Nota: Questo articolo verrà aggiornato non appena saranno disponibili altre informazioni. Controlla regolarmente la disponibilità di aggiornamenti e nuove domande frequenti.

Vulnerabilità

Questo articolo riguarda le vulnerabilità di esecuzione speculativa seguenti:

Windows Update fornirà anche le misure di prevenzione di Internet Explorer ed Edge. Continueremo a migliorare queste misure di prevenzione contro questa classe di vulnerabilità.

Per altre informazioni su questa classe di vulnerabilità, vedi

Il 14 maggio 2019 Intel ha pubblicato informazioni su una nuova sottoclasse di vulnerabilità di esecuzione speculativa del canale laterale nota come Microarchitectural Data Sampling e documentata in ADV190013 | Campionamento di dati microarchitetturali. Sono stati assegnati i seguenti CVE:

Importante: Questi problemi interessano altri sistemi come Android, Chrome, iOS e MacOS. Consigliamo ai clienti di chiedere assistenza a questi fornitori.

Microsoft ha rilasciato aggiornamenti per ridurre queste vulnerabilità. Per ottenere tutte le protezioni disponibili, sono necessari aggiornamenti del firmware (microcodice) e software. Può includere il microcodice degli OEM del dispositivo. In alcuni casi, l'installazione di questi aggiornamenti avrà un impatto sul rendimento. Abbiamo anche agito per proteggere i nostri servizi cloud. È consigliabile distribuire questi aggiornamenti.

Per altre informazioni su questo problema, vedi il seguente avviso di sicurezza e usa le indicazioni basate su scenari per determinare le azioni necessarie per mitigare la minaccia:

Nota: È consigliabile installare tutti gli aggiornamenti più recenti di Windows Update prima di installare gli aggiornamenti del microcodice.

Il 6 agosto 2019 Intel ha rilasciato dettagli su una vulnerabilità di divulgazione di informazioni sul kernel di Windows. Questa vulnerabilità è una variante della vulnerabilità di esecuzione speculativa del canale laterale spectre variant 1 ed è stata assegnata CVE-2019-1125.

Il 9 luglio 2019 sono stati rilasciati aggiornamenti della sicurezza per il sistema operativo Windows per ridurre il problema. Tieni presente che abbiamo tenuto documenti pubblici su questa prevenzione fino alla divulgazione coordinata del settore di martedì 6 agosto 2019.

I clienti che hanno Windows Update abilitato e hanno applicato gli aggiornamenti della sicurezza rilasciati il 9 luglio 2019 sono protetti automaticamente. Non sono necessarie ulteriori configurazioni.

Nota: Questa vulnerabilità non richiede un aggiornamento del microcodice del produttore del dispositivo (OEM).

Per altre informazioni su questa vulnerabilità e sugli aggiornamenti applicabili, vedi la Guida sull'aggiornamento della sicurezza Microsoft:

Il 12 novembre 2019 Intel ha pubblicato un avviso tecnico sulla vulnerabilità di Interruzione asincrona delle transazioni Intel® Transactional Synchronization Extensions (Intel TSX) a cui è assegnato CVE-2019-11135. Microsoft ha rilasciato aggiornamenti per ridurre questa vulnerabilità e le protezioni del sistema operativo sono abilitate per impostazione predefinita per Windows Server 2019, ma sono disabilitate per impostazione predefinita per Windows Server 2016 e versioni precedenti del sistema operativo Windows Server.

Il 14 giugno 2022 è stato pubblicato ADV220002 | Linee guida Microsoft sulle vulnerabilità dei dati MMIO Stale del processore Intel e a cui sono stati assegnati questi CVE: 

Azioni consigliate

Per proteggersi dalle vulnerabilità, eseguire le azioni seguenti:

  1. Applica tutti gli aggiornamenti disponibili del sistema operativo Windows, inclusi gli aggiornamenti mensili della sicurezza di Windows.

  2. Applica l'aggiornamento del firmware (microcodice) applicabile fornito dal produttore del dispositivo.

  3. Valutare il rischio per l'ambiente in base alle informazioni fornite in Avvisi di sicurezza Microsoft: ADV180002, ADV180012, ADV190013 e ADV220002, oltre alle informazioni fornite in questo knowledge base articolo.

  4. Intervenire in base alle esigenze usando gli avvisi e le informazioni sulla chiave del Registro di sistema forniti in questo articolo knowledge base.

Nota: I clienti di Surface riceveranno un aggiornamento del microcodice tramite Windows Update. Per un elenco degli ultimi aggiornamenti del firmware del dispositivo Surface (microcodice), vedi KB4073065.

Impostazioni di prevenzione per Windows Server e Azure Stack HCI

Gli avvisi di sicurezza ADV180002, ADV180012, ADV190013 e ADV220002 forniscono informazioni sul rischio rappresentato da queste vulnerabilità. Consentono inoltre di identificare le vulnerabilità e lo stato predefinito delle misure di prevenzione per i sistemi Windows Server. La tabella seguente riepiloga il requisito del microcodice della CPU e lo stato predefinito delle misure di prevenzione in Windows Server.

CVE

È necessario un microcodice/firmware della CPU?

Stato predefinito di attenuazione

CVE-2017-5753

No

Abilitato per impostazione predefinita (nessuna opzione per disabilitare)

Fai riferimento ad ADV180002 per ulteriori informazioni

CVE-2017-5715

Disabilitata per impostazione predefinita.

Per altre informazioni, vedere ADV180002 e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili.

Nota "Retpoline" è abilitato per impostazione predefinita per i dispositivi che eseguono Windows 10 1809 o versione successiva se Spectre Variant 2 (CVE-2017-5715) è abilitato. Per altre informazioni su "Retpoline", segui La prevenzione della variante 2 di Spectre con Retpoline nel post di blog di Windows .

CVE-2017-5754

No

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: abilitato per impostazione predefinita.
Windows Server 2016 e versioni precedenti: disabilitata per impostazione predefinita.

Per ulteriori informazioni, fai riferimento ad ADV180002 .

CVE-2018-3639

Intel: Sì

AMD: No

Disabilitata per impostazione predefinita. Per altre informazioni, vedere ADV180012 e questo articolo per le impostazioni delle chiavi del Registro di sistema applicabili.

CVE-2018-11091

Intel: Sì

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: abilitato per impostazione predefinita.
Windows Server 2016 e versioni precedenti: disabilitata per impostazione predefinita.

Per altre informazioni, vedere ADV190013 e questo articolo per le impostazioni delle chiavi del Registro di sistema applicabili.

CVE-2018-12126

Intel: Sì

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: abilitato per impostazione predefinita.
Windows Server 2016 e versioni precedenti: disabilitata per impostazione predefinita.

Per altre informazioni, vedere ADV190013 e questo articolo per le impostazioni delle chiavi del Registro di sistema applicabili.

CVE-2018-12127

Intel: Sì

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: abilitato per impostazione predefinita.
Windows Server 2016 e versioni precedenti: disabilitata per impostazione predefinita.

Per altre informazioni, vedere ADV190013 e questo articolo per le impostazioni delle chiavi del Registro di sistema applicabili.

CVE-2018-12130

Intel: Sì

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: abilitato per impostazione predefinita.
Windows Server 2016 e versioni precedenti: disabilitata per impostazione predefinita.

Per altre informazioni, vedere ADV190013 e questo articolo per le impostazioni delle chiavi del Registro di sistema applicabili.

CVE-2019-11135

Intel: Sì

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: abilitato per impostazione predefinita.
Windows Server 2016 e versioni precedenti: disabilitata per impostazione predefinita.

Per altre informazioni e per le impostazioni delle chiavi del Registro di sistema applicabili, vedere CVE-2019-11135.

CVE-2022-21123 (parte di MMIO ADV220002)

Intel: Sì

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: abilitato per impostazione predefinita. 
Windows Server 2016 e versioni precedenti: disabilitata per impostazione predefinita.* 

Per altre informazioni e per le impostazioni delle chiavi del Registro di sistema applicabili, vedere CVE-2022-21123 .

CVE-2022-21125 (parte di MMIO ADV220002)

Intel: Sì

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: abilitato per impostazione predefinita. 
Windows Server 2016 e versioni precedenti: disabilitata per impostazione predefinita.* 

Per altre informazioni, vedere CVE-2022-21125 .

CVE-2022-21127 (parte di MMIO ADV220002)

Intel: Sì

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: abilitato per impostazione predefinita. 
Windows Server 2016 e versioni precedenti: disabilitata per impostazione predefinita.* 

Per altre informazioni, vedere CVE-2022-21127 .

CVE-2022-21166 (parte di MMIO ADV220002)

Intel: Sì

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: abilitato per impostazione predefinita. 
Windows Server 2016 e versioni precedenti: disabilitata per impostazione predefinita.* 

Per altre informazioni, vedere CVE-2022-21166 .

CVE-2022-23825 (confusione del tipo di ramo CPU AMD)

AMD: No

Per altre informazioni e per le impostazioni delle chiavi del Registro di sistema applicabili, vedere CVE-2022-23825 .

CVE-2022-23816 (confusione del tipo di ramo CPU AMD)

AMD: No

Per altre informazioni e per le impostazioni delle chiavi del Registro di sistema applicabili, vedere CVE-2022-23816.

*Segui le indicazioni per la prevenzione per Meltdown qui sotto.

Per ottenere tutte le protezioni disponibili da queste vulnerabilità, è necessario apportare modifiche alla chiave del Registro di sistema per abilitare queste misure di prevenzione disabilitate per impostazione predefinita.

L'abilitazione di queste misure di prevenzione può influire sulle prestazioni. La scala degli effetti sulle prestazioni dipende da più fattori, ad esempio il chipset specifico nell'host fisico e i carichi di lavoro in esecuzione. È consigliabile valutare gli effetti sulle prestazioni per l'ambiente e apportare le eventuali modifiche necessarie.

Il server è a rischio maggiore se si trova in una delle categorie seguenti:

  • Host Hyper-V: richiede la protezione per gli attacchi da macchina virtuale a macchina virtuale e da macchina virtuale a host.

  • Host di Servizi Desktop remoto: richiede la protezione da una sessione a un'altra o da attacchi da sessione a host.

  • Host fisici o macchine virtuali che eseguono codice non attendibile, ad esempio contenitori o estensioni non attendibili per database, contenuto Web non attendibile o carichi di lavoro che eseguono codice proveniente da origini esterne. Questi richiedono la protezione da un processo non attendibile a un altro processo o da attacchi da processo non attendibile a kernel.

Utilizza le seguenti impostazioni della chiave del Registro di sistema per abilitare le misure di prevenzione sul server e riavvia il dispositivo per rendere effettive le modifiche.

Nota: Per impostazione predefinita, l'abilitazione delle misure di prevenzione disattivate può influire sulle prestazioni. L'effetto sulle prestazioni effettive dipende da più fattori, ad esempio il chipset specifico nel dispositivo e i carichi di lavoro in esecuzione.

Impostazioni del Registro di sistema

Importante: Vengono fornite le informazioni del Registro di sistema seguenti per abilitare le misure di prevenzione non abilitate per impostazione predefinita, come descritto in Avvisi di sicurezza ADV180002, ADV180012, ADV190013 e ADV220002.

Inoltre, forniamo le impostazioni della chiave del Registro di sistema per disabilitare le misure di prevenzione correlate a CVE-2017-5715 e CVE-2017-5754 per i client Windows.

Importante: In questo metodo, sezione o attività viene spiegato come modificare il Registro di sistema. L'errata modifica del Registro di sistema può causare seri problemi. Per questo motivo, occorre attenersi scrupolosamente alla procedura indicata. Per una maggiore sicurezza, eseguire una copia di backup del Registro di sistema prima di modificarlo. in modo da poterlo poi ripristinare in caso di problemi. Per altre informazioni su come eseguire il backup e il ripristino del Registro di sistema, fare clic sul numero dell'articolo seguente per visualizzare l'articolo in Microsoft knowledge base:

322756 Come eseguire il backup e il ripristino del Registro di sistema in Windows

Importante: Per impostazione predefinita, Retpoline è abilitato nei server Windows 10, versione 1809 se Spectre, Variant 2 (CVE-2017-5715) è abilitato. L'abilitazione di Retpoline nell'ultima versione di Windows 10 può migliorare le prestazioni sui server che eseguono Windows 10, versione 1809 per Spectre, variante 2, in particolare sui processori meno recenti.

Per abilitare le misure di prevenzione per CVE-2017-5715 (variante 2 di Spectre) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se la funzionalità Hyper-V è installata, aggiungere l'impostazione del Registro di sistema seguente:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se si tratta di un host Hyper-V e sono stati applicati gli aggiornamenti del firmware: Arresta completamente tutti i Macchine virtuali. In questo modo la prevenzione correlata al firmware deve essere applicata all'host prima dell'avvio delle macchine virtuali. Di conseguenza, le macchine virtuali vengono aggiornate anche al riavvio.

Riavvia il dispositivo per rendere effettive le modifiche.

Per disabilitare le misure di prevenzione per CVE-2017-5715 (variante 2 di Spectre) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavvia il dispositivo per rendere effettive le modifiche.

Nota: L'impostazione di FeatureSettingsOverrideMask su 3 è corretta sia per le impostazioni "enable" che "disable". Per ulteriori informazioni sulle chiavi del Registro di sistema, vedere la sezione "Domande frequenti ".

Per disabilitare la prevenzione della variante 2: (CVE-2017-5715  "Branch Target Injection"):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavvia il dispositivo per rendere effettive le modifiche.

Per abilitare la prevenzione della variante 2: (CVE-2017-5715  "Branch Target Injection"):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavvia il dispositivo per rendere effettive le modifiche.

Per impostazione predefinita, la protezione da utente a kernel per CVE-2017-5715 è disabilitata per le CPU AMD. I clienti devono abilitare la prevenzione per ricevere protezioni aggiuntive per CVE-2017-5715.  Per altre informazioni, vedi domande frequenti n. 15 in ADV180002.

Abilita la protezione da utente a kernel sui processori AMD insieme ad altre protezioni per CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se la funzionalità Hyper-V è installata, aggiungere l'impostazione del Registro di sistema seguente:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se si tratta di un host Hyper-V e sono stati applicati gli aggiornamenti del firmware: Arresta completamente tutti i Macchine virtuali. In questo modo la prevenzione correlata al firmware deve essere applicata all'host prima dell'avvio delle macchine virtuali. Di conseguenza, le macchine virtuali vengono aggiornate anche al riavvio.

Riavvia il dispositivo per rendere effettive le modifiche.

Per abilitare le misure di prevenzione per CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se la funzionalità Hyper-V è installata, aggiungere l'impostazione del Registro di sistema seguente:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se si tratta di un host Hyper-V e sono stati applicati gli aggiornamenti del firmware: Arresta completamente tutti i Macchine virtuali. In questo modo la prevenzione correlata al firmware deve essere applicata all'host prima dell'avvio delle macchine virtuali. Di conseguenza, le macchine virtuali vengono aggiornate anche al riavvio.

Riavvia il dispositivo per rendere effettive le modifiche.

Per disabilitare le misure di prevenzione per CVE-2018-3639 (Speculative Store Bypass) E le misure di prevenzione per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavvia il dispositivo per rendere effettive le modifiche.

Per impostazione predefinita, la protezione da utente a kernel per CVE-2017-5715 è disabilitata per i processori AMD. I clienti devono abilitare la prevenzione per ricevere protezioni aggiuntive per CVE-2017-5715.  Per altre informazioni, vedi domande frequenti n. 15 in ADV180002.

Abilita la protezione da utente a kernel sui processori AMD insieme ad altre protezioni per CVE 2017-5715 e le protezioni per CVE-2018-3639 (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se la funzionalità Hyper-V è installata, aggiungere l'impostazione del Registro di sistema seguente:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se si tratta di un host Hyper-V e sono stati applicati gli aggiornamenti del firmware: Arresta completamente tutti i Macchine virtuali. In questo modo la prevenzione correlata al firmware deve essere applicata all'host prima dell'avvio delle macchine virtuali. Di conseguenza, le macchine virtuali vengono aggiornate anche al riavvio.

Riavvia il dispositivo per rendere effettive le modifiche.

Per abilitare le misure di prevenzione per la vulnerabilità CVE-2019-11135 di Intel Transactional Synchronization Extensions (Intel TSX) e il campionamento dei dati microarchiteturali ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) insieme a Spectre [CVE-2017-5753 & CVE-2017-5715] e Meltdown [CVE-2017-5754] varianti, tra cui Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] come così come L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646] senza disabilitare Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se la funzionalità Hyper-V è installata, aggiungere l'impostazione del Registro di sistema seguente:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se si tratta di un host Hyper-V e sono stati applicati gli aggiornamenti del firmware: Arresta completamente tutti i Macchine virtuali. In questo modo la prevenzione correlata al firmware deve essere applicata all'host prima dell'avvio delle macchine virtuali. Di conseguenza, le macchine virtuali vengono aggiornate anche al riavvio.

Riavvia il dispositivo per rendere effettive le modifiche.

Per abilitare le misure di prevenzione per la vulnerabilità CVE-2019-11135 di Intel Transactional Synchronization Extensions (Intel TSX) e il campionamento dei dati microarchiteturali ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) insieme a Spectre [ CVE-2017-5753 & CVE-2017-5715 ] e Meltdown [ CVE-2017-5754 ] varianti, tra cui Speculative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] come così come L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646 ] con Hyper-Threading disabilitato:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se la funzionalità Hyper-V è installata, aggiungere l'impostazione del Registro di sistema seguente:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se si tratta di un host Hyper-V e sono stati applicati gli aggiornamenti del firmware: Arresta completamente tutti i Macchine virtuali. In questo modo la prevenzione correlata al firmware deve essere applicata all'host prima dell'avvio delle macchine virtuali. Di conseguenza, le macchine virtuali vengono aggiornate anche al riavvio.

Riavvia il dispositivo per rendere effettive le modifiche.

Per disabilitare le misure di prevenzione per la vulnerabilità CVE-2019-11135 di Transactional Synchronization Extensions (Intel TSX) e il campionamento dei dati microarchiteturali ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) insieme a Spectre [ CVE-2017-5753 & CVE-2017-5715 ] e Meltdown [ CVE-2017-5754 ] varianti, tra cui Speculative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] come così come L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646 ]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavvia il dispositivo per rendere effettive le modifiche.

Abilita la protezione da utente a kernel sui processori AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Per essere completamente protetti, i clienti potrebbero anche dover disabilitare Hyper-Threading (noto anche come Simultaneous Multi Threading (SMT)). Vedi KB4073757per indicazioni sulla protezione dei dispositivi Windows.

Verifica che le protezioni siano abilitate

Per verificare che le protezioni siano abilitate, abbiamo pubblicato uno script di PowerShell che è possibile eseguire nei dispositivi. Installare ed eseguire lo script usando uno dei metodi seguenti.

Installare il modulo di PowerShell:

PS> Install-Module SpeculationControl

Eseguire il modulo di PowerShell per verificare che le protezioni siano abilitate:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Installare il modulo di PowerShell da Technet ScriptCenter:

  1. Vai a https://aka.ms/SpeculationControlPS .

  2. Scaricare SpeculationControl.zip in una cartella locale.

  3. Estrarre il contenuto in una cartella locale. Ad esempio: C:\ADV180002

Eseguire il modulo di PowerShell per verificare che le protezioni siano abilitate:

Avviare PowerShell e quindi usare l'esempio precedente per copiare ed eseguire i comandi seguenti:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Per una spiegazione dettagliata dell'output dello script di PowerShell, vedere KB4074629

Domande frequenti

Per evitare di influire negativamente sui dispositivi dei clienti, gli aggiornamenti della sicurezza di Windows rilasciati a gennaio e febbraio 2018 non sono stati offerti a tutti i clienti. Per informazioni dettagliate, vedi KB407269 .

Il microcodice viene fornito tramite un aggiornamento del firmware. Consulta l'OEM per informazioni sulla versione del firmware che include l'aggiornamento appropriato per il computer.

Esistono più variabili che influiscono sulle prestazioni, dalla versione di sistema ai carichi di lavoro in esecuzione. Per alcuni sistemi, l'effetto delle prestazioni sarà trascurabile. Per altri, sarà considerevole.

È consigliabile valutare gli effetti sulle prestazioni sui sistemi e apportare le modifiche necessarie.

Oltre alle indicazioni contenute in questo articolo relative alle macchine virtuali, contattare il provider di servizi per assicurarsi che gli host che eseguono le macchine virtuali siano adeguatamente protetti.

Per le macchine virtuali di Windows Server in esecuzione in Azure, vedere Linee guida per la prevenzione delle vulnerabilità di esecuzione speculativa del canale laterale in Azure . Per indicazioni sull'uso di Gestione degli aggiornamenti di Azure per attenuare questo problema nelle macchine virtuali guest, vedi KB4077467.

Gli aggiornamenti rilasciati per le immagini dei contenitori di Windows Server per Windows Server 2016 e Windows 10, versione 1709 includono le misure di prevenzione per questo set di vulnerabilità. Non è richiesta alcuna configurazione aggiuntiva.

Nota È comunque necessario assicurarsi che l'host in cui sono in esecuzione questi contenitori sia configurato per abilitare le misure di prevenzione appropriate.

No, l'ordine di installazione non ha importanza.

Sì, devi riavviare dopo l'aggiornamento del firmware (microcodice) e quindi di nuovo dopo l'aggiornamento di sistema.

Ecco i dettagli per le chiavi del Registro di sistema:

FeatureSettingsOverride rappresenta una bitmap che sostituisce l'impostazione predefinita e controlla quali misure di prevenzione verranno disabilitate. Bit 0 controlla la mitigazione che corrisponde a CVE-2017-5715. Bit 1 controlla la mitigazione che corrisponde a CVE-2017-5754. I bit sono impostati su 0 per abilitare la prevenzione e su 1 per disabilitare la prevenzione.

FeatureSettingsOverrideMask rappresenta una maschera bitmap usata insieme a FeatureSettingsOverride.  In questa situazione, usiamo il valore 3 (rappresentato come 11 nel sistema numerale binario o in base 2) per indicare i primi due bit che corrispondono alle misure di prevenzione disponibili. Questa chiave del Registro di sistema è impostata su 3 per abilitare o disabilitare le misure di prevenzione.

MinVmVersionForCpuBasedMitigations è per host Hyper-V. Questa chiave del Registro di sistema definisce la versione minima della macchina virtuale necessaria per usare le funzionalità del firmware aggiornate (CVE-2017-5715). Imposta questa opzione su 1.0 per coprire tutte le versioni della macchina virtuale. Si noti che questo valore del Registro di sistema verrà ignorato (benigno) in host non Hyper-V. Per altre informazioni, vedere Protezione delle macchine virtuali guest da CVE-2017-5715 (branch target injection).For more details, see Protecting guest virtual machines from CVE-2017-5715 (branch target injection).

Sì, non ci sono effetti collaterali se queste impostazioni del Registro di sistema vengono applicate prima di installare le correzioni correlate a gennaio 2018.

Vedere una descrizione dettagliata dell'output dello script in KB4074629: Understanding SpeculationControl PowerShell script output .

Sì, per Windows Server 2016 host Hyper-V che non hanno ancora l'aggiornamento del firmware disponibile, abbiamo pubblicato indicazioni alternative che possono contribuire a ridurre la macchina virtuale per la macchina virtuale o la macchina virtuale per ospitare gli attacchi. Vedere Protezioni alternative per Windows Server 2016 host Hyper-V contro le vulnerabilità di esecuzione speculativa del canale laterale.

Gli aggiornamenti solo della sicurezza non sono cumulativi. A seconda della versione del sistema operativo, potrebbe essere necessario installare diversi aggiornamenti della sicurezza per la protezione completa. In generale, i clienti dovranno installare gli aggiornamenti di gennaio, febbraio, marzo e aprile 2018. I sistemi che dispongono di processori AMD necessitano di un aggiornamento aggiuntivo, come illustrato nella tabella seguente:

Versione sistema operativo

Aggiornamento della sicurezza

Windows 8.1, Windows Server 2012 R2

KB4338815 - Aggiornamento cumulativo mensile

KB4338824 - Solo sicurezza

Windows 7 SP1, Windows Server 2008 R2 SP1 o Windows Server 2008 R2 SP1 (installazione Server Core)

KB4284826 - Aggiornamento cumulativo mensile

KB4284867 - Solo sicurezza

Windows Server 2008 SP2

KB4340583 - Aggiornamento della sicurezza

È consigliabile installare gli aggiornamenti solo della sicurezza nell'ordine di rilascio.

Nota: Una versione precedente di queste domande frequenti ha erroneamente indicato che l'aggiornamento solo della sicurezza di febbraio includeva le correzioni per la sicurezza rilasciate a gennaio. In realtà, non lo fa.

No. L'aggiornamento della sicurezza KB4078130 è stato una correzione specifica per evitare comportamenti imprevisti del sistema, problemi di prestazioni e riavvii imprevisti dopo l'installazione del microcodice. L'applicazione degli aggiornamenti della sicurezza nei sistemi operativi client Windows abilita tutte e tre le misure di prevenzione. Nei sistemi operativi Windows Server, è comunque necessario abilitare le misure di prevenzione dopo aver completato i test appropriati. Per altre informazioni, vedi KB4072698.

Questo problema è stato risolto in KB4093118.

Nel febbraio 2018, Intel ha annunciato di aver completato le convalide e ha iniziato a rilasciare microcodice per le piattaforme CPU più recenti. Microsoft sta rendendo disponibili aggiornamenti del microcodice convalidato da Intel che riguardano Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 elenca specifici articoli knowledge base in base alla versione di Windows. Ogni articolo specifico della Knowledge Base contiene gli aggiornamenti di microcodice Intel disponibili per CPU.

L'11 gennaio 2018  Intel ha segnalato problemi nel microcodice rilasciato di recente, destinato a risolvere la variante 2 di Spectre (CVE-2017-5715 | Branch Target Injection). In particolare, Intel ha osservato che questo microcodice può causare "riavvii superiori al previsto e altri comportamenti imprevisti del sistema" e che questi scenari possono causare "perdita o danneggiamento dei dati." La nostra esperienza è che l'instabilità del sistema può causare la perdita o il danneggiamento dei dati in alcune circostanze. Il 22 gennaio Intel ha consigliato ai clienti di interrompere la distribuzione della versione corrente del microcodice sui processori interessati, mentre Intel esegue ulteriori test sulla soluzione aggiornata. Sappiamo che Intel sta continuando ad analizzare il potenziale effetto della versione corrente del microcodice. Incoraggiamo i clienti a rivedere le loro indicazioni su base continuativa per informare le loro decisioni.

Mentre Intel testa, aggiorna e distribuisce nuovo microcodice, stiamo rendendo disponibile un aggiornamento fuori banda KB4078130 che disabilita in modo specifico solo la prevenzione contro CVE-2017-5715. Nei nostri test, questo aggiornamento è stato trovato per impedire il comportamento descritto. Per l'elenco completo dei dispositivi, vedi le linee guida per la revisione del microcodice fornite da Intel. Questo aggiornamento riguarda Windows 7 Service Pack 1 (SP1), Windows 8.1 e tutte le versioni di Windows 10, sia client che server. Se stai eseguendo un dispositivo interessato dal problema, questo aggiornamento può essere applicato scaricandolo dal sito Web Microsoft Update Catalog. L'applicazione di questo payload disabilita in modo specifico solo la prevenzione contro la CVE-2017-5715.

A partire da questo momento, non ci sono rapporti noti che indicano che questo Spectre Variante 2 (CVE-2017-5715 – "Branch Target Injection") è stato utilizzato per attaccare i clienti. Se necessario, è consigliabile che gli utenti di Windows riabilitare la prevenzione contro la CVE-2017-5715 quando Intel segnala che questo comportamento imprevisto del sistema è stato risolto per il dispositivo.

Nel febbraio 2018, Intelha annunciato di aver completato le convalide e ha iniziato a rilasciare il microcodice per le piattaforme CPU più recenti. Microsoft sta rendendo disponibili aggiornamenti del microcodice convalidato da Intel correlati a Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 elenca specifici articoli knowledge base in base alla versione di Windows. Nell'elenco di kb sono disponibili aggiornamenti del microcodice Intel in base alla CPU.

Per altre informazioni, vedere White paper su AMD Security Aggiornamenti e AMD: linee guida sull'architettura per il controllo indirect branch. Sono disponibili dal canale del firmware OEM.

Stiamo rendendo disponibili aggiornamenti di microcodice convalidati da Intel che riguardano Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection "). Per ottenere gli aggiornamenti più recenti del microcodice Intel tramite Windows Update, i clienti devono aver installato il microcodice Intel nei dispositivi che eseguono un sistema operativo Windows 10 prima di eseguire l'aggiornamento Windows 10 aprile 2018 (versione 1803).

L'aggiornamento del microcodice è disponibile anche direttamente da Microsoft Update Catalog se non è stato installato nel dispositivo prima dell'aggiornamento del sistema. Il microcodice Intel è disponibile tramite Windows Update, Windows Server Update Services (WSUS) o Microsoft Update Catalog. Per altre informazioni e istruzioni per il download, vedi KB4100347.

Vedi le sezioni "Azioni consigliate" e "Domande frequenti" di  ADV180012 | Linee guida Microsoft per Speculative Store Bypass.

Per verificare lo stato di SSBD, lo script Di PowerShell Get-SpeculationControlSettings è stato aggiornato per rilevare i processori interessati, lo stato degli aggiornamenti del sistema operativo SSBD e lo stato del microcodice del processore, se applicabile. Per altre informazioni e per ottenere lo script di PowerShell, vedere KB4074629.

Il 13 giugno 2018 è stata annunciata e assegnata una vulnerabilità aggiuntiva che comporta l'esecuzione speculativa del canale laterale, nota come Lazy FP State Restore. Per informazioni su questa vulnerabilità e sulle azioni consigliate, vedere l'avviso di sicurezza ADV180016 | Microsoft Guidance for Lazy FP State Restore .

Note Non sono necessarie le impostazioni di configurazione (Registro di sistema) per Lazy Restore FP Restore.

Bounds Check Bypass Store (BCBS) è stato divulgato il 10 luglio 2018 e ha assegnato CVE-2018-3693. Riteniamo che BCBS appartenga alla stessa classe di vulnerabilità di Bounds Check Bypass (variante 1). Al momento non siamo a conoscenza di alcuna istanza di BCBS nel nostro software. Stiamo tuttavia continuando a eseguire ricerche su questa classe di vulnerabilità e collaboreremo con i partner di settore per rilasciare le misure di prevenzione in base alle esigenze. Incoraggiamo i ricercatori a presentare eventuali risultati pertinenti al programma Microsoft Speculative Execution Side Channel bounty, comprese eventuali istanze sfruttabili di BCBS. Gli sviluppatori di software devono esaminare le linee guida per gli sviluppatori aggiornate per BCBS in C++ Developer Guidance for Speculative Execution Side Channels 

Il 14 agosto 2018 è stato annunciato l'L1 Terminal Fault (L1TF) e sono stati assegnati più CVE. Queste nuove vulnerabilità di esecuzione speculativa del canale laterale possono essere usate per leggere il contenuto della memoria attraverso un limite attendibile e, se sfruttate, potrebbero portare alla divulgazione delle informazioni. Esistono più vettori tramite i quali un utente malintenzionato potrebbe attivare le vulnerabilità, a seconda dell'ambiente configurato. L1TF influisce sui processori Intel® Core® e sui processori Intel® Xeon®.

Per ulteriori informazioni su questa vulnerabilità e una visualizzazione dettagliata degli scenari interessati, incluso l'approccio di Microsoft alla prevenzione di L1TF, vedi le risorse seguenti:

I passaggi per disabilitare Hyper-Threading sono diversi da OEM a OEM, ma in genere fanno parte del BIOS o degli strumenti di configurazione e configurazione del firmware.

I clienti che utilizzano processori ARM a 64 bit devono contattare l'OEM del dispositivo per il supporto del firmware perché le protezioni del sistema operativo ARM64 che attenuano la CVE-2017-5715 | Per rendere effettiva l'iniezione di diramazione (Spectre, variante 2) è necessario l'aggiornamento del firmware più recente degli OEM del dispositivo.

Per ulteriori informazioni sull'abilitazione retpoline, fai riferimento al nostro post di blog: Prevenzione della variante 2 di Spectre con Retpoline in Windows .

Per informazioni dettagliate su questa vulnerabilità, vedi la Guida alla sicurezza Microsoft: CVE-2019-1125 | Vulnerabilità divulgazione di informazioni kernel di Windows.

Non siamo a conoscenza di alcuna istanza di questa vulnerabilità della divulgazione delle informazioni che interessa l'infrastruttura dei servizi cloud.

Non appena siamo a conoscenza di questo problema, abbiamo lavorato rapidamente per risolverlo e rilasciare un aggiornamento. Crediamo fortemente in strette partnership con ricercatori e partner del settore per rendere i clienti più sicuri e non abbiamo pubblicato dettagli fino a martedì 6 agosto, in linea con le procedure coordinate di divulgazione delle vulnerabilità.

Riferimenti

Microsoft fornisce informazioni di contatto di terze parti per aiutare l'utente a trovare supporto tecnico. Queste informazioni sono soggette a modifiche senza preavviso. Microsoft non garantisce l'accuratezza di queste informazioni di contatto di terze parti.

Serve aiuto?

Amplia le tue competenze

Esplora i corsi di formazione >

Ottieni in anticipo le nuove caratteristiche

Partecipa a Microsoft Insider >

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?

Grazie per il feedback!

×