Kopsavilkums
Korporācija Microsoft ir informēta par publiski atklāta jauna veida ievainojamību, ko sauc par "spekulatīvu izpildes blakus kanālu uzbrukumiem." Šīs ievainojamības ietekmē daudzus mūsdienu procesoru un operētājsistēmas. Tas ietver Intel, AMD un ARM mikroshēmas.
Mēs vēl nav saņemta jebkādu informāciju, kas norāda, ka šīs ievainojamības izmantojusi uzbrukumu klientiem. Mēs turpināsim sadarboties ar nozares partneriem, lai pasargātu. Tas ietver mikroshēmu veidotājiem aparatūras ražotājiem un lietojumprogrammu piegādātāji. Saņemt visu pieejamo aizsardzības, aparatūras vai programmaparatūras un programmatūras atjauninājumi nav nepieciešami. Tas ietver mikrokoda no ierīču ražotājiem un dažos gadījumos atjaunināta pretvīrusu programmatūru. Mums ir izlaisti vairāki atjauninājumi, kas palīdzēs šo ievainojamību. Microsoft Drošības biļetenā ADV180002atrodama papildinformācija par vājās vietas. Vispārējas vadlīnijas redzamas norādes mazināt spekulatīvos izpildes blakus kanālu vājās vietas. Mēs arī ir veikusi darbības, lai palīdzētu nodrošināt mūsu mākoņpakalpojumi. Skatiet sīkāku informāciju nākamajās sadaļās.
Ietekmētā Exchange Server versijas
Tie ir aparatūras līmeņa uzbrukumiem, kas ir x64 un x86 procesoru sistēmas, jo, šī problēma ietekmē visas atbalstītās Microsoft Exchange servera versija.
Ieteikumi
Tālāk norādītajā tabulā aprakstītas ieteicamās darbības Exchange servera klientiem. Nav nepieciešams pašlaik noteiktu Exchange ierakstu. Tomēr ieteicams, ka klienti vienmēr palaist jaunāko Exchange Server kumulatīvo atjauninājumu un drošības atjauninājumi. Ieteicams ieviest labojumus, izmantojot ususal procedūras, lai validētu jaunu bināros failus pirms to izvietošanas ražošanas vidē.
|
Scenārijs |
Apraksts |
Ieteikumi |
|
1. |
Neizolēta datora (virtuālās mašīnas) tiek palaists Exchange Server un tādu pašu metāla datorā darbojas citas uzticams lietojumprogrammas loģika (lietojumprogrammas līmeņa).
|
Izmantojiet visas sistēmas un Exchange Server atjauninājumus pēc parastā sagatavošanas validācijas pārbaudes. Iespējojot kodola virtuālā adrese ēnojuma (KVAS) nav nepieciešama (skatīt saistīto šī raksta sadaļu). |
|
2. |
Exchange Server ir palaist virtuālo mašīnu valsts viesošanas vidē (mākonis). |
Azure: sistēmai Microsoft ir ievietojis informāciju par samazināšanas centieniem Azure (skatīt detalizētu informāciju KB 4073235 ). Citi mākoņa sniedzējiem: attiecas uz viņu norādījumus. Ieteicams instalēt visus atjauninājumus OS viesu virtuālās mašīnas (VM). Skatiet norādījumus par to, vai ir jāiespējo KVAS šajā rakstā. |
|
3. |
Virtuālās mašīnas privātā viesošanas vidē darbojas Exchange Server. |
Skatiet drošības labākā prakse pārraugs drošības dokumentāciju. Skatiet Windows Server un Hyper-V KB 4072698 . Ieteicams instalēt visus OS atjauninājumus viesu VM. Skatiet šo rakstu, lai uzzinātu, kā iespējot KVAS Jaunākās norādes. |
|
4. |
Exchange Server tiek palaists fiziskās vai virtuālās mašīnas un nav izolēti no citas lietojumprogrammas loģika, kas darbojas tajā pašā sistēmā.
|
Ieteicams instalēt visus OS atjauninājumus. Skatiet šī raksta raksts par to, vai ir jāiespējo KVAS norādījumus. |
Veiktspējas konsultācijas
Iesakām visiem klientiem novērtēt veiktspēju jūsu konkrētajā vidē, lietojot atjauninājumus.
Risinājumus, kas nodrošina Microsoft ievainojamība šeit minētos tipu izmanto programmatūras mehānismiem aizsardzībai pret iekšējās procesu piekļuvi datiem. Iesakām visiem klientiem atjauninātās versijas Exchange Server un Windows instalēšanai. Tas ir minimāla darbības efektu, pamatojoties uz Microsoft Exchange darba slodzes testēšana.
Mums ir novērtēt dažādas darba slodzes ietekmē ar kodola virtuālās adrese ēnojuma (KVAS). Mēs atradis dažus darba slodzes rodas būtiski samazinās veiktspēja. Exchange Server ir viens no šiem darba slodzes, kas ievērojami samazinās var rasties, ja ir iespējota KVAS. Serveriem, kuriem ir liels centrālā Procesora lietojums vai augsts i/o lietošanas paradumiem ir gaidāma lielākā spēkā. Ļoti ieteicams vispirms novērtēt darbības ietekmi KVAS iespējošana, izpildot pārbaudes laboratorijas, kas apzīmē ražošanas vajadzībām, pirms to izvietošanas ražošanas vidē. Ja izpildes iespējošana KVAS ir pārāk liels, apsveriet vai izolācijas no neuzticamu kodu, kas darbojas tajā pašā sistēmā Exchange Server ir labāk novēršana lietojumprogrammai.
Papildus KVAS, detalizētu informāciju par aparatūras atbalsta jomu mērķa injekcija novēršana (IBC) veiktspējas sākot šeit. Serverī, kurā darbojas Exchange Server un izvietot to IBC risinājumu, kuram ir iespējama būtiski samazinās veiktspēja, aktivizējot IBC.
Mēs paredzēt aparatūras piegādātāju piedāvā atjauninājumus savu produktu mikrokoda atjauninājumu. Mūsu pieredze ar Exchange norāda mikrokoda atjauninājumu palielināsies veiktspējas samazināšanos. Kam tas notiek, cik ir ļoti atkarīga komponenti un noformēšanas sistēmas, kad tie tiek lietoti. Mēs uzskatām, ka nav vienā risinājumā, programmatūras vai aparatūras pamatā ir pietiekama, lai novērstu šāda veida ievainojamību tikai. Ieteicams novērtēt visus atjauninājumus vērā izmaiņas sistēmas projektēšanas un veiktspēja pirms tos ražošanā. Nav Exchange komanda plāno atjaunināt maiņas kalkulators, ko izmanto klientu kontu darbības atšķirības pašlaik. Šis rīks sniedz aprēķini ņem vērā nav veiktās darbības ir saistītas ar labojumi šīs problēmas. Mēs turpināsim novērtēt šo rīku un pielāgojumus, mēs uzskatām, ka var būt nepieciešams, atkarībā no mūsu lietojumu un to klientiem.
Mēs atjaunināt šīs sadaļas, būs pieejama papildinformācija.
Iespējojot kodola virtuālā adrese ēnojums
Exchange servera darbojas daudz vidē, ieskaitot fiziskās sistēmas VMs publiskais un privātais mākonis vidēs, un Windows operētājsistēmu atbalsts. Neatkarīgi no vides programma atrodas fiziskās sistēmas vai VM. Šajā vidē, virtuālā vai fiziskā dēvē par drošības robežas.
Ja visi kodi robežās var piekļūt visiem datiem, kas robežās, nekāda darbība nav jāveic. Ja tā nenotiek, robežas esot vairāku nomnieku. Ir atzinusi vājās vietas ļauj visi kodi, kas darbojas jebkurā procesā, robežās lasīt citus datus, kas robežās. Tas attiecas arī ar ierobežotām atļaujām. Ja jebkura procesa robežas darbojas neuzticamu kodu, šis process varētu izmantot šīs ievainojamības nolasīt datus no citiem procesiem.
Lai aizsargātu neuzticamu kodu vairāku nomnieku robežas, veiciet vienu no šīm darbībām:
-
Noņemiet neuzticamu kodu.
-
Ieslēdziet KVAS aizsardzībai pret procesa gaitā nolasa. Tas būs var ietekmēt veiktspēju. Skatiet iepriekšējās sadaļas virsrakstā, lai iegūtu detalizētu informāciju.
Lai iegūtu papildinformāciju par to, kā iespējot KVAS Windows, skatiet KB 4072698.
Piemērs gadījumos (KVAS ieteicams)
1. scenārijs
Azure VM darbojas pakalpojumu uzticams lietotāji var iesniegt JavaScript kods, kas tiek palaista, kam ir ierobežotas atļaujas. Vienā VM Exchange servera darbojas un pārvaldīt datus, kas nav jābūt pieejamiem uzticams lietotājiem. Šajā gadījumā ir nepieciešams KVAS aizsardzībai pret izpaušanu starp divām entītijām.
2. scenārijs
Lokālas fiziskā sistēmu, kas atrodas Exchange serverī var palaist uzticams trešās puses skriptu vai izpildāmo failu. Tas ir vajadzīgi, lai nodrošinātu aizsardzību pret izpaušanu datu apmaiņa skriptu KVAS vai izpildāmo.
Piezīme Tikai , jo tiek izmantota paplašināmības mehānisms ar Exchange serveri, kas automātiski nesniedz nedrošs. Šie mehānismi var izmantot droši Exchange Server, kamēr katra atkarība ir izprast un uzticams. Turklāt ir citi produkti, kuru pamatā ir Exchange Server, kas var būt paplašināmības mehānisms darbotos pareizi. Nevis savu pirmo darbību katram lietot, lai noteiktu, vai kods ir izprast un uzticamo pārskatīt. Šīs norādes ir paredzēta, lai palīdzētu noteikt, vai tie ir jāiespējo KVAS lielāka veiktspēja ietekmes dēļ klientiem.
Zara mērķa injekcija novēršana (IBC) aparatūras atbalsta iespējošana
IBC mazina pret CVE 2017 5715, balto pusi spektrs vai "variants 2", GPZ izpaušanu.
Šīs instrukcijas KVAS Windows ļauj arī iespējot IBC. Tomēr IBC nepieciešams programmaparatūras atjauninājumu no aparatūras ražotāju. Papildus KB 4072698 norādījumus, lai iespējotu Windows aizsardzību, klientiem ir iegūt un instalēt atjauninājumus no savas aparatūras ražotāju.
Piemērs gadījumā (IBC ieteicams)
1. scenārijs
Lokālas fiziskā sistēmā, kas tiek viesots Exchange Server, uzticams lietotājiem ir atļauts augšupielādēt un palaist JavaScript patvaļīgs kods. Šādā gadījumā mēs stingri ieteicams IBC aizsardzībai pret procesa gaitā informācijas atklāšanu.
Situācijās, kuras IBC nav aparatūras atbalstu, ieteicams, varat atsevišķi uzticams procesu un uzticamu procesu uz citu fiziskās vai virtuālās mašīnas.
Uzticams Exchange Server paplašināšana mehānismi
Exchange Server ir paplašināmības iespējas un mehānismus. Daudzi no šiem pamatā API, kas neļauj neuzticams serverī, kurā darbojas Exchange Server palaist kodu. Pārsūtīšanas aģenti un Exchange pārvaldības čaulu ļautu palaist serverī, kurā darbojas Exchange Server atsevišķos gadījumos neuzticamu kodu. Visos gadījumos, izņemot transporta aģenti paplašināšanas līdzekļi pieprasa autentifikāciju, pirms tos var izmantot. Ieteicams izmantot paplašināšanas līdzekļi, kas attiecas tikai uz minimumu binārie faili, ja piemērojams. Ieteicams arī klientiem ierobežot piekļuvi servera izvairīties patvaļīgs kods palaist pašu sistēmas Exchange Server. Mēs iesakām, lai noteiktu, vai uzticaties katra bināro. Ja atspējojiet vai noņemiet uzticams binārie faili. Pārliecinieties, vai vadības interfeisus nebūtu pakļauti internetā.
Visas šajā rakstā minētos trešo pušu produktus ražo no korporācijas Microsoft neatkarīgi uzņēmumi. Korporācija Microsoft nesniedz nekādas netiešas vai citādas garantijas par šo produktu veiktspēju vai uzticamību.
