KB4073065: Diretrizes de superfície para proteger contra vulnerabilidades de canal lateral de microarquireção baseada em silício e execução especulativa

Introdução

Desde janeiro de 2018, a equipe do Surface publica atualizações de firmware para uma classe de problemas baseados em silício que envolvem vulnerabilidades de canal lateral de execução especulativa e microarquitural. A equipe do Surface continua trabalhando em estreita colaboração com a equipe do Windows e parceiros do setor para proteger os clientes. Para obter toda a proteção disponível, tanto o firmware quanto as atualizações do sistema Windows são necessárias.

Resumo

Vulnerabilidades anunciadas em junho de 2022

A equipe do Surface está ciente de novas variantes de ataque de canal lateral de execução lateral e microarquiretal baseada em silício que também afetam os produtos Surface. Para obter mais informações sobre as vulnerabilidades e mitigações, consulte o seguinte aviso de segurança:

• ADV220002 de Consultoria de Segurança da Microsoft

Estamos trabalhando em conjunto com nossos parceiros para fornecer atualizações aos produtos surface assim que pudermos garantir que as atualizações atendam aos nossos requisitos de qualidade. 

Para obter mais informações sobre atualizações para dispositivos Surface, consulte Histórico de atualizações do Surface.

Vulnerabilidades anunciadas em maio de 2019

A equipe do Surface está ciente de novas variantes de ataque de canal lateral de execução especulativa que também afetam os produtos surface. A mitigação dessas vulnerabilidades requer uma atualização do sistema operacional e uma atualização do Surface UEFI que inclua um novo microcódigo. Para obter mais informações sobre as vulnerabilidades e mitigações, consulte o seguinte aviso de segurança:

• ADV190013 de Consultoria de Segurança da Microsoft

  Este aviso inclui as seguintes vulnerabilidades:

  • CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS) 
  • CVE-2018-12130 | Microarchitectural Fill Buffer Data Sampling (MFBDS)
  • CVE-2018-12127 | Microarchitectural Load Port Data Sampling (MLPDS)
  • CVE-2019-11091 | MDSUM (Microarchitectural Data Sampling Uncacheable Memory)

Além de instalar as atualizações de segurança do Sistema Operacional Windows, o Surface lançou atualizações UEFI por meio do Windows Update e do Centro de Download para os seguintes dispositivos:

• Atualização do Surface 3 – 11 de julho de 2019
• atualização de 3 de Surface Pro a 11 de julho de 2019
• Surface Pro 4 - atualização de 27 de junho de 2019
• Surface Book - atualização de 27 de junho de 2019
• Surface Studio – atualização de 11 de julho de 2019
• Surface Pro (^5ª Geração) – atualização de 27 de junho de 2019
• Surface Laptop – atualização de 27 de junho de 2019
• atualização de 2 de Surface Book a 27 de junho de 2019
• atualização de 6 de Surface Pro a 27 de junho de 2019
• Atualização do Surface Laptop 2 – 27 de junho de 2019
• atualização de 2 a 31 de julho de 2019 Surface Studio
• Surface GO WiFi – atualização de 23 de julho de 2019
• Surface GO LTE - Atualização de 23 de julho de 2019

Além do novo microcódigo, uma nova configuração UEFI conhecida como "SMT (Multi-Threading Simultânea)" estará disponível quando a atualização UEFI estiver instalada. Essa configuração permite que um usuário desabilite o Hyper-Threading.

Observações

• Se você decidir desabilitar o Hyper-Threading, recomendamos que você use a nova configuração UEFI do SMT.

• Desabilitar o SMT fornece proteção adicional contra essas novas vulnerabilidades e o ataque de Falha do Terminal L1 que foi anunciado anteriormente. No entanto, esse método também afeta o desempenho do dispositivo.

• O Surface 3 e Surface Studio com o Intel Core i5 não têm SMT. Portanto, esses dispositivos não têm essa nova configuração.

• A ferramenta configuradora UEFI do Modo de Gerenciamento empresarial do Microsoft Surface (SEMM) versão 2.43.139 ou posterior dá suporte à nova configuração de SMT. As ferramentas podem ser baixadas nesta página da Web. Baixe as seguintes ferramentas necessárias:

  • SurfaceUEFI_Configurator_v2.43.139.0.msi
  • SurfaceUEFI_Manager_v2.43.139.0.msi

Vulnerabilidade anunciada em agosto de 2018

A equipe do Surface está ciente de um novo ataque especulativo de canal lateral de execução chamado L1TF (Falha de Terminal L1) e CVE-2018-3620 (OS e SMM) e CVE-2018-3646 (VMM). Os produtos Surface afetados são os mesmos que na seção "Vulnerabilidades Anunciadas em maio de 2018" deste artigo. As atualizações de microcódigo que atenuam os resultados de maio de 2018 também atenuam L1TF (CVE-2018-3646). Para obter mais informações sobre a vulnerabilidade e mitigações, consulte o seguinte aviso de segurança:

• ADV180018 de Consultoria de Segurança da Microsoft

  Este aviso inclui as seguintes vulnerabilidades:

  • CVE-2018-3620
  • CVE-2018-3646

A consultoria de segurança propõe que os clientes que estão usando a VBS (Virtualization Based Security), que inclui recursos de segurança como Credential Guard e Device Guard, devem considerar desabilitar Hyper-Threading para eliminar totalmente o risco de L1TF.

Vulnerabilidades anunciadas em maio de 2018

A equipe do Surface tomou conhecimento de novas variantes de ataque de canal lateral de execução especulativa que também afetam os produtos surface. A mitigação dessas vulnerabilidades requer atualizações UEFI que usam novo microcódigo. Para obter mais informações sobre as vulnerabilidades e mitigações, confira os seguintes avisos de segurança:

• Microsoft Security Advisory ADV180012

  Este aviso inclui a seguinte vulnerabilidade:

  • CVE-2018-3639

• ADV180013 de Consultoria de Segurança da Microsoft

  Este aviso inclui a seguinte vulnerabilidade:

  • CVE-2018-3640

Além de instalar as atualizações de segurança do Sistema Operacional Windows, o Surface lançou atualizações UEFI por meio do Windows Update e do Centro de Download para os seguintes dispositivos:

• atualização de 2 de Surface Book a 1º de agosto de 2018
• Surface Book - atualização de 21 de agosto de 2018
• Surface Laptop - atualização de 25 de julho de 2018
• Surface Studio – atualização de 1º de outubro de 2018
• Surface Pro 4 – atualização de 25 de julho de 2018
• atualização de 3 de Surface Pro a 7 de agosto de 2018
• Surface Pro Modelo 1796 e Surface Pro com atualização avançada do Modelo LTE 1807 - 26 de julho de 2018

Vulnerabilidades anunciadas em janeiro de 2018

A equipe do Surface está ciente da classe divulgada publicamente de vulnerabilidades que envolvem o canal lateral de execução especulativa (conhecido como Spectre e Meltdown) que afetam muitos processadores modernos e sistemas operacionais, incluindo Intel, AMD e ARM. Para obter mais informações sobre as vulnerabilidades e mitigações, consulte o seguinte aviso de segurança:

• ADV180002 de Consultoria de Segurança da Microsoft

  Este aviso inclui as seguintes vulnerabilidades:

  • CVE-2017-5753
  • CVE-2017-5715
  • CVE-2017-5754

Para obter mais informações sobre atualizações de software do Windows, consulte os seguintes artigos base de dados de conhecimento:

• KB4073757 
• KB4073119 (diretrizes do cliente)

Além de instalar o Atualizações de Segurança do Sistema Operacional Windows de 3 de janeiro, o Surface lançou atualizações UEFI por meio de Windows Update e do Centro de Download para os seguintes dispositivos:

• Surface Book 2 – (Histórico de atualizações)
• Surface Book – (Histórico de atualizações)
• Surface Laptop – (Histórico de atualizações)
• Surface Studio – (Histórico de atualizações)
• Surface Pro 4 – (Histórico de atualizações)
• Surface Pro 3 – (Histórico de atualizações)
• Surface 3 – (Histórico de atualizações)
• Surface Pro Modelo 1796 e Surface Pro com o Modelo LTE Avançado 1807- (Histórico de Atualizações)

Essas atualizações estão disponíveis para dispositivos que estão executando Atualização do Windows 10 para Criadores (build 15063) e versões posteriores.

Mais informações

O sistema operativo Surface Hub, Windows 10 Team, implementou estratégias de defesa em profundidade. Por este motivo, acreditamos que as explorações que utilizam estas vulnerabilidades são significativamente reduzidas no Surface Hub ao executar Windows 10 Team sistema operativo.  Para obter mais informações, consulte o seguinte tópico no site do Windows IT Pro Center: Diferenças entre o Surface Hub e Windows 10 Enterprise.  

A equipa do Surface está focada em garantir que os nossos utilizadores têm uma experiência segura e fiável. Continuaremos a monitorizar e atualizar os dispositivos conforme necessário para resolver estas vulnerabilidades e manter os dispositivos fiáveis e seguros.

Referências

Aviso de isenção de responsabilidade para informações de terceiros

Fornecemos informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. Não garantimos a precisão dessas informações para contato com outras empresas.