di prestazioni dell'attivazione KVAS è troppo elevata, si consiglia di isolare Exchange Server da codice non attendibile in esecuzione sullo stesso sistema sia una riduzione dei rischi migliore per l'applicazione.
KVAS, oltre a informazioni sull'effetto prestazioni dal supporto hardware di attenuazione inserimento destinazione diramazione (GIR) dettagliate di seguito. Un server che esegue Exchange Server e che dispone di una soluzione IBC distribuita ad esso potrebbe verificarsi una diminuzione significativa delle prestazioni se è abilitato ad IBC.
Prevediamo che i fornitori di hardware offrirà gli aggiornamenti per i propri prodotti sotto forma di aggiornamenti del microcodice. La nostra esperienza con Exchange indica che gli aggiornamenti del microcodice aumenteranno il calo delle prestazioni. Nella misura in cui ciò si verifica è altamente dipendono i componenti e la progettazione del sistema su cui vengono applicati. Riteniamo che nessuna soluzione singola, se basate su hardware o software è sufficiente per risolvere questo tipo di vulnerabilità da solo. Si consiglia di valutare le prestazioni di tutti gli aggiornamenti per conto della variabilità nella progettazione del sistema e le prestazioni prima di inserirli nell'ambiente di produzione. Il team di Exchange non prevede di aggiornare la Calcolatrice di ridimensionamento utilizzato dai clienti per conto di differenze di prestazioni attualmente. I calcoli forniti da questo strumento non terrà conto eventuali modifiche delle prestazioni correlate alle correzioni di questi problemi. Continueremo a valutare questo strumento e le rettifiche che riteniamo che potrebbero essere necessari, in base alle proprie dell'utilizzo e dei clienti.
In questa sezione verrà aggiornato man mano che diventano disponibili ulteriori informazioni.
Attivazione di indirizzi virtuali del Kernel lo Shadowing
Exchange Server viene eseguita in molti ambienti, compresi i sistemi fisici, macchine virtuali in ambienti basati su cloud pubblici e privati e sistemi operativi Windows. Indipendentemente dall'ambiente, il programma si trova su un sistema fisico o una macchina virtuale. Questo ambiente, fisico o virtuale, viene definito il limitedi sicurezza.
Se tutto il codice all'interno del limite ha accesso a tutti i dati all'interno di tale limite, è richiesta alcuna azione. Se questo non è il caso, il limite è detto multi-tenant. Le vulnerabilità che sono state trovate rendono possibile il codice in esecuzione in qualsiasi processo all'interno di tale limite per la lettura di tutti gli altri dati all'interno di tale limite. Questo è vero anche nelle autorizzazioni ridotte. Se qualsiasi processo nel limite è in esecuzione il codice non attendibile , tale processo è possibile utilizzare queste vulnerabilità per leggere dati da altri processi.
Per proteggere il codice non attendibile in un limite di multi-tenant, effettuare una delle seguenti operazioni:
-
Rimuovere il codice non attendibile.
-
Attivare KVAS per la protezione da letture di processi. Si avranno un impatto sulle prestazioni. Vedere le sezioni precedenti in questo articolo per informazioni dettagliate.
Per ulteriori informazioni sull'attivazione di KVAS per Windows, vedere 4072698 KB.
Scenari di esempio (KVAS consigliata)
Scenario 1
Una macchina virtuale Azure viene eseguito un servizio in cui gli utenti non attendibili possono inviare codice JavaScript che viene eseguito con autorizzazioni limitate. Nella stessa macchina virtuale, Exchange Server è in esecuzione e la gestione dei dati che non devono essere accessibili agli utenti non attendibili. In questo caso, per proteggere contro la divulgazione tra le due entità è necessario KVAS.
Scenario 2
Un sistema fisico locale che ospita Exchange Server è possibile eseguire script di terze parti non attendibili o file eseguibili. È necessario attivare KVAS per la protezione contro la divulgazione di dati di Exchange allo script o eseguibile.
Nota Solo perché viene utilizzato un meccanismo di estendibilità all'interno di Exchange Server, che automaticamente rende unsafe. Questi meccanismi possono essere utilizzati in modo sicuro all'interno di Exchange Server, purché ciascuna dipendenza viene riconosciuta e attendibile. Sono inoltre disponibili altri prodotti basati su Exchange Server che possono richiedere i meccanismi di estensibilità per il corretto funzionamento. Invece, come la prima azione, esaminare ogni utilizzo per determinare se il codice viene riconosciuto e attendibile. Questa guida viene fornita per determinare se è necessario attivare KVAS a causa delle implicazioni di maggiori prestazioni.
Attivazione del supporto Hardware ramo destinazione iniezione attenuazione (GIR)
IBC attenua contro CVE 2017-5715, noto anche come mezzo di Spectre o "variante 2" la divulgazione di GPZ.
Queste istruzioni per l'attivazione di KVAS in Windows è inoltre possono consentire ad IBC. Tuttavia, IBC richiede anche un aggiornamento del firmware dal produttore dell'hardware. Oltre le istruzioni 4072698 KB per attivare la protezione in Windows, i clienti devono procurarsi e installare gli aggiornamenti dal produttore hardware.
Scenario di esempio (IBC consigliata)
Scenario 1
In un sistema fisico locale che ospita Exchange Server, gli utenti non attendibili sono consentiti per caricare ed eseguire codice JavaScript arbitrario. In questo scenario, si consiglia di GIR per la protezione contro la divulgazione di informazioni su processi.
In situazioni in cui IBC supporto hardware non è presente, si consiglia di separare i processi non attendibili e processo attendibile su diversi computer fisici o virtuali.
Meccanismi di estensibilità di Exchange Server non attendibile
Exchange Server include funzionalità di extensibility e meccanismi. Molti di questi si basano su API che consente al codice non attendibile per l'esecuzione sul server che esegue Exchange Server. Gli agenti di trasporto e di Exchange Management Shell può consentire l'esecuzione su un server che esegue Exchange Server in determinate situazioni codice non attendibile. In tutti i casi, fatta eccezione per gli agenti di trasporto, le funzionalità di estendibilità richiedono l'autenticazione prima di poter essere utilizzati. Si consiglia di utilizzare le funzionalità di estendibilità che vengono limitate al set minimo di file binari ove applicabili. È inoltre consigliabile che i clienti limitano l'accesso al server per evitare che il codice non autorizzato eseguito gli stessi sistemi come Exchange Server. È consigliabile per determinare se l'attendibilità di ogni file binario. È necessario disattivare o rimuovere i file binari non attendibili. Assicurarsi inoltre che le interfacce di gestione non siano esposti su Internet.
I prodotti di terze parti citati in questo articolo sono realizzati da società indipendenti da Microsoft. Microsoft esclude ogni garanzia, implicita o esplicita relativa alle prestazioni o all'affidabilità di tali prodotti.