Orientação de clientes Windows para Profissionais de TI para proteção contra vulnerabilidades de canal paralelo de execução especulativa

Aplica-se a: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Mais

Resumo


A Microsoft está ciente de uma nova classe de vulnerabilidades publicamente divulgada chamada de “ataques de canal paralelo de execução especulativa” e que afetam  muitos processadores modernos, entre eles o Intel, o AMD e o ARM.

Observação Esse problema também afeta outros sistemas operacionais, como o Android, o Chrome, o iOS e o macOS. Portanto, recomendamos que os clientes busquem a orientação desses fornecedores.

A Microsoft lançou várias atualizações para ajudar a aliviar essas vulnerabilidades. Também tomamos medidas para proteger nossos serviços de nuvem. Consulte as seguintes seções para obter mais detalhes.

Até agora, a Microsoft não recebeu nenhuma informação que indicasse que essas vulnerabilidades foram usadas para atacar clientes. A Microsoft está trabalhando em estreita colaboração com parceiros da indústria, incluindo fabricantes de chips, OEMs de hardware e fornecedores de aplicativos, para proteger os clientes. Para obter todas as proteções disponíveis, são necessárias atualizações de firmware (microcódigo) e software. Isso inclui microcódigo de OEMs de dispositivos e, em alguns casos, atualizações de software antivírus.

Este artigo resolve as seguintes vulnerabilidades:

O Windows Update tambémfornecerão o Internet Explorer e mitigações do Edge. E vamos continuar a melhorar essas mitigações contra essa classe de vulnerabilidades.

Para saber mais sobre essa classe de vulnerabilidades, consulte ADV180002 e ADV180012.

Ações recomendadas


Os clientes devem tomar as seguintes medidas para se protegerem contra as vulnerabilidades:

  1. Aplica as atualizações disponíveis do sistema operacional Windows, incluindo as atualizações de segurança do Windows mensais.
  2. Aplica a atualização de firmware (microcódigo) aplicável fornecida pelo fabricante do dispositivo.
  3. Avalie o risco para o seu ambiente com base nas informações fornecidas nos Comunicados de Segurança da Microsoft ADV180002 e ADV180012 e neste artigo da Base de Dados de Conhecimento.
  4. Tome as medidas necessárias usando os avisos e as informações da chave do Registro fornecidas neste artigo da base de conhecimento.

Observação Os clientes do Surface receberão uma atualização do microcódigo por meio do Windows Update. Para obter uma lista das atualizações disponíveis do firmware (microcódigo) do dispositivo Surface, consulte KB 4073065.

Configurações de mitigação para clientes Windows


Os somunicados de Segurança ADV180002 e ADV180012 fornecem informações sobre o risco representado por essas vulnerabilidades e ajudam a identificar o estado padrão de mitigações para sistemas de clientes Windows. A tabela a seguir resume o requisito do microcódigo da CPU e o status padrão das atenuações em clientes Windows.

CVE

Requer microcódigo/firmwarede CPU?

Status padrão da mitigação

CVE-2017-5753

Não

Habilitado por padrão (nenhuma opção para desabilitar)

CVE-2017-5715

Sim

Habilitado por padrão. Usuários de sistemas baseados em processadores AMD devem consultar o número 15 das Perguntas Frequentes  e usuários de processadores ARM devem consultar o número 20 das Perguntas Frequentes no ADV180002 para conhecer ações adicionais e este artigo da base de dados de conhecimento para conhecer as configurações de chaves do Registro aplicáveis.

CVE-2017-5754

Não

Habilitado por padrão

CVE-2018-3639

Intel: Sim
AMD: Não
ARM: Sim

Intel e AMD: Desabilitado por padrão. Consulte o ADV180012 para obter mais informações e este artigo da base de dados de conhecimento para as configurações de chave do Registro aplicáveis.

ARM: Habilitado por padrão sem opção para desabilitar.


Observação Habilitar mitigações que estão desativadas por padrão pode afetar o desempenho. O efeito real sobre o desempenho depende de vários fatores, como o chipset específico no dispositivo e as cargas de trabalho que estão sendo executadas.

Configurações do Registro


Estamos fornecendo as seguintes informações do Registro para habilitar as atenuações que não estão habilitadas por padrão, conforme documentado nos Comunicados de segurança ADV180002 e ADV180012. Além disso, estamos fornecendo configurações de chave do Registro para usuários que desejam desabilitar as atenuações relacionadas a CVE-2017-5715 e CVE-2017-5754 para clientes Windows.

Importante Esta seção, método ou tarefa contém etapas que informam como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para obter mais proteção, faça backup do Registro antes de modificá-lo. Dessa forma, você poderá restaurar o Registro se ocorrer um problema. Para obter informações adicionais sobre como fazer backup e restaurar o Registro, consulte o seguinte artigo na Base de Dados de Conhecimento Microsoft:

322756 Como fazer o backup e a restauração do Registro no Windows

Gerenciar mitigações para a CVE-2017-5715 (Spectre Variant 2) e a CVE-2017-5754 (Meltdown)


Para habilitar mitigações padrão para a CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Para desabilitar mitigações para a CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Observação Um valor de 3 é acurado para FeatureSettingsOverrideMask para as configurações "habilitar" e "desabilitar". (Consulte a seção "Perguntas frequentes" para obter mais detalhes sobre chaves do Registro.)

Gerenciar a mitigação para a CVE-2017-5715 (Spectre Variant 2)


Para desabilitar mitigações para CVE-2017-5715 (Spectre Variant 2):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Para habilitar mitigações padrão para CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Apenas processadores AMD e ARM: Habilitar a mitigação completa para CVE-2017-5715 (Spectre Variant 2)


Por padrão, a proteção do usuário ao kernel para o CVE-2017-5715 está desabilitada para CPUs AMD e ARM. Os clientes devem habilitar a mitigação para receber proteções adicionais para CVE-2017-5715. Para obter mais informações, consulte o número 15 das Perguntas Frequentes em ADV180002 para processadores AMD e o número 20 das Perguntas Frequentes em ADV180002 para processadores ARM.

Habilite a proteção do usuário ao kernel em processadores AMD e ARM juntamente com outras proteções para CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Gerenciar mitigações para a CVE-2018-3639 (Speculative Store Bypass), a CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)


Para habilitar mitigações para a CVE-2018-3639 (Speculative Store Bypass) e mitigações padrão para a CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Observação: Os processadores AMD não são vulneráveis a CVE-2017-5754 (Meltdown). Essa chave do Registro é usada em sistemas com processadores AMD para habilitar mitigações padrão para CVE-2017-5715 em processadores AMD e a mitigação para CVE-2018-3639.

Para desabilitar mitigações para CVE-2018-3639 (Speculative Store Bypass) *e* mitigações para CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Apenas processadores AMD: Habilite a mitigação completa para CVE-2017-5715 (Spectre Variant 2) e CVE 2018-3639 (Speculative Store Bypass)


Por padrão, a proteção do usuário ao kernel para o CVE-2017-5715 está desabilitada para processadores AMD. Os clientes devem habilitar a mitigação para receber proteções adicionais para CVE-2017-5715.  Para obter mais informações, consulte o número 15 das Perguntas Frequentes em ADV180002.

Habilite a proteção do usuário ao kernel nos processadores AMD juntamente com outras proteções para CVE 2017-5715 e proteções para CVE-2018-3639 (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Verificando se as proteções estão habilitadas


Para ajudar os clientes a confirmar se as proteções foram habilitadas, a Microsoft publicou um script PowerShell que os clientes podem executar em seus sistemas. Instale e execute o script executando os seguintes comandos.

Verificação do PowerShell usando a Galeria do PowerShell (Windows Server 2016 ou WMF 5.0/5.1)

Instale o módulo PowerShell:

PS> Install-Module SpeculationControl

Execute o módulo PowerShell para verificar se as proteções estão habilitadas:

PS> # Salvar a política de execução atual para que ela possa ser redefinida

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Redefinir a política de execução para o estado original

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Verificação do PowerShell usando um download do Technet (versões anteriores do sistema operacional e versões anteriores do WMF)

Instale o módulo PowerShell do Technet ScriptCenter:

Acesse https://aka.ms/SpeculationControlPS

Baixe SpeculationControl.zip em uma pasta local.

Extraia o conteúdo em uma pasta local, por exemplo C:\ADV180002

Execute o módulo PowerShell para verificar se as proteções estão habilitadas:

Inicie o PowerShell e (usando o exemplo anterior) copie e execute os seguintes comandos:

PS> # Salvar a política de execução atual para que ela possa ser redefinida

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Redefinir a política de execução para o estado original

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Para obter uma explicação detalhada sobre a saída do script do PowerShell, consulte o
artigo da Base de Dados de Conhecimento 4074629.

Perguntas frequentes