Orientação de clientes Windows para Profissionais de TI para proteção contra vulnerabilidades de canal paralelo de execução especulativa

Aplica-se a: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard

Resumo


A Microsoft está ciente de uma nova classe de vulnerabilidades publicamente divulgada chamada de “ataques de canal paralelo de execução especulativa” e que afetam  muitos processadores modernos, entre eles o Intel, o AMD, o VIA e o ARM. 

Observação: Esse problema também afeta outros sistemas operacionais, como o Android, o Chrome, o iOS e o macOS. Portanto, recomendamos que os clientes busquem a orientação desses fornecedores.

A Microsoft lançou várias atualizações para ajudar a aliviar essas vulnerabilidades. Também tomamos medidas para proteger nossos serviços de nuvem. Consulte as seguintes seções para obter mais detalhes.

Até agora, a Microsoft não recebeu nenhuma informação que indicasse que essas vulnerabilidades foram usadas para atacar clientes. A Microsoft está trabalhando em estreita colaboração com parceiros da indústria, incluindo fabricantes de chips, OEMs de hardware e fornecedores de aplicativos, para proteger os clientes. Para obter todas as proteções disponíveis, são necessárias atualizações de firmware (microcódigo) e software. Isso inclui microcódigo de OEMs de dispositivos e, em alguns casos, atualizações de software antivírus.

Este artigo resolve as seguintes vulnerabilidades:

O Windows Update tambémfornecerão o Internet Explorer e mitigações do Edge. E vamos continuar a melhorar essas mitigações contra essa classe de vulnerabilidades.

Para saber mais sobre essa classe de vulnerabilidades, consulte

ATUALIZADO EM 14 de maio de 2019: Em 14 de maio de 2019, a Intel publicou informações sobre uma nova subclasse de vulnerabilidades de canal lateral de execução especulativa conhecida como Microarchitectural Data Sampling. Elas receberam as seguintes CVEs:

Importante: Esses problemas afetarão outros sistemas, como o Android, o Chrome, o iOS e o MacOS. Aconselhamos os clientes a procurar orientação de seus respectivos fornecedores.

A Microsoft lançou várias atualizações para ajudar a aliviar essas vulnerabilidades. Para obter todas as proteções disponíveis, são necessárias atualizações de firmware (microcódigo) e software. Isso pode incluir o microcódigo de OEMs de dispositivos. Em alguns casos, a instalação dessas atualizações terá um impacto no desempenho. Também agimos para proteger nossos serviços de nuvem. É altamente recomendável implantar essas atualizações.

Para obter mais informações sobre esse problema, consulte o seguinte Comunicado de Segurança e use a orientação baseada em cenário para determinar as ações necessárias para mitigar a ameaça:

Observação Recomendamos que você instale todas as atualizações mais recentes do Windows Update antes de instalar qualquer atualização de microcódigo.

ATUALIZADO EM 6 DE AGOSTO DE 2019: Em 6 de agosto de 2019, a Intel divulgou detalhes sobre uma vulnerabilidade de divulgação de informações do kernel do Windows. Estsa vulnerabilidade é uma variante da vulnerabilidade de canal paralelo de execução especulativa Specter Variante 1 e foi atribuída ao CVE-2019-1125.

Em 9 de julho de 2019, lançamos atualizações de segurança para o sistema operacional Windows para ajudar a mitigar esse problema. Observe que aguardamos para documentar essa mitigação publicamente até a revelação coordenada do setor na terça-feira, 6 de agosto de 2019.

Os clientes que têm o Windows Update habilitado e aplicaram as atualizações de segurança lançadas em 9 de julho de 2019 estão protegidos automaticamente. Nenhuma outra configuração é necessária.

Observação Essa vulnerabilidade não requer uma atualização de microcódigo do OEM (fabricante de dispositivo).

Para obter mais informações sobre essa vulnerabilidade e as atualizações aplicáveis, consulte o Guia de Atualização de Segurança da Microsoft:  CVE-2019-1125 | Vulnerabilidade de divulgação de informações do kernel do Windows

 

 

Ações recomendadas


Os clientes devem tomar as seguintes medidas para se protegerem contra as vulnerabilidades:

  1. Aplica as atualizações disponíveis do sistema operacional Windows, incluindo as atualizações de segurança do Windows mensais.
  2. Aplica a atualização de firmware (microcódigo) aplicável fornecida pelo fabricante do dispositivo.
  3. Avalie o risco para o seu ambiente com base nas informações fornecidas nos Comunicados de Segurança da Microsoft: ADV180002, ADV180012, ADV190013 e informações fornecidas neste artigo da Base de Dados de Conhecimento.
  4. Tome as medidas necessárias usando os avisos e as informações da chave do Registro fornecidas neste artigo da base de conhecimento.

Observação: Os clientes do Surface receberão uma atualização do microcódigo por meio do Windows Update. Para obter uma lista das atualizações disponíveis mais recentes do firmware do dispositivo Surface (microcódigo), consulte KB 4073065.

Configurações de mitigação para clientes Windows


Os comunicados de segurança ADV180002ADV180012 e ADV190013 fornecem informações sobre o risco dessas vulnerabilidades e ajudam a identificar o estado padrão de mitigações para sistemas cliente do Windows. A tabela a seguir resume o requisito do microcódigo da CPU e o status padrão das atenuações em clientes Windows.

CVE

Requer microcódigo/firmware da CPU?

Status padrão da mitigação

CVE-2017-5753

Não

Habilitado por padrão (nenhuma opção para desabilitar)

Consulte o ADV180002 para obter informações adicionais.

CVE-2017-5715

Sim

Habilitado por padrão. Usuários de sistemas baseados em processadores AMD devem consultar o número 15 das Perguntas Frequentes e usuários de processadores ARM devem consultar o número 20 das Perguntas Frequentes no ADV180002 para conhecer ações adicionais e este artigo da base de dados de conhecimento para conhecer as configurações de chaves do Registro aplicáveis.

Observação: O“Retpoline”está habilitado por padrão em dispositivos Windows 10 versão 1809 ou mais recente quando a Spectre Variant 2 (CVE-2017-5715) está habilitada. Para obter mais informações sobre “Retpoline”, consulte orientação na postagem de blog sobre como Mitigar a Spectre Variant 2 com o Retpoline no Windows.

CVE-2017-5754

Não

Habilitado por padrão

Consulte o ADV180002 para obter informações adicionais.

CVE-2018-3639

Intel: Sim
AMD: Não
ARM: Sim

Intel e AMD: Desabilitado por padrão. Consulte o ADV180012 para obter mais informações e este artigo da base de dados de conhecimento para as configurações de chave do Registro aplicáveis.

ARM: Habilitado por padrão sem opção para desabilitar.

CVE-2018-11091 Intel: Sim

Habilitado por padrão.

Consulte o ADV190013 para obter mais informações e este artigo da base de dados de conhecimento para as configurações de chave do Registro aplicáveis.
CVE-2018-12126  Intel: Sim

Habilitado por padrão.

Consulte o ADV190013 para obter mais informações e este artigo da base de dados de conhecimento para as configurações de chave do Registro aplicáveis.
CVE-2018-12127  Intel: Sim

Habilitado por padrão.

Consulte o ADV190013 para obter mais informações e este artigo da base de dados de conhecimento para as configurações de chave do Registro aplicáveis.
CVE-2018-12130 Intel: Sim

Habilitado por padrão.

Consulte o ADV190013 para obter mais informações e este artigo da base de dados de conhecimento para as configurações de chave do Registro aplicáveis.


Observação: Habilitar mitigações que estão desativadas por padrão pode afetar o desempenho. O efeito real sobre o desempenho depende de vários fatores, como o chipset específico no dispositivo e as cargas de trabalho que estão sendo executadas.

Configurações do Registro


Estamos fornecendo as seguintes informações do Registro para habilitar as atenuações que não estão habilitadas por padrão, conforme documentado nos Comunicados de segurança ADV180002 e ADV180012. Além disso, estamos fornecendo configurações de chave do Registro para usuários que desejam desabilitar as atenuações relacionadas a CVE-2017-5715 e CVE-2017-5754 para clientes Windows.

Importante: Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para obter mais proteção, faça backup do Registro antes de modificá-lo. Dessa forma, você poderá restaurar o Registro se ocorrer um problema. Para obter informações adicionais sobre como fazer backup e restaurar o Registro, consulte o seguinte artigo na Base de Dados de Conhecimento Microsoft:

Consulte o KB 322756 "Como fazer o backup e a restauração do Registro no Windows"

Gerenciar mitigações para a CVE-2017-5715 (Spectre Variant 2) e a CVE-2017-5754 (Meltdown)


Observação importante:‏ O Retpoline está habilitado por padrão em dispositivos Windows 10, versão 1809, quando a Spectre Variante 2 (CVE-2017-5715) está habilitada. A ação de habilitar o Retpoline na última versão do Windows 10 pode melhorar o desempenho em dispositivos que executam o Windows 10, versão 1809, para a Spectre variante 2, especialmente em processadores mais antigos.

Para habilitar mitigações padrão para a CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Para desabilitar mitigações para a CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Observação: Um valor de 3 é acurado para FeatureSettingsOverrideMask para as configurações "habilitar" e "desabilitar". (Consulte a seção "Perguntas frequentes" para obter mais detalhes sobre chaves do Registro.)

Gerenciar a mitigação para a CVE-2017-5715 (Spectre Variant 2)


Para desabilitar mitigações para CVE-2017-5715 (Spectre Variant 2):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Para habilitar mitigações padrão para CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Apenas processadores AMD e ARM: Habilitar a mitigação completa para CVE-2017-5715 (Spectre Variant 2)


Por padrão, a proteção do usuário ao kernel para o CVE-2017-5715 está desabilitada para CPUs AMD e ARM. Os clientes devem habilitar a mitigação para receber proteções adicionais para CVE-2017-5715. Para obter mais informações, consulte o número 15 das Perguntas Frequentes em ADV180002 para processadores AMD e o número 20 das Perguntas Frequentes em ADV180002 para processadores ARM.

Habilite a proteção do usuário ao kernel em processadores AMD e ARM juntamente com outras proteções para CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Gerenciar mitigações para a CVE-2018-3639 (Speculative Store Bypass), a CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)


Para habilitar mitigações para a CVE-2018-3639 (Speculative Store Bypass) e mitigações padrão para a CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Observação: Os processadores AMD não são vulneráveis a CVE-2017-5754 (Meltdown). Essa chave do Registro é usada em sistemas com processadores AMD para habilitar mitigações padrão para CVE-2017-5715 em processadores AMD e a mitigação para CVE-2018-3639.

Para desabilitar mitigações para CVE-2018-3639 (Speculative Store Bypass) *e* mitigações para CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Apenas processadores AMD: Habilite a mitigação completa para CVE-2017-5715 (Spectre Variant 2) e CVE 2018-3639 (Speculative Store Bypass)


Por padrão, a proteção do usuário ao kernel para o CVE-2017-5715 está desabilitada para processadores AMD. Os clientes devem habilitar a mitigação para receber proteções adicionais para CVE-2017-5715.  Para obter mais informações, consulte o número 15 das Perguntas Frequentes em ADV180002.

Habilite a proteção do usuário ao kernel nos processadores AMD juntamente com outras proteções para CVE 2017-5715 e proteções para CVE-2018-3639 (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Gerenciar a Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) junto com as variantes Spectre (CVE-2017-5753 e CVE-2017-5715) e Meltdown (CVE-2017-5754), incluindo Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) e L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646)


Para permitir mitigações para a Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) junto com as variantes Spectre (CVE-2017-5753 e CVE-2017-5715) e Meltdown (CVE-2017-5754), incluindo Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) e L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646 ], sem desabilitar o Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se o recurso Hyper-V estiver instalado, adicione a seguinte configuração de registro:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se este for um host Hyper-V e as atualizações de firmware tiverem sido aplicadas: Desligue completamente todas as máquinas virtuais. Isso permite que a mitigação relacionada ao firmware seja aplicada no host antes que as VMs sejam iniciadas. Portanto, as VMs também são atualizadas ao serem reiniciadas.

Reinicie o computador para que as alterações tenham efeito.

Para habilitar mitigações para a Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) junto com as variantes Spectre (CVE-2017-5753 e CVE-2017-5715) e Meltdown (CVE-2017-5754), incluindo Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) e L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646), com o Hyper-Threading desabilitado:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se o recurso Hyper-V estiver instalado, adicione a seguinte configuração de registro:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se este for um host Hyper-V e as atualizações de firmware tiverem sido aplicadas: Desligue completamente todas as máquinas virtuais. Isso permite que a mitigação relacionada ao firmware seja aplicada no host antes que as VMs sejam iniciadas. Portanto, as VMs também são atualizadas ao serem reiniciadas.

Reinicie o computador para que as alterações tenham efeito.

Para desabilitar mitigações para a Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) junto com as variantes Spectre (CVE-2017-5753 e CVE-2017-5715) e Meltdown (CVE-2017-5754), incluindo Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) e L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Verificando se as proteções estão habilitadas


Para ajudar os clientes a confirmar se as proteções foram habilitadas, a Microsoft publicou um script PowerShell que os clientes podem executar em seus sistemas. Instale e execute o script executando os seguintes comandos.

Verificação do PowerShell usando a Galeria do PowerShell (Windows Server 2016 ou WMF 5.0/5.1)

Instale o módulo PowerShell:

PS> Install-Module SpeculationControl

Execute o módulo PowerShell para verificar se as proteções estão habilitadas:

PS> # Salvar a política de execução atual para que ela possa ser redefinida

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Redefinir a política de execução para o estado original

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Verificação do PowerShell usando um download do Technet (versões anteriores do sistema operacional e versões anteriores do WMF)

Instale o módulo PowerShell do Technet ScriptCenter:

Acesse https://aka.ms/SpeculationControlPS

Baixe SpeculationControl.zip em uma pasta local.

Extraia o conteúdo em uma pasta local, por exemplo C:\ADV180002

Execute o módulo PowerShell para verificar se as proteções estão habilitadas:

Inicie o PowerShell e (usando o exemplo anterior) copie e execute os seguintes comandos:

PS> # Salvar a política de execução atual para que ela possa ser redefinida

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Redefinir a política de execução para o estado original

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Para uma explicação detalhada sobre a saída do script do PowerShell, consulte o artigo da Base de Dados de Conhecimento 4074629.

Perguntas frequentes