KB4073119: Windows klienta norādījumi IT klientiem, lai aizsargātu pret microarhinectural un speculative execution side-channel vulnerabilities

2019. gada 14. maijā Intel publicēja informāciju par jaunu specifikācijas izpildes puses kanāla ievainojamību, kas tiek dēvēta par Microar izkliedes datu iztveršanu. Šīs ievainojamības tiek novērstas šādos CV:

• CVE-2019-11091 | Microarhinectural Data Sampling Uncacheable Memory (MDSUM)

• CVE-2018-12126 | Microarhinectural Store bufera datu iztveršana (MSBDS)

• CVE-2018-12127 | Microarhinectural aizpildījuma bufera datu iztveršana (MFBDS)

• CVE-2018-12130 | Microarhinectural load port data sampling (MLPDS)

Esam izlaiduši atjauninājumus, lai palīdzētu novērst šādas ievainojamības. Lai iegūtu visas pieejamās aizsardzības, ir nepieciešami aparātprogrammatūras (mikrokoda) un programmatūras atjauninājumi. Tas var ietvert mikrokodu no ierīces OEM. Dažos gadījumos šo atjauninājumu instalēšana ietekmēs veiktspēju. Mēs esam arī rīkojušies, lai aizsargātu mūsu mākoņpakalpojumus. Iesakām izvietot šos atjauninājumus.

Papildinformāciju par šo problēmu skatiet tālāk sniegtajā drošības ieteikums un izmantojiet scenāriju balstītus norādījumus, lai noteiktu darbības, kas nepieciešamas, lai mazinātu apdraudējumu:

• ADV190013 | Microsoft norādījumi, lai mazinātu Microarhinectural datu iztveršanas ievainojamību

• Windows norādījumi aizsardzības aizsardzībai pret speculācijas izpildes blakus kanāla ievainojamību

2019. gada 6. augustā Intel izlaida detalizētu informāciju par Windows kodola informācijas atklāšanas ievainojamību. Šī ievainojamība ir Variant 1 apzīmētās izpildes blakus kanāla ievainojamības variants, kam ir piešķirta CVE-2019-1125.

2019. gada 9. jūlijā izlaidām operētājsistēmas Windows drošības atjauninājumus, lai palīdzētu novērst šo problēmu. Ņemiet vērā, ka mēs publiski paturam šīs risku mazināšanas darbības, līdz 2019. gada 6. augustā tika publiski pieejama koordinēta nozares atklāšana.

Klienti, kuriem Windows Update iespējoti un kuriem ir lietoti 2019. gada 9. jūlijā izlaistie drošības atjauninājumi, tiek aizsargāti automātiski. Nav nepieciešama papildu konfigurēšana.

Papildinformāciju par šo ievainojamību un attiecināmiem atjauninājumiem skatiet Microsoft drošības atjaunināšanas rokasgrāmatā:

• CVE-2019-1125 | Windows Kernel Information Disclosure Vulnerability

2019. gada 12. novembrī Intel publicēja tehnisko konsultāciju par Intel Transactional Synchronization Extensions (Intel TSX) transakciju asinhronā priekšlaikus pārtrauktas pārtraukšanas ievainojamību, kas tiek piešķirta CVE-2019-11135. Esam izlaiduši atjauninājumus, lai palīdzētu novērst šo ievainojamību. Pēc noklusējuma OS aizsardzība ir iespējota Windows Client OS izdevumos.

2022. gada 14. jūnijā mēs publicējām ADV220002 | Microsoft norādījumi par Intel procesora MMIO novecojušu datu ievainojamību. Ievainojamības ir piešķirtas šādiem CV:

• CVE-2022-21123 | Koplietojamo bufera datu lasīšana (SBDR)

• CVE-2022-21125 | Koplietojamo bufera datu iztveršana (SBDS)

• CVE-2022-21127 | Īpaši reģistrēt bufera datu iztveršanas atjauninājumu (SRBDS atjauninājums)

• CVE-2022-21166 | Ierīces reģistrēšana daļēja rakstīšana (DRPW)

Ieteicamās darbības

Lai aizsargātu šo ievainojamību, ir jāveic šādas darbības:

1. Lietojiet visus pieejamos operētājsistēmas Windows atjauninājumus, tostarp ikmēneša Windows drošības atjauninājumus.

2. Lietojiet aparātprogrammatūras (mikrokoda) atjauninājumu, ko nodrošina ierīces ražotājs.

3. Novērtējiet risku savā vidē, pamatojoties uz informāciju, kas sniegta Microsoft drošības konsultantos ADV180002, ADV180012, ADV190013 un ADV220002 papildusšajā rakstā sniegt šai informācijai.

4. Rīkojieties, kā nepieciešams, izmantojot šajā rakstā sniegtos padomus un reģistra atslēgas informāciju.

2022. gada 12. jūlijā tika publicēts CVE-2022-23825 | AMD centrālā procesora zaru sajaukšanas veids, kas apraksta, kuri aizstājvārdi zaru prognozēšanas laikā var izraisīt noteiktu AMD procesoru izmantošanu, lai noteiktu nepareizu zaru veidu. Šāda problēma var radīt informācijas izpaušanu.

Lai palīdzētu aizsargāties no šīs ievainojamības, iesakām instalēt Windows atjauninājumus, kas ir datēti ar 2022. gada jūliju vai pēc tam, un pēc tam rīkoties, kā to pieprasa CVE-2022-23825, un reģistra atslēgas informāciju, kas sniegta šajā zināšanu bāze rakstā.

Lai iegūtu papildinformāciju, skatiet AMD-SB-1037 drošības biļetenu.

2023. gada 8. augustā tika publicēts CVE-2023-20569 | AMD centrālā procesora atpakaļadreses jutīgais (tiek dēvēts arī par inceptiju), kas apraksta jaunu speculative side channel attack that can result in speculative execution at an attacker-controlled address. Šāda problēma ietekmē noteiktus AMD procesorus un potenciāli var radīt informācijas izpaušanu.

Lai palīdzētu aizsargāties no šīs ievainojamības, iesakām instalēt Windows atjauninājumus, kas ir datēti ar 2023. gada augustu vai pēc tam, un pēc tam rīkoties, kā to pieprasa CVE-2023-20569, un reģistra atslēgas informāciju, kas sniegta šajā zināšanu bāze rakstā.

Papildinformāciju skatiet AMD-SB-7005 drošības biļetenā.

2024. gada 9. aprīlī tika publicēts CVE-2022-0001 | Intel Branch History Intra-mode BTI ir aprakstīta atzaru vēstures ievadīšanas (Branch History Injection — DARBLAPU) izveide, kas ir īpaša intra režīma BTI forma. Šī ievainojamība rodas, ja uzbrucējs var manipulēt ar zaru vēsturi pirms pārejas no lietotāja uz pārrauga režīmu (vai no VMX nav saknes/viesa uz saknes režīmu). Šāda manipulācija var izraisīt netiešu zaru prognozētāju atlasīt konkrētu prognozējamu ierakstu netiešam zaram, un atklāšanas sīkrīks prognozētā mērķī īslaicīgi tiks izpildīts. Tas var būt iespējams, jo attiecīgajā zaru vēsturē var būt zari, kas saistīti ar iepriekšējo drošības kontekstu, un jo īpaši citiem prognozētajiem režīmiem.

Pēc noklusējuma AMD un ARM CPU ir atspējota CVE-2017-5715 lietotāju-to-kernel aizsardzība. Lai saņemtu papildu aizsardzību attiecībā uz CVE-2017-5715, ir jāiespējo risku mazināšana. Papildinformāciju skatiet rakstā Bieži uzdotie jautājumi #15 rakstā ADV180002 AMD procesoriem un Bieži uzdotie jautājumi #20 rakstā ADV180002 ARM procesoriem.

Pēc noklusējuma AMD procesoriem ir atspējota lietotāja -to-kernel aizsardzība pret CVE-2017-5715 . Klientiem ir jāiespējo risku mazināšana, lai saņemtu CVE-2017-5715 papildu aizsardzību.  Papildinformāciju skatiet rakstā Bieži uzdotie jautājumi #15 programmā ADV180002.

Lai iespējotu riskus CVE-2022-23825 AMD procesoros :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Lai nodrošinātu pilnīgu aizsardzību, klientiem var būt nepieciešams arī Hyper-Threading (vienlaicīgu vairāku pavedienu pakalpojumus (Simultaneous Multi Threading — SMT)). Lūdzu, KB4073757norādījumus par Windows ierīču aizsardzību. 

Lai iespējotu riskus CVE-2023-20569 AMD procesoros:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Lai iespējotu riskus CVE-2022-0001 Intel procesoros:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Detalizētu skaidrojumu par PowerShell skripta izvadi skatiet rakstā KB4074629.

Mikrokods tiek piegādāts, izmantojot aparātprogrammatūras atjauninājumu. Sazinieties ar savu centrālo procesoru (mikroshēmkopu) un ierīču ražotājiem, lai noteiktu, vai konkrētajā ierīcē ir pieejami piemērojamie aparātprogrammatūras drošības atjauninājumi, tostarp Intels Microcode pārskatīšanas norādījumi.

Aparatūras ievainojamības adresēšana, izmantojot programmatūras atjauninājumu, rada būtiskas problēmas. Turklāt vecākas operētājsistēmas risku mazināšanai ir nepieciešamas plašas arhitektūras izmaiņas. Mēs strādājam ar ietekmēto mikroshēmu ražotājiem, lai noteiktu labāko veidu, kā nodrošināt riskus, kas var tikt nodrošināti turpmākajos atjauninājumos.

Atjauninājumi Microsoft Surface ierīcēm tiks piegādāti klientiem, izmantojot Windows Update kopā ar operētājsistēmas Windows atjauninājumiem. Pieejamo Surface ierīces aparātprogrammatūras (mikrokoda) atjauninājumu sarakstu skatiet rakstā KB4073065.

Ja jūsu ierīce nav Microsoft ierīce, lietojiet ierīces ražotāja nodrošināto aparātprogrammatūru. Lai iegūtu papildinformāciju, sazinieties ar OEM ierīces ražotāju.

2018. gada februārī un martā Microsoft izlaida papildu aizsardzību dažām x86 sistēmām. Papildinformāciju skatiet KB4073757Microsoft drošības konsultāciju centra ADV180002.

Atjauninājumi Windows 10, kas attiecas uz HoloLens, ir pieejami HoloLens klientiem, izmantojot Windows Update.

Pēc 2018. gada februāra atjauninājuma Windows drošība, HoloLens klientiem nav jāveic nekādas papildu darbības, lai atjauninātu ierīces aparātprogrammatūru. Šie atvieglojumus tiks iekļauti arī visos turpmākajos HoloLens Windows 10 laidienos.

Nē. Drošība Tikai atjauninājumi nav kumulatīvi. Atkarībā no izmantotās operētājsistēmas versijas jums būs jāinstalē visi ikmēneša tikai drošības atjauninājumi, lai aizsargātu pret šīm ievainojamībām. Piemēram, ja sistēmā Windows 7 32 bitu sistēmām izmantojat ietekmēto Intel CPU, ir jāinstalē visi tikai drošības atjauninājumi. Mēs iesakām instalēt šos tikai drošības atjauninājumus laidienu secībā.

Piezīme Šī bieži uzdoto jautājumu iepriekšējā versija nepareizi paziņoja, ka februāra tikai drošības atjauninājumā bija iekļauti drošības labojumi, kas izlaisti janvārī. Patiesībā tā tas nav.

Nē. Drošības atjauninājumu 4078130 bija konkrēts labojums, lai novērstu neparedzētu sistēmas darbību, veiktspējas problēmas un/vai neparedzētu atsāknēšanas pēc mikrokoda instalēšanas. Februāra drošības atjauninājumu lietojot Windows klienta operētājsistēmās, var izmantot visus trīs riskus.

Intel nesen paziņoja, ka ir pabeiguši validāciju un sācis izlaist mikrokodu jaunākām centrālā procesora platformām. Microsoft padara pieejamus Intel validētus mikrokoda atjauninājumus apKodēšanas 2. variantu (CVE-2017-5715 "Filiāles mērķa ievadīšanas"). KB4093836 zināšanu bāzes rakstus pēc Windows versijas. Katrā konkrētajā KB ir ietverti Intel mikrokoda atjauninājumi pēc CPU.

Šī problēma tika novērsta programmā KB4093118.

AED nesen paziņoja , ka ir sācis izlaist mikrokodu jaunākām centrālā procesora platformām ap Sevī Variant 2 (CVE-2017-5715 "Filiāles mērķa izlaides"). Lai iegūtu papildinformāciju, skatiet AMD drošības AtjauninājumiAMD Whitepaper: arhitektūras vadlīnijas attiecībā uz netiešās filiāles kontroli. Tie ir pieejami OEM aparātprogrammatūras kanālā.

Mēs pamudām padarīt pieejamus Intel validētus mikrokoda atjauninājumus apKodēšanas 2. variantu (CVE-2017-5715 "Filiāles mērķa ievadīšanas "). Lai iegūtu jaunākos Intel microcode atjauninājumus, izmantojot Windows Update, klientiem ir jāinstalē Intel microcode ierīcēs, kurās darbojas Windows 10 operētājsistēma, pirms jaunināšanas uz Windows 10 2018. gada aprīļa atjauninājumu (versija 1803).

Mikrokoda atjauninājums ir pieejams arī tieši no kataloga, ja tas netika instalēts ierīcē pirms operētājsistēmas jaunināšanas. Intel microcode ir pieejams, izmantojot Windows Update, WSUS vai Microsoft Update katalogu. Papildinformāciju un lejupielādes norādījumus skatiet rakstā KB4100347.

Papildinformāciju skatiet šādos resursos:

• ADV180012 | Microsoft norādījumi par apzīmēto store apiešanu attiecībā uz CVE-2018-3639

• ADV180013 | Microsoft norādījumi par rogue System Register Read for CVE-2018-3640 and KB4073065

• Microsoft drošības izpētes un aizsardzības emuārs

• Norādījumi izstrādātājiem par speculatīvu krātuves apiešanu

Detalizētu informāciju skatiet sadaļas "Ieteicamās darbības" un "Bieži uzdotie jautājumi" ADV180012 | Microsoft norādījumi par apzīmētā veikala apiešanu.

Lai pārbaudītu SSBD statusu, Get-SpeculationControlSettings PowerShell skripts tika atjaunināts, lai noteiktu ietekmētos procesorus, SSBD operētājsistēmas atjauninājumu statusu un procesora mikrokoda stāvokli, ja piemērojams. Papildinformāciju un PowerShell skripta iegūšanas iespējas skatiet rakstā KB4074629.

2018. gada 13. jūnijā tika paziņota papildu ievainojamība, iekļaujot sānkanālu specifikācijas izpildi, kas tiek dēvēta par Lazy FP State Restore, un tika piešķirta CVE-2018-3665. Lazy Restore FP Restore (Atjaunot FP atjaunošanu) nav nepieciešami konfigurācijas (reģistra) iestatījumi.

Papildinformāciju par šo ievainojamību un ieteicamajām darbībām skatiet drošības konsultāciju ADV180016 | Microsoft norādījumi par lazāmu FP stāvokļa atjaunošanu.

Bounds Check Bypass Store (BCBS) ir izpausta 2018. gada 10. jūlijā un ir piešķirta CVE-2018-3693. Mēs uzskatām, ka BCBS ietilpst vienā un tajā pašā ievainojamību klasē kā Bounds Check Bypass (1. variants). Pašlaik mēs zinām par BCBS instancēm mūsu programmatūrā, taču turpinām izpētīt šo ievainojamības nodarbības daļu un darbotos ar nozares partneriem, lai pēc vajadzības atbrīvotu risku mazināšanas pasākumus. Mēs turpinām rosināt zinātniekus iesniegt jebkādus atbilstošus rezultātus Microsoft speculative Execution Side Channel bounty programmā, tostarp visas izmantojamās BCBS instances. Programmatūras izstrādātājiem ir jāpārskata izstrādātāja norādījumi, kas tika atjaunināti BCBS vietnē https://aka.ms/sescdevguide.

2018. gada 14. augustā L1 termināļa kļūme (L1TF) tika paziņota un piešķirta vairākiem CV. Šīs jaunās potenciālās izpildes blakus kanāla ievainojamības var izmantot, lai lasītu atmiņas saturu uzticamā robežas gadījumā, un, ja tā tiek izmantota, var radīt informācijas izpaušanu. Uzbrucējs var aktivizēt ievainojamību, izmantojot vairākus vektorus atkarībā no konfigurētās vides. L1TF ietekmē Intel® Core® procesorus un Intel® Xeon procesorus®.

Lai iegūtu papildinformāciju par šo ievainojamību un detalizētu skatu par ietekmētajiem scenārijiem, tostarp Microsoft pieeju L1TF migrēšanasm, skatiet šos resursus:

• ADV180018 | Microsoft norādījumi, lai mazinātu L1TF variantu

• Drošības konsultāciju drošības izpētes emuārs

• Servera norādījumi par L1 termināļa kļūmi

Klientiem, kuri izmanto 64 bitu ARM procesorus, jāpārbauda ierīces OEM aparātprogrammatūras atbalsts, jo ARM64 operētājsistēmas aizsardzība, kas mazināt CVE-2017-5715 | Zaru mērķa ievadīšanas laikā (Ar roku, Variant 2) ir nepieciešams jaunākais aparātprogrammatūras atjauninājums no ierīces OEMs, lai tā stāsies spēkā.

Lai iegūtu papildinformāciju, skatiet tālāk norādītos drošības konsultantus. 

• Intel drošības ieteikums

• ADV190013 | Microsoft norādījumi, lai mazinātu Microarhinectural datu iztveršanas ievainojamību

Lai iegūtu papildinformāciju, skatiet tālāk norādītos drošības konsultantus.

• Intel drošības ieteikums

• ADV190013 | Microsoft norādījumi, lai mazinātu Microarhinectural datu iztveršanas ievainojamību

Papildu norādījumi ir atrodami Windows norādījumos, lai aizsargātu pret speculative execution side-channel vulnerabilities

Lūdzu, skatiet Windows norādījumus, lai aizsargātu pret speculative execution side-channel vulnerabilities

Lai saņemtu Azure norādījumus, skatiet šo rakstu: Norādījumi par apzīmētās izpildes sānu kanāla ievainojamību imitēšanu azure.  

Papildinformāciju par Retpoline iespējošanu skatiet mūsu emuāra ziņā: 2. varianta mitigēšana ar Retpoline operētājsistēmā Windows. 

Detalizētu informāciju par šo ievainojamību skatiet Microsoft drošības rokasgrāmatā: CVE-2019-1125 | Windows kernel information disclosure vulnerability.

Mēs neapzināmies nevienu šādas informācijas atklāšanas ievainojamību, kas ietekmē mūsu mākoņpakalpojumu infrastruktūru.

Tiklīdz kļuva zināms par šo problēmu, mēs ātri strādājām, lai novērstu šo problēmu un izlaistu atjauninājumu. Mēs cieši ticam sadarbību gan ar zinātniekiem, gan nozares partneriem, lai padarītu klientus drošākus, un nepublicējām informāciju līdz otrdienai un 6. augustam saskaņā ar koordinētu ievainojamības atklāšanas praksi.

Papildu norādījumi ir atrodami Windows norādījumos, lai aizsargātu pret speculative execution side-channel vulnerabilities.

Papildu norādījumi ir atrodami Windows norādījumos, lai aizsargātu pret speculative execution side-channel vulnerabilities.

Papildu norādījumi ir atrodami, izmantojot norādījumus par Intel® transakciju sinhronizācijas paplašinājumu (Intel® TSX) atspējošanu.

Mēs nodrošinām trešās puses kontaktinformāciju, kas palīdzēs jums atrast tehnisko atbalstu. Šī kontaktinformācija var tikt mainīta bez iepriekšēja paziņojuma. Mēs negarantējam šīs trešās puses kontaktinformācijas precizitāti.