예측 실행 부채널 취약성 방지를 위한 IT 전문가용 Windows 클라이언트 지침

권장 조치

고객은 취약성 발생을 방지할 수 있도록 다음 조치를 취해야 합니다.

  1. 월별 Windows 보안 업데이트를 비롯하여 제공되는 모든 Windows 운영 체제 업데이트를 적용합니다.

  2. 장치 제조업체에서 제공하는 해당 펌웨어(마이크로코드) 업데이트를 적용합니다.

  3. Microsoft 보안 공지 ADV180002, ADV180012, ADV190013, 그리고 이 기술 자료 문서에 있는 정보를 토대로 환경에 대한 위험을 평가합니다.

  4. 이 기술 자료 문서에 제공된 레지스트리 키 정보 및 공지 내용을 활용하여 필요한 조치를 취합니다.

참고 Surface 고객의 경우 Windows 업데이트를 통해 마이크로코드 업데이트를 받을 수 있습니다. 최신 Surface 장치 펌웨어(마이크로코드) 업데이트 목록은 KB 4073065를 참조하세요.

Windows 클라이언트에 대한 완화 기능 설정

보안 공지 ADV180002ADV180012, ADV190013에서는 이러한 취약성으로 인해 발생하는 위험에 대한 정보를 제공하고, Windows Server 시스템에 대한 기본적인 완화 기능 상태를 식별하도록 도와줍니다. 다음 표에는 CPU 마이크로코드의 요구 사항과 Windows 클라이언트의 기본 완화 기능 상태가 요약되어 있습니다.

CVE

CPU 마이크로코드/펌웨어의 필요 여부

완화 기능 기본 상태

CVE-2017-5753

아니요

기본적으로 사용(사용하지 않도록 설정하는 옵션 없음)

자세한 내용은 ADV180002를 참조하세요.

CVE-2017-5715

기본적으로 사용. AMD 프로세서 기반 시스템 사용자는 ADV180002의 FAQ #15를, ARM 프로세서 사용자는 FAQ #20을 참고하여 추가 조치 및 해당 레지스트리 키 설정의 이 KB 문서를 확인해야 합니다.

참고 두 번째 변종 스펙터(CVE-2017-5715)가 사용된 경우 “Retpoline”은Windows 10 버전 1809 이상이 탑재된 장치에서 기본적으로 사용됩니다. “Retpoline”에 대한 자세한 내용은 Windows의 Retpoline을 통해 두 번째 변종 스펙터 완화 블로그 게시물에 있는 지침을 참조하세요.

CVE-2017-5754

아니요

기본적으로 사용

자세한 내용은 ADV180002를 참조하세요.

CVE-2018-3639

Intel: 예
AMD: 아니요
ARM: 예

Intel 및 AMD: 기본적으로 사용 안 함. ADV180012에서 자세한 내용을 확인하고 이 KB 문서에서 관련 레지스트리 키 설정을 참조하세요.

ARM: 기본적으로 사용(사용하지 않도록 설정하는 옵션 없음).

CVE-2018-11091

Intel: 예

기본적으로 사용.

ADV190013에서 자세한 내용을 확인하고 이 KB 문서에서 관련 레지스트리 키 설정을 참조하세요.

CVE-2018-12126

Intel: 예

기본적으로 사용.

ADV190013에서 자세한 내용을 확인하고 이 KB 문서에서 관련 레지스트리 키 설정을 참조하세요.

CVE-2018-12127

Intel: 예

기본적으로 사용.

ADV190013에서 자세한 내용을 확인하고 이 KB 문서에서 관련 레지스트리 키 설정을 참조하세요.

CVE-2018-12130

Intel: 예

기본적으로 사용.

ADV190013에서 자세한 내용을 확인하고 이 KB 문서에서 관련 레지스트리 키 설정을 참조하세요.

CVE-2019-11135

Intel: 예

기본적으로 사용.

CVE-2019-11135에서 자세한 내용을 확인하고 이 KB 문서에서 관련 레지스트리 키 설정을 참조하세요.


참고 기본적으로 설정이 해제된 완화 기능을 사용하도록 설정하면 성능에 영향이 발생할 수 있습니다. 실제 성능에 미치는 영향은 장치의 특정 칩셋 및 실행 중인 작업 같은 여러 요인에 따라 달라집니다.

레지스트리 설정

다음 레지스트리 정보는 보안 공지 ADV180002ADV180012에 설명된 대로 기본적으로 사용하도록 설정되지 않은 완화 기능을 사용하도록 설정하기 위해 제공되는 것입니다. 또한 Microsoft는 Windows 클라이언트에 대한 CVE-2017-5715 및 CVE-2017-5754와 관련된 완화 기능을 사용하지 않도록 설정하려는 고객을 위해 레지스트리 키 설정도 제공하고 있습니다.

중요 이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가 보호 조치로 레지스트리를 수정하기 전에 해당 레지스트리를 백업하는 것이 좋습니다. 이렇게 하면 문제가 발생하는 경우 레지스트리를 복원할 수 있습니다. 레지스트리 백업 및 복원 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하세요.

322756 Windows에서 레지스트리를 백업 및 복원하는 방법

CVE-2017-5715(두 번째 변종 스펙터) 및 CVE-2017-5754(멜트다운)에 대한 완화 기능 관리

중요 참고 사항 두 번째 변종 스펙터(CVE-2017-5715)가 사용된 경우 Retpoline은 Windows 10, 버전 1809 장치에서 기본적으로 사용됩니다. 최신 버전의 Windows 10에서 Retpoline을 사용하면 Windows 10, 버전 1809가 탑재된 장치에서 두 번째 변종 스펙터에 대해 성능이 향상될 수도 있습니다(특히 구형 프로세서).

CVE-2017-5715(두 번째 변종 스펙터) 및 CVE-2017-5754(멜트다운)에 대한 기본 완화 기능을 사용하도록 설정하려면

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

변경 내용이 적용되도록 컴퓨터를 다시 시작합니다.

CVE-2017-5715(두 번째 변종 스펙터) 및 CVE-2017-5754(멜트다운)에 대한 완화 기능을 사용하지 않도록 설정하려면

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

변경 내용이 적용되도록 컴퓨터를 다시 시작합니다.

참고 "사용" 및 "사용 안 함" 설정 모두에 대해 FeatureSettingsOverrideMask를 3으로 설정하는 것이 정확합니다. 레지스트리 키에 대한 자세한 내용은 “FAQ” 절을 참조하세요.

CVE-2017-5715(두 번째 변종 스펙터)에 대한 완화 기능 관리

CVE-2017-5715(두 번째 변종  스펙터) 에 대한 완화 기능을 사용하지 않도록 설정하려면 :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

변경 내용이 적용되도록 컴퓨터를 다시 시작합니다.

CVE-2017-5715(두 번째 변종 스펙터) 및 CVE-2017-5754(멜트다운)에 대한 기본 완화 기능을 사용하도록 설정하려면:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

변경 내용이 적용되도록 컴퓨터를 다시 시작합니다.

AMD 및 ARM 프로세서만 해당: CVE-2017-5715(두 번째 변종 스펙터)에 대한 전체 완화 기능 사용

기본적으로, CVE-2017-5715에 대한 사용자-커널 보호 기능은 AMD 및 ARM CPU에 대해 사용하지 않도록 설정됩니다. CVE-2017-5715에 대한 추가 보호 기능을 수신하려는 고객은 완화 기능을 사용하도록 설정해야 합니다. 자세한 내용은 AMD 프로세서의 경우 ADV180002의 FAQ #15를, ARM 프로세서의 경우 ADV180002의 FAQ #20을 참조하세요.

AMD 및 ARM 프로세서에 대한 사용자-커널 보호 기능과 CVE 2017-5715에 대한 기타 보호 기능 사용:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

변경 내용이 적용되도록 컴퓨터를 다시 시작합니다.

CVE-2018-3639(예측 저장 우회) CVE-2017-5715(두 번째 변종 스펙터) 및 CVE-2017-5754(멜트다운)에 대한 완화 기능 관리

CVE-2018-3639(예측 저장 우회)에 대한 완화 기능과 CVE-2017-5715(두 번째 변종 스펙터) 및 CVE-2017-5754(멜트다운)에 대한 기본 완화 기능을 사용하도록 설정하려면:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

변경 내용이 적용되도록 컴퓨터를 다시 시작합니다.

참고: AMD 프로세서는 CVE-2017-5754(멜트다운)에 취약하지 않습니다. 이 레지스트리 키는 AMD 프로세서가 탑재된 시스템에서 AMD 프로세서의 CVE-2017-5715에 대한 기본 완화 기능과 CVE-2018-3639에 대한 완화 기능을 사용하도록 설정하는 데 사용됩니다.

CVE-2018-3639(예측 저장 우회), CVE-2017-5715(두 번째 변종 스펙터) *및* CVE-2017-5754(멜트다운)에 대한 완화 기능을 사용하지 않도록 설정하려면

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

변경 내용이 적용되도록 컴퓨터를 다시 시작합니다.

AMD 프로세서만 해당: CVE-2017-5715(두 번째 변종 스펙터) 및 CVE 2018-3639(예측 저장 우회)에 대한 전체 완화 기능 사용

기본적으로, CVE-2017-5715에 대한 사용자-커널 보호 기능은 AMD 프로세서에 대해 사용하지 않도록 설정됩니다. CVE-2017-5715에 대한 추가 보호 기능을 수신하려는 고객은 완화 기능을 사용하도록 설정해야 합니다.  자세한 내용은 ADV180002의 FAQ #15를 참조하세요.

AMD 프로세서에 대한 사용자-커널 보호 기능과 CVE 2017-5715에 대한 기타 보호 기능 및 CVE 2018-3639(예측 저장 우회)에 대한 보호 기능 사용:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

변경 내용이 적용되도록 컴퓨터를 다시 시작합니다.

예측 저장 우회 사용 안 함(SSBD) [ CVE-2018-3639 ] 및 L1 터미널 결함(L1TF)(CVE-2018-3615, CVE-2018-3620, CVE-2018-3646) 등 스펙터(CVE-2017-5753 및 CVE-2017-5715) 및 멜트다운(CVE-2017-5754) 변종과 함께 Intel® TSX(Intel® Transactional Synchronization Extensions) 트랜잭션 비동기 중단 취약성(CVE-2019-11135) 및 마이크로아키텍처 데이터 샘플링(CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) 관리

하이퍼 스레딩을 비활성화하지 않은 상태에서 예측 저장 우회 사용 안 함(SSBD)(CVE-2018-3639) 및 L1 터미널 결함(L1TF)(CVE-2018-3615, CVE-2018-3620, CVE-2018-3646) 등 스펙터(CVE-2017-5753 및 CVE-2017-5715) 및 멜트다운(CVE-2017-5754) 변종과 함께 Intel® TSX(Intel® Transactional Synchronization Extensions) 트랜잭션 비동기 중단 취약성(CVE-2019-11135) 및 마이크로아키텍처 데이터 샘플링( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 )에 완화 기능을 사용하는 방법:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V 기능이 설치된 경우 다음 레지스트리 설정을 추가합니다.

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hyper-V 호스트이고 펌웨어 업데이트를 적용한 경우: 모든 가상 머신을 완전히 종료합니다. 이렇게 하면 VM을 시작하기 전에 펌웨어 관련 완화 기능을 호스트에 적용할 수 있습니다. 그에 따라 VM도 다시 시작할 때 업데이트됩니다.

변경 내용이 적용되도록 컴퓨터를 다시 시작합니다.

하이퍼 스레딩을 비활성화한 상태에서 예측 저장 우회 사용 안 함(SSBD)(CVE-2018-3639) 및 L1 터미널 결함(L1TF)(CVE-2018-3615, CVE-2018-3620, CVE-2018-3646) 등 스펙터(CVE-2017-5753 및 CVE-2017-5715) 및 멜트다운(CVE-2017-5754) 변종과 함께 Intel® TSX(Intel® Transactional Synchronization Extensions) 트랜잭션 비동기 중단 취약성(CVE-2019-11135) 및 마이크로아키텍처 데이터 샘플링( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 )에 완화 기능을 사용하는 방법:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V 기능이 설치된 경우 다음 레지스트리 설정을 추가합니다.

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

 

Hyper-V 호스트이고 펌웨어 업데이트를 적용한 경우: 모든 가상 머신을 완전히 종료합니다. 이렇게 하면 VM을 시작하기 전에 펌웨어 관련 완화 기능을 호스트에 적용할 수 있습니다. 그에 따라 VM도 다시 시작할 때 업데이트됩니다.

변경 내용이 적용되도록 컴퓨터를 다시 시작합니다.

예측 저장 우회 사용 안 함(SSBD)[CVE-2018-3639] 및 L1 터미널 결함(L1TF)(CVE-2018-3615, CVE-2018-3620, CVE-2018-3646) 등 스펙터(CVE-2017-5753 및 CVE-2017-5715) 및 멜트다운(CVE-2017-5754) 변종과 함께 Intel® TSX(Intel® Transactional Synchronization Extensions) 트랜잭션 비동기 중단 취약성(CVE-2019-11135) 및 마이크로아키텍처 데이터 샘플링( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 )에 완화 기능을 사용하지 않는 방법:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

변경 내용이 적용되도록 컴퓨터를 다시 시작합니다.

보호 기능이 사용하도록 설정되었는지 확인

Microsoft는 보호 기능이 사용하도록 설정되었는지를 고객이 확인할 수 있도록 고객이 시스템에서 실행 가능한 PowerShell 스크립트를 게시했습니다. 다음 명령을 실행하여 스크립트를 설치하고 실행합니다.

PowerShell 갤러리를 사용한 PowerShell 확인(Windows Server 2016 또는 WMF 5.0/5.1)

PowerShell 모듈 설치:

PS> Install-Module SpeculationControl

PowerShell 모듈을 실행하여 보호 기능이 사용하도록 설정되었는지 확인:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

 

Technet의 다운로드를 사용한 PowerShell 확인(이전 운영 체제 버전 및 이전 WMF 버전)

Technet ScriptCenter에서 PowerShell 모듈 설치:

https://aka.ms/SpeculationControlPS로 이동

로컬 폴더로 SpeculationControl.zip 다운로드

로컬 폴더(예: C:\ADV180002)에 내용의 압축 풀기

PowerShell 모듈을 실행하여 보호 기능이 사용하도록 설정되었는지 확인:

PowerShell을 시작한 다음 이전 예제를 사용하여 다음 명령을 복사하고 실행합니다.

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


PowerShell 스크립트 출력에 대한 자세한 설명은 기술 자료 문서 4074629를 참조하세요.

질문과 대답

마이크로코드는 펌웨어 업데이트를 통해 제공됩니다. 고객은 Intel의 Microcode 수정 지침을 비롯하여 사용 중인 특정 장치에 해당하는 펌웨어 보안 업데이트 사용 가능 여부를 CPU(칩셋) 및 장치 제조업체에 확인해야 합니다.

소프트웨어 업데이트를 통해 하드웨어 취약성을 해결하면 심각한 문제가 발생합니다. 또한 이전 운영 체제에 대한 완화 기능을 적용하려면 아키텍처를 포괄적으로 변경해야 합니다. Microsoft는 완화 기능을 가장 효율적으로 제공하는 방법을 파악하기 위해 해당 칩셋 제조업체와 협력하고 있으며, 이러한 완화 기능은 향후 업데이트에서 제공될 예정입니다.

Microsoft Surface 장치용 업데이트는 Windows 운영 체제용 업데이트와 함께 Windows 업데이트를 통해 고객에게 제공됩니다. 사용할 수 있는 Surface 장치 펌웨어(마이크로코드) 업데이트 목록은 KB 4073065를 참조하세요.

타사 장치를 사용 중이라면 장치 제조업체에서 제공하는 펌웨어를 적용합니다. 자세한 내용은 OEM 장치 제조업체에 문의하세요.

2018년 2월과 3월에 Microsoft는 x86 기반 시스템용 추가 보호 기능을 출시했습니다. 자세한 내용은 KB 4073757Microsoft 보안 공지 ADV180002를 참조하세요.

Windows 10 for HoloLens용 업데이트는 Windows 업데이트를 통해 HoloLens 고객에게 제공됩니다.

2018년 2월 Windows 보안 업데이트를 적용한 HoloLens 고객은 장치 펌웨어 업데이트를 위해 추가 조치를 취하지 않아도 됩니다. 이러한 완화 기능은 모든 향후 Windows 10 for HoloLens 릴리스에도 포함될 예정입니다.

아니요. 보안 전용 업데이트는 누적 업데이트가 아닙니다. 실행 중인 운영 체제 버전에 따라 다르지만, 이러한 취약성으로부터 보호받으려면 모든 월별 보안 전용 업데이트를 설치해야 합니다. 예를 들어 영향을 받는 Intel CPU에서 Windows 7(32비트 시스템용)을 실행 중인 경우 모든 보안 전용 업데이트를 설치해야 합니다. 이러한 보안 전용 업데이트는 발표 순서대로 설치하는 것이 좋습니다.

참고 이 FAQ의 이전 버전에는 1월에 발표된 보안 픽스가 2월 보안 전용 업데이트에 포함되어 있다고 잘못 설명되어 있습니다. 실제로는 포함되어 있지 않습니다.

아니요. 보안 업데이트 4078130은 마이크로코드 설치 후 발생하는 예측할 수 없는 시스템 동작, 성능 문제 및/또는 예기치 않은 재부팅을 방지하기 위한 특정 픽스였습니다. Windows 클라이언트 운영 체제에서 2월 보안 업데이트를 적용하면 3개 완화 기능이 모두 사용하도록 설정됩니다.

Intel은 최신 CPU 플랫폼의 유효성 검사를 완료했으며 해당 플랫폼용 마이크로코드 출시를 시작했음을 최근 발표했습니다. Microsoft는 두 번째 변종인 스펙터(Spectre)(CVE-2017-5715 "분기 대상 삽입")와 관련하여 Intel에서 유효성을 검사한 마이크로코드 업데이트를 제공하고 있습니다. 구체적인 기술 자료 문서(Windows 버전별)는 KB 4093836에 나와 있습니다. 각 KB에는 CPU별로 제공되는 Intel 마이크로코드 업데이트가 포함되어 있습니다.

이 문제는 KB 4093118에서 해결되었습니다.

AMD는 두 번째 변종인 스펙터(Spectre)(CVE -2017-5715 분기 대상 삽입)와 관련하여 최신 CPU 플랫폼용 마이크로코드를 공개하기 시작했다고 최근 발표했습니다. 자세한 내용은 AMD 보안 업데이트AMD 백서: 간접 분기 제어와 관련된 아키텍처 지침을 참조하세요. 이러한 항목은 OEM 펌웨어 채널을 통해 얻을 수 있습니다.

Microsoft는 두 번째 변종인 스펙터(Spectre)(CVE-2017-5715 “분기 대상 삽입)와 관련하여 Intel에서“ 유효성을 검사한 마이크로코드 업데이트를 제공하고 있습니다. Windows 업데이트를 통해 최신 Intel 마이크로코드 업데이트를 받으려는 고객은 Windows 10 2018년 4월 업데이트(버전 1803)로 업그레이드하기 전에 Windows 10 운영 체제를 실행하는 장치에 Intel 마이크로코드가 설치되어 있어야 합니다.

OS를 업그레이드하기 전에 장치에 마이크로코드가 설치되어 있지 않은 경우에는 카탈로그를 통해 바로 마이크로코드 업데이트를 받을 수도 있습니다. Intel 마이크로코드는 Windows 업데이트, WSUS 또는 Microsoft 업데이트 카탈로그를 통해 제공됩니다. 자세한 내용 및 다운로드 지침을 확인하려면 KB 4100347을 참조하세요.

자세한 내용은 ADV180012 | 예측 저장 우회 관련 Microsoft 지침의 “권장 조치” 및 “FAQ” 절을 참조하세요.

SSBD의 상태를 확인하기 위해 영향을 받는 프로세서, SSBD 운영 체제 업데이트의 상태, 프로세서 마이크로코드의 상태(해당하는 경우)를 감지하도록 Get-SpeculationControlSettings PowerShell 스크립트가 업데이트되었습니다. 이 PowerShell 스크립트에 대한 자세한 내용을 확인하고 스크립트를 얻으려면 KB 4074629를 참조하세요.

2018년 6월 13일에는 지연 FP 상태 복원이라고 하는 부채널 예측 실행과 관련된 취약성이 추가로 발표되었으며 취약성 번호 CVE-2018-3665가 할당되었습니다. 지연 FP 상태 복원에 필요한 구성(레지스트리) 설정은 없습니다.

이 취약성 및 권장 조치에 대한 자세한 내용은 보안 공지 ADV180016 | 지연 FP 상태 복원 관련 Microsoft 지침을 참조하세요.

참고 지연 FP 상태 복원에 필요한 구성(레지스트리) 설정은 없습니다.

BCBS(범위 확인 저장 우회)는 2018년 7월 10일에 발표되었으며 취약성 번호 CVE-2018-3693이 할당되었습니다. BCBS는 첫 번째 변종인 범위 확인 우회와 동일한 취약성 종류에 속하는 것으로 판단됩니다. 현재 자사의 소프트웨어에서 BCBS가 발생한 경우는 접수되지 않고 있지만 이 취약성 종류를 계속 조사하고 있으며 필요에 따라 업계 파트너와 협력하여 완화 기능을 제공할 예정입니다. Microsoft는 연구원들이 BCBS의 악용 가능한 사례를 포함하여 이 취약성과 관련된 사항을 발견할 경우 Microsoft의 예측 실행 부채널 바운티 프로그램에 제출하도록 계속 독려하고 있습니다. 소프트웨어 개발자들은 https://aka.ms/sescdevguide에서 BCBS에 대해 업데이트된 개발자 지침을 검토해야 합니다.

2018년 8월 14일에 L1TF(L1 터미널 결함)가 발표되어 여러 CVE가 할당되었습니다. 이러한 새로운 예측 실행 부채널 취약성은 신뢰 영역에서 메모리 콘텐츠를 읽는 데 사용할 수 있으며, 악용될 경우 정보가 유출될 수 있습니다. 구성된 환경에 따라 다르지만, 공격자는 여러 벡터를 통해 취약성을 트리거할 수 있습니다. L1TF는 Intel® Core® 프로세서 및 Intel® Xeon® 프로세서에 영향을 미칩니다.

L1TF를 완화하기 위한 Microsoft의 접근 방식을 포함하여 이 취약성 및 영향을 받는 시나리오에 대한 자세한 내용은 다음 리소스를 참조하세요.

64비트 ARM 프로세서를 사용하는 고객은 장치 OEM에 펌웨어 지원을 문의해야 합니다. CVE-2017-5715 - 분기 대상 삽입(두 번째 변종 스펙터)을 완화하는 ARM64 운영 체제 보호 기능을 적용하려면 장치 OEM에서 제공한 최신 펌웨어 업데이트가 필요하기 때문입니다.

Azure에 대한 지침은 Azure에서 예측 실행 부채널 취약성을 완화하기 위한 지침을 참조하세요  

Retpoline 사용에 대한 자세한 내용은 블로그 게시물  Windows의 Retpoline을 통해 두 번째 변종 스펙터 완화를 참조하세요. 

이 취약성에 대한 자세한 내용은 Microsoft 보안 업데이트 가이드를 참조하세요. CVE-2019-1125 | Windows 커널 정보 유출 취약성.

이 정보 유출 취약성이 클라우드 서비스 인프라에 영향을 준 사례는 아직 보고되지 않았습니다.

Microsoft는 이 문제를 인지한 순간 이를 해결하는 업데이트를 공개하기 위해 신속하게 대처했습니다. Microsoft는 연구기관 및 업계 파트너와 긴밀히 협력하여 고객을 더욱 안전하게 보호하기 위해 노력하고 있으며, 취약성 공개 관행에 따라 8월 6일 화요일까지 세부 정보를 공개하지 않았습니다.

 

추가 도움이 필요하신가요?

기술 향상
교육 살펴보기
새로운 기능 우선 가져오기
Microsoft Insider 참가

이 정보가 유용한가요?

소중한 의견에 감사드립니다.

피드백을 주셔서 감사합니다. Office 지원 에이전트와 연락하는 것이 도움이 될 것 같습니다.

×