KB4072698: patarimai dėl "Windows Server" ir "Azure Stack HCI", padėsiančio apsisaugoti nuo mikroarchitektūros ir su spėjamu vykdymu susijusių šalutinių kanalų spragų

Šiame straipsnyje aptariami šie su spėjamu vykdymu susijusios spragos:

• CVE-2017-5715 | Branch Target Injection

• CVE-2017-5753 | Ribos – tikrinti apėjimo sąvaržą

• CVE-2017-5754 | Nesąžiningų duomenų talpyklos įkėlimas

• CVE-2018-3639 | Speculative Store Bypass

"Windows Update" taip pat pateiks "Internet Explorer" ir "Edge" mažinimų. Mes ir toliau tobulinsime šias pažeidžiamumą mažinančias priemones, atsižvelgdami į šią pažeidžiamumo klasę.

Norėdami sužinoti daugiau apie šią pažeidžiamumų klasę, žr.

• ADV180002 | Rekomendacijos, kaip sumažinti su spėjamu vykdymu susijusių šalutinių kanalų pažeidžiamumą

• ADV180012 | "Microsoft" rekomendacijos dėl "Speculative Store Bypass"

2019 m. gegužės 14 d. "Intel" paskelbė informaciją apie naują spekuliacinių vykdymo šalutinių kanalų spragų, vadinamų mikroarchitektūros duomenų atranka, poklasį ir dokumentuotą ADV190013 | Mikroarchitektūros duomenų atranka. Jiems buvo priskirti šie CVEs:

• CVE-2019-11091 | Mikroarchitektūros duomenų atranka Nenumatoma atmintis (MDSUM)

• CVE-2018-12126 | Mikroarchitektūros saugyklos buferio duomenų atranka (MSBDS)

• CVE-2018-12127 | Mikroarchitektūros užpildo buferio duomenų atranka (MFBDS)

• CVE-2018-12130 | Mikroarchitektūros apkrovos prievado duomenų atranka (MLPDS)

"Microsoft" išleido naujinimus, kad padėtų sušvelninti šiuos pažeidžiamumus. Norint gauti visas galimas apsaugos priemones, reikalinga programinė-aparatinė įranga (mikrokodas) ir programinės įrangos naujinimai. Tai gali apimti mikrokodą iš įrenginio OĮG. Kai kuriais atvejais šių naujinimų diegimas turės įtakos veikimui. Taip pat veikėme siekdami apsaugoti savo debesies paslaugas. Primygtinai rekomenduojame įdiegti šiuos naujinimus.

Daugiau informacijos apie šią problemą žr. toliau pateiktu saugos patarimu ir naudokite scenarijumi pagrįstas rekomendacijas, kad nustatytumėte veiksmus, kurių reikia grėsmei sumažinti:

• ADV190013 | "Microsoft" rekomendacijos, kaip sumažinti mikroarchitektūros duomenų pavyzdžių rinkimo pažeidžiamumus

• "Windows" rekomendacijos, kaip apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų

2019 m. rugpjūčio 6 d. "Intel" išleido išsamią informaciją apie "Windows" branduolio informacijos atskleidimo pažeidžiamumą. Šis pažeidžiamumas yra "Spectre Variant 1" spėjamo vykdymo šalutinio kanalo pažeidžiamumo variantas ir buvo priskirtas CVE-2019-1125.

2019 m. liepos 9 d. išleidome "Windows" operacinės sistemos saugos naujinimus, kad padėtumėte išspręsti šią problemą. Atkreipkite dėmesį, kad iki 2019 m. rugpjūčio 6 d., antradienį, rugpjūčio 6 d., koordinuotai pramonei neatskleidėme šio poveikio mažinimo dokumentų viešai.

Klientai, kurie "Windows Update" įgalinti ir pritaikė 2019 m. liepos 9 d. išleistus saugos naujinimus, yra apsaugoti automatiškai. Nereikia papildomai konfigūruoti.

Norėdami gauti daugiau informacijos apie šį pažeidžiamumą ir taikomus naujinimus, žr. "Microsoft" saugos naujinimo vadovą:

• CVE-2019-1125 | "Windows" branduolio informacijos atskleidimo pažeidžiamumas

2019 m. lapkričio 12 d. "Intel" paskelbė techninį patarimą dėl "Intel"® operacijų sinchronizavimo plėtinių ("Intel TSX") operacijos asinchroninio nutraukimo pažeidžiamumo, kuriam priskirtas CVE-2019-11135. "Microsoft" išleido naujinimus, skirtus sušvelninti šį pažeidžiamumą, ir OS apsaugos yra įjungtas pagal numatytuosius parametrus Windows Server 2019 bet išjungtas pagal numatytuosius parametrus Windows Server 2016 ir ankstesnių Windows Server OS leidimai.

2022 m. birželio 14 d. paskelbėme ADV220002 | "Microsoft" rekomendacijos dėl "Intel" procesoriaus MMIO pasenusių duomenų pažeidžiamumų ir priskirti šie CVEs: 

• CVE-2022-21123 | Bendrai naudojami buferio duomenys nuskaityti (SBDR)

• CVE-2022-21125 | Bendrai naudojamų buferio duomenų atranka (SBDS)

• CVE-2022-21127 | Specialiojo registro buferio duomenų rinkimo naujinimas (SRBDS naujinimas)

• CVE-2022-21166 | Įrenginio registruoti dalinį rašymą (DRPW)

Rekomenduojami veiksmai

Turėtumėte imtis šių veiksmų, kad apsisaugotumėte nuo pažeidžiamumų:

1. Taikykite visus galimus "Windows" operacinės sistemos naujinimus, įskaitant mėnesinius "Windows" saugos naujinimus.

2. Taikykite galiojantį programinės-aparatinės įrangos (mikrokodo) naujinimą, kurį teikia įrenginio gamintojas.

3. Įvertinkite riziką savo aplinkai pagal informaciją, pateiktą "Microsoft" saugos patarimuose: ADV180002, ADV180012, ADV190013 ir ADV220002, kartu su informacija, pateikta šiame žinių bazė straipsnyje.

4. Atlikite reikiamus veiksmus naudodami patarimus ir registro rakto informaciją, pateiktą šiame žinių bazė straipsnyje.

Pagal numatytuosius parametrus CVE-2017-5715 vartotojo ir branduolio apsauga išjungta AMD CPU. Klientai turi įgalinti rizikos mažinimą, kad gautų papildomą CVE-2017-5715 apsaugą.  Daugiau informacijos žr. DUK #15 adv180002.

Pagal numatytuosius parametrus VARTOTOJŲ apsauga nuo branduolio CVE-2017-5715 išjungta AMD procesoriams. Klientai turi įgalinti rizikos mažinimą, kad gautų papildomą CVE-2017-5715 apsaugą.  Daugiau informacijos žr. DUK #15 adv180002.

Įgalinkite vartotojo ir branduolio apsaugą AMD procesoriuose:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Kad būtų visiškai apsaugoti, klientams taip pat gali tekti išjungti Hyper-Threading (dar vadinamą vienalaikiu kelių gijų gija (SMT).) Instrukcijas, kaip apsaugoti "Windows" įrenginius, rasite KB4073757.

Išsamų "PowerShell" scenarijaus išvesties paaiškinimą rasite KB4074629 . 

Siekiant išvengti neigiamos įtakos klientų įrenginiams, "Windows" saugos naujinimai, kurie buvo išleisti 2018 m. sausio ir vasario mėn., buvo siūlomi ne visiems klientams. Daugiau informacijos žr . KB407269 .

Mikrokodas pristatomas naudojant programinės-aparatinės įrangos naujinimą. Pasitarkite su OĮG apie programinės-aparatinės įrangos versiją, kurioje yra tinkamas jūsų kompiuterio naujinimas.

Yra keli kintamieji, kurie turi įtakos našumui, pradedant nuo sistemos versijos iki veikiančių darbo krūvių. Kai kuriose sistemose veikimo poveikis bus nereikšmingas. Kitiems tai bus labai svarbu.

Rekomenduojame įvertinti sistemos veikimo poveikį ir, jei reikia, pakoreguoti.

Be šiame straipsnyje pateikiamų nurodymų dėl virtualiųjų mašinų, kreipkitės į paslaugų teikėją ir įsitikinkite, kad jūsų virtualiąsias mašinas naudojantys kompiuteriai yra tinkamai apsaugoti.

Jei naudojate "Windows Server" virtualiąsias mašinas, veikiančias "Azure", žr . Patarimai, kaip sumažinti su spėjamu vykdymu susijusių šalutinių kanalų pažeidžiamumą "Azure ". Jei reikia patarimų, kaip naudoti "Azure Update Management" siekiant sušvelninti šią problemą svečių VM, žr. KB4077467.

Naujinimai, kurie buvo išleisti "Windows Server" konteinerio atvaizdams, skirtiems "Windows Server 2016" ir "Windows 10" 1709 versijai, apima pažeidžiamumą mažinančias priemones. Nereikia papildomos konfigūracijos.

Pastaba Vis tiek turite įsitikinti, kad pagrindinis kompiuteris, kuriame veikia šie konteineriai, yra sukonfigūruotas įgalinti atitinkamus mažinimus.

Ne, diegimo užsakymas nesvarbus.

Taip, turite paleisti iš naujo po programinės-aparatinės įrangos (mikrokodo) naujinimo ir dar kartą po sistemos naujinimo.

Toliau pateikta išsami informacija apie registro raktus:

FeatureSettingsOverride – tai rastras, kuris perrašo numatytąjį parametrą ir valdiklius, kurie bus išjungti. Bit 0 valdo rizikos mažinimą, kuris atitinka CVE-2017-5715. Bitas 1 valdo rizikos mažinimą, kuris atitinka CVE-2017-5754. Bitai nustatyti į 0 , kad būtų įgalintas rizikos mažinimas, ir į 1 išjungti rizikos mažinimą.

FeatureSettingsOverrideMask – tai rastro šablonas, naudojamas kartu su FeatureSettingsOverride.  Tokiu atveju naudojame reikšmę 3 (išreikštą 11 dvejetainių skaičių arba 2 bazinių skaičių sistemoje), kad nurodytume pirmuosius du bitus, atitinkančius galimus mažinimus. Šis registro raktas nustatytas į 3 ir įjungti arba išjungti mažinimą.

MinVmVersionForCpuBasedMitigations skirta "Hyper-V" pagrindiniams kompiuteriams. Šis registro raktas apibrėžia minimalią VM versiją, reikalingą norint naudoti atnaujintas programinės-aparatinės įrangos galimybes (CVE-2017-5715). Nustatykite 1,0 , kad apimtų visas VM versijas. Atkreipkite dėmesį, kad šios registro reikšmės bus nepaisoma (gerybinė) ne "Hyper-V" pagrindiniuose kompiuteriuose. Daugiau informacijos žr . Svečio virtualiųjų mašinų apsauga nuo CVE-2017-5715 (šakos tikslinis įdėjimas).

Taip, jei šie registro parametrai taikomi prieš diegiant su 2018 m. sausio mėn. susijusias pataisas, nėra jokio šalutinio poveikio.

Peržiūrėkite išsamų scenarijaus išvesties aprašą KB4074629: Supratimas Spekuliavimo valdymo "PowerShell" scenarijaus išvestis .

Taip, "Windows Server 2016 Hyper-V" pagrindiniams kompiuteriams, kurie dar neturi pasiekiamo programinės-aparatinės įrangos naujinimo, paskelbėme alternatyvias rekomendacijas, kurios gali padėti sumažinti VM iki VM arba VM, kad būtų galima atakoms laikyti. Žr. Alternatyvi "Windows Server 2016 Hyper-V" pagrindinių kompiuterių apsauga nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų .

Tik saugos naujinimai nėra kaupiamieji. Atsižvelgiant į jūsų operacinės sistemos versiją, gali tekti įdiegti kelis saugos naujinimus, kad būtų galima užtikrinti visišką apsaugą. Paprastai klientai turės įdiegti 2018 m. sausio, vasario, kovo ir balandžio mėn. naujinimus. Sistemoms, kuriose yra AMD procesorių, reikia papildomo naujinimo, kaip parodyta toliau pateiktoje lentelėje:

Rekomenduojame įdiegti tik saugos naujinimus išleidimo tvarka.

Ne. Saugos naujinimas KB4078130 buvo konkreti pataisa, skirta išvengti neprognozuojamo sistemos veikimo, efektyvumo problemų ir netikėto paleidimo iš naujo įdiegus mikrokodą. Saugos naujinimų taikymas "Windows" kliento operacinėse sistemose įgalina visus tris mažinimus. "Windows Server" operacinėse sistemose vis tiek turite įgalinti mažinimą atlikus tinkamus testus. Daugiau informacijos žr. KB4072698.

Ši problema buvo išspręsta KB4093118.

2018 m. vasario mėn. "Intel" paskelbė , kad užbaigė savo tikrinimus ir pradėjo išleisti mikrokodą naujesnėms CPU platformoms. "Microsoft" pateikia "Intel" patvirtintus mikrokodo naujinimus, susijusius su "Spectre Variant 2 Spectre Variant 2" (CVE-2017-5715 | Šakų tikslinis įdėjimas). KB4093836 išvardija konkrečius žinių bazė straipsnius pagal "Windows" versiją. Kiekviename konkrečiame KB straipsnyje pateikiami galimi "Intel" mikrokodo naujinimai pagal CPU.

2018  m. sausio 11 d. "Intel" pranešė apie problemas neseniai išleistame mikrokodo kode, kuris buvo skirtas adresuoti "Spectre" 2 variantą (CVE-2017-5715 | Šakų tikslinis įdėjimas). Konkrečiai "Intel" pažymėjo, kad šis mikrokodas gali sukelti "didesnį nei tikėtasi perkrovimą ir kitą nenuspėjamą sistemos veikimą" ir kad šie scenarijai gali sukelti "duomenų praradimą arba sugadinimą."Mūsų patirtis yra ta, kad sistemos nestabilumas gali sukelti duomenų praradimą ar sugadinimą tam tikromis aplinkybėmis. Sausio 22 d. "Intel" rekomendavo klientams sustabdyti dabartinės mikrokodo versijos diegimą paveiktuose procesoriuose, kol "Intel" atlieka papildomus atnaujinto sprendimo testus. Suprantame, kad "Intel" toliau tiria dabartinės mikrokodo versijos galimą poveikį. Raginame klientus nuolat peržiūrėti rekomendacijas, kad būtų galima informuoti apie savo sprendimus.

Kol "Intel" tikrina, naujina ir diegia naują mikrokodą, pateikiame ne juostos (OOB) naujinimą KB4078130, kuris išjungia tik poveikio sumažinimą dėl CVE-2017-5715. Tikrinant aptiktas šis naujinimas, kad būtų išvengta aprašyto veikimo. Visą įrenginių sąrašą rasite mikrokodo peržiūros rekomendacijose iš "Intel". Šis naujinimas apima "Windows 7" 1 pakeitimų paketą (SP1), "Windows 8".1" ir visas Windows 10 versijas , tiek klientą, tiek serverį. Jei naudojate paveiktą įrenginį, šį naujinimą galima taikyti atsisiunčiant jį iš "Microsoft Update" katalogo svetainės. Šio paketo turinio taikymas išjungia tik rizikos mažinimą dėl CVE-2017-5715.

Nuo šio laiko nėra žinomų ataskaitų, nurodančių, kad šis "Spectre Variant 2" (CVE-2017-5715 – "Branch Target Injection") buvo naudojamas atakoms klientams. Rekomenduojame, kai reikia, "Windows" vartotojams iš naujo įjungti poveikio mažinimą dėl CVE-2017-5715, kai "Intel" praneša, kad jūsų įrenginyje buvo išspręstas šis neprognozuojamas sistemos veikimas.

2018 m. vasario mėn. "Intel"paskelbė , kad užbaigė savo tikrinimus ir pradėjo išleisti mikrokodą naujesnėms CPU platformoms. "Microsoft" pateikia "Intel" patvirtintus mikrokodo naujinimus, susijusius su "Spectre Variant 2 Spectre Variant 2" (CVE-2017-5715 | Šakų tikslinis įdėjimas). KB4093836 išvardija konkrečius žinių bazė straipsnius pagal "Windows" versiją. KB sąraše pateikiami "Intel" mikrokodo naujinimai pagal CPU.

Daugiau informacijos žr. AMD saugos Naujinimai ir AMD techninę dokumentaciją: Architektūros gairės dėl netiesioginio šakų valdymo. Jas galima gauti iš OĮG programinės-aparatinės įrangos kanalo.

Pateikiame galimus "Intel" patvirtintus mikrokodo naujinimus, susijusius su "Spectre Variant 2" (CVE-2017-5715 – "Branch Target Injection"). Norėdami gauti naujausius "Intel" mikrokodo naujinimus per ""Windows Update"", klientai turi įdiegti "Intel" mikrokodą įrenginiuose, kuriuose veikia Windows 10 operacinė sistema, prieš atnaujindami versiją į Windows 10 2018 m. balandžio mėn. naujinimą (1803 versiją).

Mikrokodo naujinimas taip pat pasiekiamas tiesiogiai iš "Microsoft Update" katalogo, jei jis nebuvo įdiegtas įrenginyje prieš atnaujinant sistemą. "Intel" mikrokodas pasiekiamas per ""Windows Update"", "Windows Server Update Services" (WSUS) arba "Microsoft Update" katalogą. Daugiau informacijos ir atsisiuntimo instrukcijas rasite KB4100347.

Daugiau informacijos žr. šiuose ištekliuose:

• ADV180012 | "Microsoft" rekomendacijos dėl "Speculative Store Bypass for CVE-2018-3639"

• ADV180013 | "Microsoft" rekomendacijos dėl "Rogue System Register ", skirtos CVE-2018-3640 ir KB 4073065 | Rekomendacijos "Surface" klientams

• "Microsoft" saugos tyrimų ir gynybos tinklaraštis

• Kūrėjo rekomendacijos dėl "Speculative Store Bypass"

Žr. ADV180012 skyrius   "Rekomenduojami veiksmai" ir "DUK" | "Microsoft" rekomendacijos dėl "Speculative Store Bypass".

Norint patikrinti SSBD būseną, buvo atnaujintas " PowerShell" scenarijus Get-SpeculationControlSettings , kad aptiktų paveiktus procesorius, SSBD operacinės sistemos naujinimų būseną ir procesoriaus mikrokodo būseną, jei taikoma. Norėdami gauti daugiau informacijos ir gauti "PowerShell" scenarijų, žr. KB4074629.

2018 m. birželio 13 d. buvo paskelbta apie papildomą pažeidžiamumą, kuris apima šalutinių kanalų spekuliacinį vykdymą, vadinamą "Lazy FP State Restore", ir priskirtas CVE-2018-3665 . Informacijos apie šį pažeidžiamumą ir rekomenduojamus veiksmus, ieškokite saugos patarimą ADV180016 | "Microsoft" rekomendacijos dėl "Lazy FP State Restore" .

Pastaba Nėra būtinų konfigūracijos (registro) parametrų, skirtų "Lazy Restore FP Restore".

"Bounds Check Bypass Store" (BCBS) buvo atskleista 2018 m. liepos 10 d. ir priskirta CVE-2018-3693. Mes laikome, kad BCBS priklauso tai pačiai spragų klasei kaip "Bounds Check Bypass" (1 variantas). Šiuo metu nežinome apie jokius BCBS egzempliorius savo programinėje įrangoje. Tačiau mes ir toliau tiriame šią pažeidžiamumo klasę ir dirbsime su pramonės partneriais, kad galėtume išleisti pažeidžiamumą mažinančias priemones, kaip reikalaujama. Raginame tyrėjus pateikti atitinkamas išvadas į "Microsoft Speculative Execution Side Channel bounty" programą, įskaitant bet kokius išnaudojamus BCBS egzempliorius. Programinės įrangos kūrėjai turėtų peržiūrėti kūrėjo rekomendacijas, kurios buvo atnaujintos BCBS C++ kūrėjų rekomendacijose dėl su spėjamu vykdymu susijusių šalutinių kanalų 

2018 m. rugpjūčio 14 d. paskelbta apie L1 terminalo gedimą (L1TF) ir priskirti keli CVEs. Šios naujos su spėjamu vykdymu susijusios šalutinių kanalų spragos gali būti naudojamos atminties turiniui skaityti per patikimas ribas ir, jei išnaudojamos, gali lemti informacijos atskleidimą. Yra keli vektoriai, pagal kuriuos programišius gali sukelti pažeidžiamumus, atsižvelgiant į sukonfigūruotą aplinką. L1TF turi įtakos "Intel Core®"® procesoriams ir "Intel Xeon®"® procesoriams.

Norėdami gauti daugiau informacijos apie šį pažeidžiamumą ir išsamų peržiūrėti paveiktus scenarijus, įskaitant "Microsoft" požiūrį į L1TF, žr. šiuos išteklius:

• ADV180018 | "Microsoft" rekomendacijos, kaip sumažinti L1TF variantą

• Saugos patarimo saugos tyrimų tinklaraštis

• Patarimai dėl serverio L1 terminalo klaidos

Veiksmai, kaip išjungti Hyper-Threading skiriasi nuo OĮG iki OĮG, bet paprastai yra BIOS arba programinės-aparatinės įrangos sąrankos ir konfigūravimo įrankių dalis.

Klientai, naudojantys 64 bitų ARM procesorius, turėtų kreiptis į įrenginio OĮG dėl programinės-aparatinės įrangos palaikymo, nes ARM64 operacinės sistemos apsaugos, sumažinančios CVE-2017-5715 | Branch target injection (Spectre, Variant 2) require the latest firmware update from device OĮG to effect.

Norėdami gauti daugiau informacijos, žr. šiuos saugos patarimus

• "Intel" saugos patarimas

• ADV190013 | "Microsoft" rekomendacijos, kaip sumažinti mikroarchitektūros duomenų pavyzdžių rinkimo pažeidžiamumus

Daugiau patarimų galima rasti "Windows" rekomendacijose, kaip apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų

Norėdami apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų, žr. "Windows" rekomendacijas

Jei reikia "Azure" patarimų, žr. šį straipsnį: Rekomendacijos, kaip sumažinti su spėjamu vykdymu susijusių šalutinių kanalų pažeidžiamumą "Azure".

Norėdami gauti daugiau informacijos apie "Retpoline" įgalinimą, žr. mūsų tinklaraščio įrašą: "Spectre" 2 varianto švelninimas naudojant "Retpoline" sistemoje "Windows" .

Daugiau informacijos apie šį pažeidžiamumą rasite "Microsoft" saugos vadove: CVE-2019-1125 | "Windows" branduolio informacijos atskleidimo pažeidžiamumas.

Mes nežinome apie jokius šios informacijos atskleidimo pažeidžiamumus, kurie daro įtaką mūsų debesies tarnybų infrastruktūrai.

Kai tik sužinome apie šią problemą, mes greitai dirbome, kad išstengtume ją išspręsti ir išleistume naujinimą. Esame tvirtai įsitikinę, kad reikia glaudžiai bendradarbiauti su tyrėjais ir pramonės partneriais, kad klientai būtų saugesni, ir nepaskelbėme išsamios informacijos iki antradienį, rugpjūčio 6 d., pagal koordinuotą pažeidžiamumo atskleidimo praktiką.

Daugiau patarimų galima rasti "Windows" rekomendacijose, kaip apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų.

Daugiau patarimų galima rasti "Windows" rekomendacijose, kaip apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų.

Daugiau patarimų rasite rekomendacijoje, kaip išjungti "Intel" operacijų sinchronizavimo plėtinių ("Intel TSX") funkciją.

Teikiame trečiųjų šalių kontaktinę informaciją, kad galėtumėte lengviau rasti techninės pagalbos. Ši kontaktinė informacija gali būti keičiama be įspėjimo. Negarantuojame, kad ši trečiosios šalies kontaktinė informacija bus tiksli.