Introdução
Desde janeiro de 2018, a equipe do Surface vem publicando atualizações de firmware para uma nova classe de vulnerabilidades de hardware que envolve canais paralelos de execução especulativa. A equipe do Surface não recebeu informações para indicar que essas vulnerabilidades foram usadas para atacar clientes atualmente, e a equipe continua a trabalhar em colaboração com a equipe do Windows e parceiros do setor para proteger os clientes. Para obter toda a proteção disponível, são necessárias atualizações de firmware e do sistema Windows.
Resumo
A equipe do Surface está ciente de novas variantes de ataque de canal paralelo de execução especulativa que também afetam os produtos Surface. A mitigação dessas vulnerabilidades requer uma atualização do sistema operacional e uma atualização do UEFI do Surface que inclua o novo microcódigo. Para obter mais informações sobre as vulnerabilidades e mitigações, consulte o seguinte comunicado de segurança:
Estamos trabalhando com nossos parceiros para fornecer atualizações para os seguintes produtos Surface, assim que pudermos garantir que as atualizações atendam aos nossos requisitos de qualidade:
-
Surface 3 - Atualização de 11 de julho de 2019
-
Surface Pro 3 - Atualização de 11 de julho de 2019
-
Surface Pro 4 - Atualização de 27 de junho de 2019
-
Surface Book - Atualização de 27 de junho de 2019
-
Surface Studio - Atualização de 11 de julho de 2019
-
Surface Pro (5a geração) - Atualização de 27 de junho de 2019
-
Surface Laptop - Atualização de 27 de junho de 2019
-
Surface Book 2 - Atualização de 27 de junho de 2019
-
Surface Pro 6 - Atualização de 27 de junho de 2019
-
Surface Laptop 2 - Atualização de 27 de junho de 2019
-
Surface Studio 2- Atualização de 31 de julho de 2019
-
Surface GO WiFi
-
Surface GO LTE
Além do novo microcódigo, uma nova configuração UEFI conhecida como “Simultaneous Multi-Threading (SMT)”estará disponível quando a atualização UEFI for instalada. Essa configuração permite que um usuário desabilite o Hyper-Threading.
Observações
-
Se você decidir desabilitar o Hyper-Threading, convém também que você use a nova configuração UEFI SMT.
-
A desativação do SMT fornece proteção adicional contra essas novas vulnerabilidades e o ataque L1 Terminal Fault anunciado anteriormente. No entanto, esse método também afeta o desempenho do dispositivo.
-
O Surface 3 e o Surface Studio com Intel Core i5 não têm SMT. Portanto, esses dispositivos não têm essa nova configuração.
-
A ferramenta de configurador UEFI do Microsoft Surface Enterprise Management Mode (SEMM) versão 2.43.139 ou posterior oferece suporte à nova configuração do SMT. As ferramentas podem ser baixadas nesta página. Baixe as seguintes ferramentas necessárias:
-
SurfaceUEFI_Configurator_v2.43.139.0.msi
-
SurfaceUEFI_Manager_v2.43.139.0.msi
-
Referências
A equipe do Surface está ciente de um novo ataque de canal lateral de execução especulativa chamado de L1 Terminal Fault (L1TF) e atribuiu a ele a CVE-2018-3620 (OS e SMM) e a CVE-2018-3646 (VMM). Os produtos Surface afetados são os mesmos da seção “Vulnerabilidades anunciadas em maio de 2018” deste artigo. As atualizações de microcódigo que mitigam as descobertas de maio de 2018 também mitigam a L1TF(CVE-2018-3646). Para obter mais informações sobre a vulnerabilidade e as mitigações, consulte o seguinte comunicado de segurança:
O comunicado de segurança propõe que os clientes que usam a Segurança Baseada em Virtualização (VBS), que inclui recursos de segurança como o Credential Guard e o Device Guard, devem considerar a desabilitação do Hyper-Threading para eliminar totalmente o risco da L1TF. Atualmente, os clientes não podem desabilitar o Hyper-Threading em seus dispositivos Surface. Os recursos de VBS estão desabilitados por padrão nos dispositivos Surface. A equipe do Surface está investigando opções para permitir a desabilitação do Hyper-Threading.
Referências
A equipe do Surface tomou conhecimento de novas variantes de ataque de canal paralelo de execução especulativa que também afetam os produtos Surface. A mitigação dessas vulnerabilidades requer atualizações de UEFI que usam o novo microcódigo. Para obter mais informações sobre as vulnerabilidades e mitigações, consulte os seguintes comunicados de segurança:
Estamos trabalhando com nossos parceiros para fornecer atualizações para os seguintes produtos Surface, assim que pudermos garantir que as atualizações atendam aos nossos requisitos de qualidade:
-
Surface Book 2 - Atualização de 1° de agosto de 2018
-
Surface Book - Atualização de 21 de agosto de 2018
-
Surface Laptop - Atualização de 25 de julho de 2018
-
Surface Studio - Atualização de 1° de outubro de 2018
-
Surface Pro 4 - Atualização de 25 de julho de 2018
-
Surface Pro 3 - Atualização de 7 de agosto de 2018
-
Surface Pro Modelo 1796 e Surface Pro com AdvancedLTE Modelo 1807 - Atualização de 25 de julho de 2018
Referências
A equipe do Surface está ciente da classe de vulnerabilidades divulgada publicamente que envolve canais paralelos de execução especulativa (conhecidos como Specter e Meltdown) que afetam muitos processadores e sistemas operacionais modernos, inclusive Intel, AMD e ARM. Para obter mais informações sobre as vulnerabilidades e mitigações, consulte o seguinte comunicado de segurança:
Comunicado de Segurança da Microsoft ADV180002
Para obter mais informações sobre atualizações de software do Windows, consulte os seguintes artigos da Base de Dados de Conhecimento:
-
4073757 Proteja seus dispositivos Windows contra as vulnerabilidades Spectre e Meltdown
-
4073119 Orientação do Windows Client para Profissionais de TI se protegerem contra as vulnerabilidades de canal paralelo de execução especulativa
Além da instalação das Atualizações de Segurança do Sistema Operacional Windows de 3 de janeiro, o Surface lançou atualizações do UEFI por meio do Windows Update e do Centro de Download para os seguintes dispositivos:
-
Surface Book 2 - (Histórico de atualizações)
-
Surface Book - (Histórico de atualizações)
-
Surface Laptop - (Histórico de atualizações)
-
Surface Studio - (Histórico de atualizações)
-
Surface Pro 4 - (Histórico de atualizações)
-
Surface Pro 3 ‒ (Histórico de atualizações)
-
Surface 3 ‒ (Histórico de atualizações)
-
Surface Pro Modelo 1796 e Surface Pro com AdvancedLTE Modelo 1807 ‒ (Histórico de atualizações)
Essas atualizações estão disponíveis para dispositivos que executam a Atualização do Windows 10 para Criadores (compilação 15063) e versões posteriores.
Referências
Mais informações
O hub do Surface implementou estratégias de defesa aprofundada. Para obter mais informações, consulte o seguinte tópico no site da Central do Windows IT Pro:
Diferenças entre o Surface Hub e o Windows 10 Enterprise
Devido a isso, acreditamos que as vulnerabilidades que usam essas vulnerabilidades são significativamente reduzidas no Surface Hub.
A equipe do Surface está focada em garantir que nossos usuários tenham uma experiência segura e confiável. Continuaremos a monitorar e atualizar os dispositivos conforme necessário para resolver essas vulnerabilidades e manter o dispositivo confiável e seguro.