Riepilogo
Questo articolo verrà aggiornato non appena saranno disponibili ulteriori informazioni. Si prega di controllare qui regolarmente per gli aggiornamenti e nuove FAQ.
Microsoft è a conoscenza di una nuova classe divulgata pubblicamente di vulnerabilità che vengono chiamati "attacchi di canale laterale di esecuzione speculativa" e che interessano molti processori moderni tra cui Intel, AMD, VIA e ARM.
Nota: Questo problema riguarda anche altri sistemi operativi, ad esempio Android, Chrome, iOS e macOS. Pertanto, consigliamo ai clienti di richiedere assistenza a tali fornitori.
Abbiamo rilasciato diversi aggiornamenti per contribuire a mitigare queste vulnerabilità. Abbiamo anche preso provvedimenti per proteggere i nostri servizi cloud. Per ulteriori dettagli, vedere le sezioni seguenti.
Non abbiamo ancora ricevuto alcuna informazione per indicare che queste vulnerabilità sono state utilizzate per attaccare i clienti. Stiamo lavorando a stretto contatto con partner del settore, tra cui produttori di chip, OEM hardware e fornitori di applicazioni per proteggere i clienti. Per ottenere tutte le protezioni disponibili, sono necessari aggiornamenti del firmware (microcodice) e del software. Ciò include microcodice dagli OEM del dispositivo e, in alcuni casi, aggiornamenti al software antivirus.
In questo articolo vengono illustrate le seguenti vulnerabilità:
Windows Update fornirà anche internet Explorer ed Edge mitigations. Continueremo a migliorare queste attenuazioni contro questa classe di vulnerabilità.
Per ulteriori informazioni su questa classe di vulnerabilità, vedere
AGGIORNAMENTO ON 14 maggio 2019 Il 14 maggio 2019, Intel ha pubblicato informazioni su una nuova sottoclasse di vulnerabilità del canale laterale di esecuzione speculativa note come Microarchitectural Data Sampling. Sono state assegnate le seguenti CME:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Microarchitectural Store Store Buffer Data Sampling (MSBDS)"
-
CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"
-
CVE-2018-12130 – "Campionamento dati porta di carico microarchitettonica (MLPDS)"
Importante Questi problemi interesseranno altri sistemi come Android, Chrome, iOS e MacOS. Consigliamo ai clienti di cercare assistenza dai rispettivi fornitori.
Abbiamo rilasciato aggiornamenti per contribuire a mitigare queste vulnerabilità. Per ottenere tutte le protezioni disponibili, sono necessari aggiornamenti del firmware (microcodice) e del software. Questo può includere microcodice dagli OEM del dispositivo. In alcuni casi, l'installazione di questi aggiornamenti avrà un impatto sulle prestazioni. Abbiamo anche agito per proteggere i nostri servizi cloud. È consigliabile distribuire questi aggiornamenti.
Per ulteriori informazioni su questo problema, vedere i seguenti avvisi sulla sicurezza e utilizzare le linee guida basate su scenari per determinare le azioni necessarie per ridurre la minaccia:
Nota: Si consiglia di installare tutti gli aggiornamenti più recenti da Windows Update prima di installare eventuali aggiornamenti di microcodice.
U PDATED ON AUGUST 6, 2019 Il 6 agosto 2019 Intel ha rilasciato dettagli su una vulnerabilità di divulgazione delle informazioni sul kernel di Windows. Questa vulnerabilità è una variante della vulnerabilità del canale lato esecuzione speculativa Spectre Variant 1 ed è stato assegnato CVE-2019-1125.
Il 9 luglio 2019 abbiamo rilasciato gli aggiornamenti della sicurezza per il sistema operativo Windows per contribuire a mitigare questo problema. Si prega di notare che abbiamo trattenuto la documentazione di questa mitigazione pubblicamente fino alla divulgazione coordinata del settore di martedì 6 agosto 2019.
I clienti che hanno attivato Windows Update e hanno applicato gli aggiornamenti della sicurezza rilasciati il 9 luglio 2019 sono protetti automaticamente. Non è necessaria alcuna ulteriore configurazione.
Nota: Questa vulnerabilità non richiede un aggiornamento microcodice dal produttore del dispositivo (OEM).
Per ulteriori informazioni su questa vulnerabilità e sugli aggiornamenti applicabili, vedere la Guida all'aggiornamento della protezione Microsoft:
CVE-2019-1125 Vulnerabilitàdi divulgazione delle informazioni sul kernel di Windows .
AGGIORNATO su N OVEMBER 12, 2019 Il 12 novembre 2019, Intel ha pubblicato un advisory tecnico su Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asincron e sit vulnerability that is assigned CVE-2019-11135. Microsoft ha rilasciato aggiornamenti per ridurre questa vulnerabilità e le protezioni del sistema operativo sono abilitate per impostazione predefinita per le edizioni del sistema operativo client Windows.
Azioni consigliate
I clienti devono intraprendere le seguenti azioni per proteggere contro le vulnerabilità:
-
Applicare tutti gli aggiornamenti del sistema operativo Windows disponibili, inclusi gli aggiornamenti mensili della sicurezza di Windows.
-
Applicare l'aggiornamento del firmware (microcodice) applicabile fornito dal produttore del dispositivo.
-
Valutare il rischio per l'ambiente in base alle informazioni fornite negli avvisi di microsoft protezione: ADV180002, ADV180012, ADV190013 e le informazioni fornite in questo articolo della Knowledge Base.
-
Intervenire in base alle esigenze utilizzando gli avvisi e le informazioni sulle chiavi del Registro di sistema forniti in questo articolo della Knowledge Base.
Nota: I clienti Surface riceveranno un aggiornamento del microcodice tramite l'aggiornamento di Windows. Per un elenco dei più recenti aggiornamenti disponibili nel firmware del dispositivo Surface (microcodice), vedere KB 4073065.
Impostazioni di attenuazione per i client WindowsMitigation settings for Windows clients
Gli avvisi di sicurezza ADV180002, ADV180012e ADV190013 forniscono informazioni sul rischio rappresentato da queste vulnerabilità e consentono di identificare lo stato predefinito delle attenuazioni per i sistemi client Windows. Nella tabella seguente sono riepilogati i requisiti del microcodice della CPU e lo stato predefinito delle attenuazioni nei client Windows.
Cve |
Richiede microcodice/firmware della CPU? |
Mitigazione Stato predefinito |
---|---|---|
CVE-2017-5753 |
No |
Abilitato per impostazione predefinita (nessuna opzione da disabilitare) Fare riferimento a ADV180002 per ulteriori informazioni. |
CVE-2017-5715 |
Sì |
Abilitato per impostazione predefinita. Gli utenti di sistemi basati su processori AMD dovrebbero vedere FAQ #15 e gli utenti di processori ARM dovrebbero vedere FAQ #20 su ADV180002 per ulteriori azioni e questo articolo della Knowledge Base per le impostazioni della chiave del Registro di sistema applicabile. Nota: "Retpoline" è abilitato per impostazione predefinita per i dispositivi che eseguono Windows 10 1809 o più recente se Spectre Variant 2 (CVE-2017-5715) è abilitato. Per ulteriori informazioni, intorno a "Retpoline", seguire le indicazioni nelMitigating Spectre variant 2 con Retpoline sul post di blog di Retpoline su Windows. |
CVE-2017-5754 |
No |
Abilitato per impostazione predefinita Fare riferimento a ADV180002 per ulteriori informazioni. |
CVE-2018-3639 |
Intel: Sì AMD: No ARM: Sì |
Intel e AMD: disattivati per impostazione predefinita. Vedere ADV180012 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili. ARM: Abilitato per impostazione predefinita senza opzione da disabilitare. |
CVE-2018-11091 |
Intel: Sì |
Abilitato per impostazione predefinita. Vedere ADV190013 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili. |
CVE-2018-12126 |
Intel: Sì |
Abilitato per impostazione predefinita. Vedere ADV190013 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili. |
CVE-2018-12127 |
Intel: Sì |
Abilitato per impostazione predefinita. Vedere ADV190013 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili. |
CVE-2018-12130 |
Intel: Sì |
Abilitato per impostazione predefinita. Vedere ADV190013 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili. |
CVE-2019-11135 |
Intel: Sì |
Abilitato per impostazione predefinita. Vedere CVE-2019-11135 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili. |
Nota: L'abilitazione delle attenuazioni disattivate per impostazione predefinita può influire sulle prestazioni. L'effetto effettivo delle prestazioni dipende da più fattori, ad esempio il chipset specifico nel dispositivo e i carichi di lavoro in esecuzione.
Impostazioni del Registro di sistema
Stiamo fornendo le seguenti informazioni del Registro di sistema per abilitare le attenuazioni che non sono abilitate per impostazione predefinita, come documentato in Security Advisories ADV180002 e ADV180012. Inoltre, vengono fornite le impostazioni della chiave del Registro di sistema per gli utenti che desiderano disabilitare le attenuazioni correlate a CVE-2017-5715 e CVE-2017-5754 per i client Windows.
Importante Questa sezione, metodo o attività contiene passaggi che indicano come modificare il Registro di sistema. Tuttavia, se si modifica il Registro di sistema in modo non corretto, potrebbero verificarsi problemi gravi. Pertanto, assicurarsi di seguire questi passaggi con attenzione. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Quindi, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, vedere il seguente articolo della Microsoft Knowledge Base:
322756 come eseguire il backup e ripristinare il Registro di sistema in Windows
Gestire le attenuazioni per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)
Nota importante Retpoline è abilitato per impostazione predefinita nei dispositivi Windows 10, versione 1809 se Spectre, Variant2 (CVE-2017-5715) è abilitato. L'abilitazione di Retpoline sull'ultima versione di Windows 10 può migliorare le prestazioni sui dispositivi che eseguono Windows 10, versione 1809 per la variante 2 di Spectre, in particolare sui processori meno recenti.
Per abilitare le attenuazioni predefinite per CVE-2017-5715 (Variante 2) e CVE-2017-5754 (Meltdown) reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavviare il computer per rendere effettive le modifiche. Per disabilitare le attenuazioni per CVE-2017-5715 (Variante Spectre 2) e CVE-2017-5754 (Meltdown) reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavviare il computer per rendere effettive le modifiche. |
Nota: Il valore 3 è accurato per FeatureSettingsOverrideMask per entrambe le impostazioni "enable" e "disable". (Vedere la sezione "FAQ" per ulteriori dettagli sulle chiavi del Registro di sistema.)
Gestire la mitigazione per CVE-2017-5715 (Variante Spectre 2)
Per disattivare le attenuazioni per CVE-2017-5715 (Variante Spectre 2) : reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavviare il computer per rendere effettive le modifiche. Per abilitare le attenuazioni predefinite per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown): reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavviare il computer per rendere effettive le modifiche. |
Solo processori AMD e ARM: attiva la mitigazione completa per CVE-2017-5715 (Variante 2)
Per impostazione predefinita, la protezione da utente a kernel per CVE-2017-5715 è disabilitata per le CPU AMD e ARM. I clienti devono abilitare la mitigazione per ricevere protezioni aggiuntive per CVE-2017-5715. Per altre informazioni, vedere domande frequenti #15 in ADV180002 per processori AMD e domande frequenti #20 in ADV180002 per processori ARM.
Abilitare la protezione da utente a kernel sui processori AMD e ARM insieme ad altre protezioni per CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavviare il computer per rendere effettive le modifiche. |
Gestire le attenuazioni per CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)
Per abilitare le attenuazioni per CVE-2018-3639 (Speculative Store Bypass), mitigazioni predefinite per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavviare il computer per rendere effettive le modifiche. |