Resumo
A Microsoft está ciente de uma nova classe de vulnerabilidades publicamente divulgada conhecida como “ataques de canal paralelo de execução especulativa.” Essas vulnerabilidades afetam muitos processadores e sistemas operacionais modernos. Isso inclui chipsets da Intel, da AMD e da ARM.
Ainda não recebemos informações que indiquem que essas vulnerabilidades foram usadas para atacar clientes. Continuamos trabalhando em estreita colaboração com os parceiros do setor para proteger os clientes. Isso inclui fabricantes de chips, OEMs de hardware e fornecedores de aplicativos. Para obter toda a proteção disponível, são necessárias atualizações de hardware ou firmware e software. Isso inclui microcódigo de OEMs de dispositivos e, em alguns casos, atualizações de software antivírus. Lançamos várias atualizações para ajudar a mitigar essas vulnerabilidades. Mais informações sobre as vulnerabilidades podem ser encontradas no Comunicado de Segurança da Microsoft ADV180002. Para obter diretrizes gerais, consulte também Diretrizes para mitigar vulnerabilidades de canal lateral de execução especulativa. Também tomamos medidas para ajudar a proteger nossos serviços de nuvem. Consulte as seções a seguir para obter mais detalhes.
Versões afetadas do Exchange Server
Como esses são ataques de nível de hardware que direcionam sistemas de processador baseados em x64 e x86, todas as versões com suporte do Microsoft Exchange Server são afetadas por esse problema.
Recomendações
A tabela a seguir descreve as ações recomendadas para os clientes do Exchange Server. Não há atualizações específicas do Exchange necessárias no momento. No entanto, recomendamos que os clientes sempre executem a última atualização cumulativa do Exchange Server e quaisquer atualizações de segurança necessárias. Recomendamos que você implante correções usando os procedimentos normais para validar novos binários antes de implantá-los em ambientes de produção.
|
Cenário |
Descrição |
Recomendações |
|
1 |
O Exchange Server é executado em bare-metal (sem máquinas virtuais) e nenhuma outra lógica de aplicativo não confiável (camada de aplicativo) é executada na mesma máquina bare metal.
|
Aplique todas as atualizações do sistema e do Exchange Server após os testes de validação de pré-produção habituais. A habilitação do KVAS (Kernel Virtual Address Shadowing) não é necessária (consulte a seção relacionada mais adiante neste artigo). |
|
2 |
O Exchange Server é executado em uma máquina virtual em um ambiente de hospedagem pública (nuvem). |
Para o Azure: A Microsoft publicou detalhes sobre as iniciativas de mitigação para o Azure (consulte o KB 4073235 para obter informações detalhadas). Para outros provedores de nuvem: Consulte suas diretrizes. Consulte as diretrizes mais adiante neste artigo para saber se é preciso habilitar o KVAS. |
|
3 |
O Exchange Server é executado em uma máquina virtual em um ambiente de hospedagem privado |
Consulte a documentação de segurança do hipervisor para obter as práticas recomendadas de segurança. Consulte o KB 4072698 para o Windows Server e o Hyper-V. Recomendamos instalar todas as atualizações do sistema operacional na VM convidada. Consulte as diretrizes posteriores neste artigo para saber se é preciso habilitar o KVAS. |
|
4 |
O Exchange Server é executado em um computador físico ou uma máquina virtual e não está isolado de outra lógica de aplicativo que esteja sendo executada no mesmo sistema.
|
Recomendamos instalar todas as atualizações do sistema operacional. Consulte as diretrizes mais adiante neste artigo para saber se é preciso habilitar o KVAS. |
Comunicado de Desempenho
Recomendamos que todos os clientes avaliem o desempenho de seu ambiente específico ao aplicar atualizações.
As soluções fornecidas pela Microsoft para os tipos de vulnerabilidades que são discutidos aqui usarão mecanismos baseados em software para proteção contra acesso de processos cruzados a dados. Aconselhamos todos os clientes a instalar versões atualizadas do Exchange Server e do Windows. Isso deve ter um efeito mínimo sobre o desempenho, com base nos testes da Microsoft em relação às cargas de trabalho do Exchange.
Medimos o efeito do KVAS (Kernel Virtual Address Shadowing) em relação a várias cargas de trabalho. Descobrimos que algumas cargas de trabalho apresentam uma diminuição significativa no desempenho. O Exchange Server é uma das cargas de trabalho que poderão sofrer uma diminuição significativa se o KVAS for habilitado. Espera-se que servidores que mostram alto uso de CPU ou altos padrões de uso de E/S apresentem o maior efeito. Recomendamos que primeiro você avalie o efeito sobre o desempenho ao habilitar o KVAS executando testes em um laboratório que represente suas necessidades de produção, antes de implantar em um ambiente de produção. Se o efeito sobre o desempenho devido à habilitação do KVAS for muito alto, considere se o isolamento do Exchange Server do código não confiável que está sendo executado no mesmo sistema é uma mitigação melhor para o aplicativo.
Além do KVAS, informações sobre o efeito sobre o desempenho causado pelo suporte de hardware de mitigação de IBC (Branch Target Injection) são detalhadas aqui. Um servidor que esteja executando o Exchange Server e que tenha uma solução de IBC implantada poderá sofrer uma diminuição significativa no desempenho se o IBC for habilitado.
Antecipamos que os fornecedores de hardware oferecerão atualizações para seus produtos na forma de atualizações de microcódigo. Nossa experiência com o Exchange indica que as atualizações de microcódigo acentuarão a queda de desempenho. A extensão em que isso ocorrerá é altamente dependente dos componentes e do design do sistema em que elas forem aplicadas. Acreditamos que nenhuma solução única, baseada em software ou em hardware, é suficiente para resolver esse tipo de vulnerabilidade por si só. Encorajamos você a avaliar o desempenho de todas as atualizações para explicar a variabilidade no design e no desempenho do sistema antes de colocá-las em produção. A equipe do Exchange não planeja atualizar a calculadora de dimensionamento usada pelos clientes para explicar as diferenças de desempenho no momento. Os cálculos fornecidos por essa ferramenta não levarão em consideração quaisquer alterações no desempenho relacionadas a correções para esses problemas. Continuaremos a avaliar essa ferramenta e os ajustes que acreditamos que possam ser necessários, com base em nosso próprio uso e no dos clientes.
Atualizaremos esta seção à medida que informações adicionais forem disponibilizadas.
Habilitar o Kernel Virtual Address Shadowing
O Exchange Server é executado em muitos ambientes, inclusive sistemas físicos, VMs em ambientes de nuvem pública e privada e sistemas operacionais Windows. Independentemente do ambiente, o programa está localizado em um sistema físico ou uma VM. Esse ambiente, seja físico ou virtual, é conhecido como limite de segurança.
Se todo o código dentro do limite tiver acesso a todos os dados nesse limite, nenhuma ação será necessária. Se esse não for o caso, o limite será chamado multilocatário.As vulnerabilidades que tenham sido encontradas tornam possível que qualquer código em execução em qualquer processo nesse limite leia quaisquer outros dados dentro desse limite. Isso ocorre mesmo quando há permissões reduzidas. Se algum processo no limite estiver executando código não confiável, esse processo poderá usar essas vulnerabilidades para ler dados de outros processos.
Para se proteger contra código não confiável em um limite multilocatário, execute um destes procedimentos:
-
Remova o código não confiável.
-
Ative o KVAS para se proteger contra leituras de processo a processo. Isso terá um efeito sobre o desempenho. Consulte as seções anteriores deste artigo para obter informações detalhadas.
Para obter mais informações sobre como habilitar o KVAS para Windows, consulte o KB 4072698.
Cenários de exemplo (o KVAS é altamente recomendável)
Cenário 1
Uma VM do Azure executa um serviço no qual usuários não confiáveis podem enviar código JavaScript que é executado devido à existência de permissões limitadas. Na mesma VM, o Exchange Server está sendo executado e gerenciando dados que não devem ser acessíveis para os usuários não confiáveis. Nessa situação, o KVAS precisa proteger contra divulgação entre as duas entidades.
Cenário 2
Um sistema físico local que hospeda o Exchange Server pode executar scripts ou executáveis de terceiros não confiáveis. É necessário habilitar o KVAS para se proteger contra a divulgação de dados do Exchange para o script ou o executável.
Observação Só porque um mecanismo de extensibilidade no Exchange Server está sendo usado, isso não o torna automaticamente inseguro. Esses mecanismos podem ser usados de forma segura no Exchange Server, desde que cada dependência seja entendida e confiável. Além disso, existem outros produtos baseados no Exchange Server que podem exigir que os mecanismos de extensibilidade funcionem corretamente. Em vez disso, como sua primeira ação, examine cada uso para determinar se o código é compreendido e confiável. Essa diretrizes são fornecidas para ajudar os clientes a determinar se precisam habilitar o KVAS devido a maiores implicações sobre o desempenho.
Habilitar o Suporte de Hardware de Mitigação de IBC (Branch Target Injection)
O IBC mitiga contra o CVE 2017-5715, também conhecido como metade do Spectre ou “variante 2” na divulgação do GPZ.
As instruções acima para habilitar o KVAS no Windows também podem habilitar o IBC. No entanto, o IBC também requer uma atualização de firmware do fabricante do hardware. Além das instruções no KB4072698 para habilitar a proteção no Windows, os clientes precisam obter e instalar atualizações do fabricante do hardware.
Cenário de exemplo (o IBC é altamente recomendável)
Cenário 1
Em um sistema físico local que hospeda o Exchange Server, usuários não confiáveis podem carregar e executar código JavaScript arbitrário. Nesse cenário, é altamente recomendável que o IBC proteja contra a divulgação de informações de processo a processo.
Em situações em que o suporte de hardware de IBC não está presente, recomendamos separar processos não confiáveis e processos confiáveis em diferentes computadores físicos ou máquinas virtuais.
Mecanismos de extensibilidade não confiáveis do Exchange Server
O Exchange Server inclui recursos e mecanismos de extensibilidade. Muitos deles são baseados em APIs que não permitem que código não confiável seja executado no servidor que está executando o Exchange Server. Os Agentes de Transporte e o Shell de Gerenciamento do Exchange podem permitir que código não confiável seja executado em um servidor que esteja executando o Exchange Server em determinadas situações. Em todos os casos, com exceção dos Agentes de Transporte, os recursos de extensibilidade exigem autenticação para serem usados. Recomendamos que você use recursos de extensibilidade que sejam restritos ao conjunto mínimo de binários, quando aplicável. Também recomendamos que os clientes restrinjam o acesso do servidor para evitar que código arbitrário seja executado nos mesmos sistemas que o Exchange Server. Recomendamos que você determine se deve confiar em cada binário. Você deve desabilitar ou remover binários não confiáveis. Você também deve garantir que as interfaces de gerenciamento não sejam expostas na Internet.
Quaisquer produtos de terceiros mencionados neste artigo são fabricados por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, implícita ou não, em relação ao desempenho ou à confiabilidade desses produtos
