|
Data da alteração |
Alterar descrição |
|
19 de julho de 2023 |
|
|
08 de agosto de 2023 |
|
|
9 de agosto de 2023 |
|
|
9 de abril de 2024 |
|
|
16 de abril de 2024 |
|
Resumo
Este artigo fornece orientação para uma nova classe de vulnerabilidades de canal lateral de execução especulativa e microarquitetural baseadas em silício que afetam muitos processadores e sistemas operacionais modernos. Incluindo Intel, AMD e ARM. Detalhes específicos para essas vulnerabilidades baseadas em silício podem ser encontrados nos seguintes ADVs (Comunicados de Segurança) e CVEs (Vulnerabilidades e Exposições Comuns):
-
ADV180002 | Orientação para mitigar as vulnerabilidades de canal paralelo de execução especulativa
-
ADV180012 | Orientação da Microsoft para a Speculative Store Bypass
-
ADV180013 | Orientação da Microsoft para a Rogue System Register Read
-
ADV180016 | Orientação da Microsoft para a Lazy FP State Restore
-
ADV180018 | Diretrizes da Microsoft para mitigar a variante L1TF
-
ADV190013 | Orientação da Microsoft para mitigar vulnerabilidades Microarchitectural Data Sampling
-
CVE-2022-23825 | Confusão de Tipo de Branch (BTC) da CPU AMD
-
CVE-2023-20569 | Previsor de Endereço de Remetente da CPU AMD
Importante: Esse problema também afeta outros sistemas operacionais, como Android, Chrome, iOS e macOS. Portanto, recomendamos que os clientes busquem a orientação desses fornecedores.
Lançamos várias atualizações para ajudar a mitigar essas vulnerabilidades. Também tomamos medidas para proteger nossos serviços de nuvem. Consulte as seguintes seções para obter mais detalhes.
Ainda não recebemos nenhuma informação que indicasse que essas vulnerabilidades foram usadas para atacar clientes. Estamos trabalhando em estreita colaboração com parceiros do setor, incluindo fabricantes de chips, OEMs de hardware e fornecedores de aplicativos, para proteger os clientes. Para obter todas as proteções disponíveis, são necessárias atualizações de firmware (microcódigo) e software. Isso inclui microcódigo de OEMs de dispositivos e, em alguns casos, atualizações de software antivírus.
Este artigo resolve as seguintes vulnerabilidades:
O Windows Update tambémfornecerão o Internet Explorer e mitigações do Edge. E vamos continuar a melhorar essas mitigações contra essa classe de vulnerabilidades.
Para saber mais sobre essa classe de vulnerabilidades, consulte o seguinte:
Vulnerabilidades
Em 14 de maio de 2019, a Intel publicou informações sobre uma nova subclasse de vulnerabilidades de canal lateral de execução especulativa conhecida como Microarchitectural Data Sampling. Essas vulnerabilidades são abordadas nas seguintes CVEs:
-
CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)
-
CVE-2018-12127 | Microarchitectural Fill Buffer Data Sampling (MFBDS)
-
CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)
Importante: Esses problemas afetarão outros sistemas operacionais, como Android, Chrome, iOS e MacOS. Recomendamos que você busque orientações desses respectivos fornecedores.
Lançamos atualizações para ajudar a mitigar essas vulnerabilidades. Para obter todas as proteções disponíveis, são necessárias atualizações de firmware (microcódigo) e software. Isso pode incluir o microcódigo de OEMs de dispositivos. Em alguns casos, a instalação dessas atualizações terá um impacto no desempenho. Também agimos para proteger nossos serviços de nuvem. É altamente recomendável implantar essas atualizações.
Para obter mais informações sobre esse problema, consulte o seguinte Comunicado de Segurança e use a orientação baseada em cenário para determinar as ações necessárias para mitigar a ameaça:
Observação: Recomendamos que você instale todas as atualizações mais recentes do Windows Update antes de instalar qualquer atualização de microcódigo.
Em 6 de agosto de 2019, a Intel divulgou detalhes sobre uma vulnerabilidade de divulgação de informações do kernel do Windows. Esta vulnerabilidade é uma variante da vulnerabilidade de canal paralelo de execução especulativa Spectre Variante 1 e foi atribuída ao CVE-2019-1125.
Em 9 de julho de 2019, lançamos atualizações de segurança para o sistema operacional Windows para ajudar a mitigar esse problema. Observe que aguardamos para documentar essa mitigação publicamente até a revelação coordenada do setor na terça-feira, 6 de agosto de 2019.
Os clientes que têm o Windows Update habilitado e aplicaram as atualizações de segurança lançadas em 9 de julho de 2019 estão protegidos automaticamente. Nenhuma outra configuração é necessária.
Observação: Essa vulnerabilidade não requer uma atualização de microcódigo do OEM (fabricante de dispositivo).
Para obter mais informações sobre essa vulnerabilidade e as atualizações aplicáveis, consulte o Guia de Atualização de Segurança da Microsoft:
Em 12 de novembro de 2019, a Intel publicou um comunicado técnico sobre a vulnerabilidade Transaction Asynchronous Abort do Intel Transactional Synchronization Extensions (Intel TSX) atribuída à CVE-2019-11135. Lançamos atualizações para ajudar a mitigar essa vulnerabilidade. Por padrão, as proteções do sistema operacional são habilitadas para as edições do SO do Cliente do Windows.
Em 14 de junho de 2022, publicamos o ADV220002 | Diretrizes da Microsoft sobre vulnerabilidades de dados obsoletas do MMIO do Processador Intel. Essas vulnerabilidades estão atribuídas às CVEs a seguir:
Ações recomendadas
Você deve tomar as seguintes medidas para se proteger contra essas vulnerabilidades:
-
Aplica as atualizações disponíveis do sistema operacional Windows, incluindo as atualizações de segurança do Windows mensais.
-
Aplica a atualização de firmware (microcódigo) aplicável fornecida pelo fabricante do dispositivo.
-
Avalie o risco para seu ambiente com base nas informações fornecidas nos Avisos de Segurança da Microsoft ADV180002, ADV180012, ADV190013 e ADV220002,além das informações fornecidas neste artigo.
-
Tome as medidas necessárias usando os avisos e as informações da chave do Registro fornecidas neste artigo.
Observação: Os clientes do Surface receberão uma atualização do microcódigo por meio do Windows Update. Para obter uma lista das atualizações disponíveis mais recentes do firmware do dispositivo Surface (microcódigo), consulte KB4073065.
Em 12 de julho de 2022, publicamos a CVE-2022-23825 | Confusão de Tipo de Branch da CPU AMD, que descreve que aliases no previsor de branch podem fazer com que determinados processadores AMD prevejam o tipo de branch errado. Esse problema pode potencialmente levar à divulgação de informações confidenciais.
Para ajudar a se proteger contra essa vulnerabilidade, recomendamos a instalação de atualizações do Windows datadas de julho de 2022 ou posteriores e, em seguida, tomar as medidas exigidas por CVE-2022-23825 e informações de chave do Registro fornecidas neste artigo da base de dados de conhecimento.
Para obter mais informações, confira o boletim de segurança AMD-SB-1037.
Em 8 de agosto de 2023, publicamos CVE-2023-20569 | Previsor de Endereço do Remetente (também conhecido como Inception) que descreve um novo ataque de canal lateral especulativo que pode resultar em execução especulativa em um endereço controlado pelo invasor. Esse problema afeta determinados processadores AMD e pode levar à divulgação de informações confidenciais.
Para ajudar a proteger contra essa vulnerabilidade, recomendamos instalar as atualizações do Windows com data de agosto de 2023 ou posteriores e, em seguida, tomar providências conforme exigido pela CVE-2023-20569 e pelas informações da chave do Registro fornecidas neste artigo da base de dados de conhecimento.
Para obter mais informações, confira o boletim de segurança AMD-SB-7005.
No dia 9 de abril de 2024, publicamos CVE-2022-0001 | Injeção do Histórico de Branch da Intel, que descreve a Injeção do Histórico de Branch (BHI), que é uma forma específica de BTI intra-modo. Essa vulnerabilidade ocorre quando um invasor pode manipular o histórico de ramificações antes de fazer a transição do modo usuário para o modo supervisor (ou do modo VMX não raiz/convidado para o modo raiz). Essa manipulação pode fazer com que um preditor de ramificação indireta selecione uma entrada específica do preditor para uma ramificação indireta, e um gadget de divulgação no destino previsto será executado transitoriamente. Isso pode ser possível porque o histórico de ramificação relevante pode conter ramificações feitas em contextos de segurança anteriores e, em particular, em outros modos de previsão.
Configurações de mitigação para clientes Windows
Os Comunicados de Segurança (ADVs) e as CVEsfornecem informações sobre o risco que essas vulnerabilidades representam e como elas ajudam você a identificar o estado padrão das mitigações para os sistemas cliente do Windows. A tabela a seguir resume o requisito do microcódigo da CPU e o status padrão das atenuações em clientes Windows.
|
CVE |
Requer microcódigo/firmware da CPU? |
Status padrão da mitigação |
|---|---|---|
|
CVE-2017-5753 |
Não |
Habilitado por padrão (nenhuma opção para desabilitar) Consulte o ADV180002 para obter informações adicionais. |
|
CVE-2017-5715 |
Sim |
Habilitado por padrão. Usuários de sistemas baseados em processadores AMD devem consultar o número 15 das perguntas frequentes, e usuários de processadores ARM devem consultar o número 20 das perguntas frequentes no ADV180002 para conhecer ações adicionais, e este artigo da base de dados de conhecimento para conhecer as configurações de chaves do Registro aplicáveis. Observação O Retpoline é habilitado por padrão em dispositivos Windows 10, versão 1809 ou mais recente quando o Spectre variante 2 (CVE-2017-5715) está habilitado. Para obter mais informações sobre o Retpoline, consulte as diretrizes na postagem do blog Mitigando o Spectre variante 2 com o Retpoline no Windows. |
|
CVE-2017-5754 |
Não |
Habilitado por padrão Consulte o ADV180002 para obter informações adicionais. |
|
CVE-2018-3639 |
Intel: Sim |
Intel e AMD: desabilitados por padrão. Consulte o ADV180012 para obter mais informações, e este artigo da base de dados de conhecimento para as configurações de chave do Registro aplicáveis. ARM: habilitado por padrão sem opção para desabilitar. |
|
CVE-2019-11091 |
Intel: Sim |
Habilitado por padrão. Consulte o ADV190013 para obter mais informações, e este artigo para as configurações de chave do Registro aplicáveis. |
|
CVE-2018-12126 |
Intel: Sim |
Habilitado por padrão. Consulte o ADV190013 para obter mais informações, e este artigo para as configurações de chave do Registro aplicáveis. |
|
CVE-2018-12127 |
Intel: Sim |
Habilitado por padrão. Consulte o ADV190013 para obter mais informações, e este artigo para as configurações de chave do Registro aplicáveis. |
|
CVE-2018-12130 |
Intel: Sim |
Habilitado por padrão. Consulte o ADV190013 para obter mais informações e este artigo da base de dados de conhecimento para as configurações de chave do Registro aplicáveis. |
|
CVE-2019-11135 |
Intel: Sim |
Habilitado por padrão. Consulte CVE-2019-11135 para obter mais informações e este artigo para obter as configurações de chave de registro aplicáveis. |
|
CVE-2022-21123 (parte do MMIO ADV220002) |
Intel: Sim |
Windows 10, versão 1809 e posterior: habilitado por padrão. Consulte a CVE-2022-21123 para obter mais informações, e este artigo para obter as configurações de chave do registro aplicáveis. |
|
CVE-2022-21125 (parte do MMIO ADV220002) |
Intel: Sim |
Windows 10, versão 1809 e posterior: habilitado por padrão. Consulte CVE-2022-21125 para obter mais informações. |
|
CVE-2022-21127 (parte do MMIO ADV220002) |
Intel: Sim |
Windows 10, versão 1809 e posterior: habilitado por padrão. Consulte CVE-2022-21127 para obter mais informações. |
|
CVE-2022-21166 (parte do MMIO ADV220002) |
Intel: Sim |
Windows 10, versão 1809 e posterior: habilitado por padrão. Consulte CVE-2022-21166 para obter mais informações. |
|
CVE-2022-23825 (Confusão do tipo de Branch da CPU AMD) |
AMD: Não |
Consulte a CVE-2022-23825 para obter mais informações, e este artigo para obter as configurações de chave do Registro aplicáveis. |
|
CVE-2023-20569
|
AMD: Sim |
Confira a CVE-2023-20569 para obter mais informações, e este artigo para obter as configurações da chave do Registro aplicáveis. |
|
Intel: Não |
Desabilitado por padrão. Confira CVE-2022-0001 para obter mais informações e este artigo para obter as configurações de chave de registro aplicáveis. |
Observação: Por padrão, a habilitação de mitigações que estão desativadas pode afetar o desempenho do dispositivo. O efeito real sobre o desempenho depende de vários fatores, como o chipset específico no dispositivo e as cargas de trabalho que estão sendo executadas.
Configurações do Registro
Fornecemos as seguintes informações do registro para habilitar as mitigações que não estão habilitadas por padrão, conforme documentado nos Comunicados de Segurança (ADVs) e CVEs. Além disso, fornecemos configurações da chave do Registro para os usuários que quiserem desabilitar as mitigações quando se aplicarem a clientes do Windows.
Importante: Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Dessa forma, se ocorrer algum problema, você poderá restaurar o Registro. Para obter informações adicionais sobre como fazer backup e restaurar o Registro, consulte o seguinte artigo na Base de Dados de Conhecimento Microsoft:
322756 Como fazer backup e restaurar o Registro no Windows
Importante: Por padrão, o Retpoline está habilitado nos dispositivos Windows 10, versão 1809 se o Spectre, variante 2 (CVE-2017-5715) estiver habilitado. A ação de habilitar o Retpoline na última versão do Windows 10 pode melhorar o desempenho em dispositivos que executam o Windows 10, versão 1809, para a Spectre variante 2, especialmente em processadores mais antigos.
|
Para habilitar mitigações padrão para a CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie o dispositivo para que as alterações entrem em vigor. Para desabilitar mitigações para a CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie o dispositivo para que as alterações entrem em vigor. |
Observação: Um valor de 3 é preciso para FeatureSettingsOverrideMask para as configurações "habilitar" e "desabilitar". (Consulte a seção "Perguntas frequentes" para obter mais detalhes sobre chaves do Registro.)
|
Para desabilitar mitigações para CVE-2017-5715 (Spectre Variant 2) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie o dispositivo para que as alterações entrem em vigor. Para habilitar mitigações padrão para CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie o dispositivo para que as alterações entrem em vigor. |
Por padrão, a proteção do usuário ao kernel para a CVE-2017-5715 está desabilitada para CPUs AMD e ARM. Você deve habilitar a mitigação para receber proteções adicionais para a CVE-2017-5715. Para obter mais informações, consulte o número 15 das perguntas frequentes no ADV180002 para processadores AMD e o número 20 das perguntas frequentes no ADV180002 para processadores ARM.
|
Habilite a proteção do usuário ao kernel em processadores AMD e ARM juntamente com outras proteções para CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie o dispositivo para que as alterações entrem em vigor. |
|
Para habilitar mitigações para a CVE-2018-3639 (Speculative Store Bypass) e mitigações padrão para a CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie o dispositivo para que as alterações entrem em vigor. Observação: Os processadores AMD não são vulneráveis a CVE-2017-5754 (Meltdown). Essa chave do Registro é usada em sistemas com processadores AMD para habilitar mitigações padrão para CVE-2017-5715 em processadores AMD e a mitigação para CVE-2018-3639. Para desabilitar mitigações para CVE-2018-3639 (Speculative Store Bypass) *e* mitigações para CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie o dispositivo para que as alterações entrem em vigor. |
Por padrão, a proteção do usuário ao kernel para a CVE-2017-5715 está desabilitada para processadores AMD. Os clientes devem habilitar a mitigação para receber proteções adicionais para a CVE-2017-5715. Para obter mais informações, consulte o número 15 das perguntas frequentes no ADV180002.
|
Habilite a proteção do usuário ao kernel nos processadores AMD juntamente com outras proteções para CVE 2017-5715 e proteções para CVE-2018-3639 (Speculative Store Bypass): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie o dispositivo para que as alterações entrem em vigor. |
|
Para habilitar mitigações para a vulnerabilidade Transaction Asynchronous Abort do Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) e Microarchitectural Data Sampling (CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 e CVE-2018-12130) juntamente com as variantes Spectre (CVE-2017-5753 e CVE-2017-5715) e Meltdown (CVE-2017-5754), incluindo Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) e L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646) sem desabilitar o Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Se o recurso Hyper-V estiver instalado, adicione a seguinte configuração de registro: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Se este for um host Hyper-V e as atualizações de firmware tiverem sido aplicadas: Desligue completamente todas as máquinas virtuais. Isso permite que a mitigação relacionada ao firmware seja aplicada no host antes que as VMs sejam iniciadas. Portanto, as VMs também são atualizadas ao serem reiniciadas. Reinicie o dispositivo para que as alterações entrem em vigor. Para habilitar mitigações para a vulnerabilidade Transaction Asynchronous Abort do Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) e Microarchitectural Data Sampling ( CVE-2019-11091, CVE-2018-12126, CVE-2018-12127 e CVE-2018-12130) juntamente com as variantes Spectre (CVE-2017-5753 & CVE-2017-5715) e Meltdown (CVE-2017-5754), incluindo Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) e L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646) com o Hyper-Threading desabilitado: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Se o recurso Hyper-V estiver instalado, adicione a seguinte configuração de registro: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Se este for um host Hyper-V e as atualizações de firmware tiverem sido aplicadas: Desligue completamente todas as máquinas virtuais. Isso permite que a mitigação relacionada ao firmware seja aplicada no host antes que as VMs sejam iniciadas. Portanto, as VMs também são atualizadas ao serem reiniciadas. Reinicie o dispositivo para que as alterações entrem em vigor. Para desabilitar mitigações para a vulnerabilidade Transaction Asynchronous Abort do Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) e Microarchitectural Data Sampling (CVE-2019-11091, CVE-2018-12126, CVE-2018-12127 e CVE-2018-12130) juntamente com as variantes Spectre (CVE-2017-5753 e CVE-2017-5715) e Meltdown (CVE-2017-5754), incluindo Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) e L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie o dispositivo para que as alterações entrem em vigor. |
Para habilitar a mitigação para a CVE-2022-23825 nos processadores AMD :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Para serem totalmente protegidos, os clientes também podem precisar desabilitar o Hyper-Threading (também conhecido como SMT (Multi-Threading Simultâneo)). Consulte KB4073757para obter diretrizes sobre como proteger os dispositivos Windows.
Para habilitar a mitigação para CVE-2023-20569 em processadores AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Para habilitar a mitigação da CVE-2022-0001 em processadores Intel:
adicionar registro "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Habilitando múltiplas mitigações
Para habilitar várias mitigações, você deve adicionar o valor REG_DWORD de cada mitigação.
Por exemplo:
|
Mitigação de vulnerabilidade de interrupção assíncrona de transação, amostragem de dados microarquitetônicos, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) e L1 Terminal Fault (L1TF) com Hyper-Threading desabilitado |
adicionar reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
|
OBSERVAÇÃO 8264 (em Decimal) = 0x2048 (em Hex) Para habilitar o BHI junto com outras configurações existentes, você precisará usar OR bit a bit do valor atual com 8.388.608 (0x800000). 0x800000 OU 0x2048(8264 em decimal) e se tornará 8.396.872 (0x802048). O mesmo acontece com FeatureSettingsOverrideMask. |
|
|
Mitigação para CVE-2022-0001 em processadores Intel |
adicionar reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
|
Mitigação combinada |
adicionar reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
|
Mitigação de vulnerabilidade de interrupção assíncrona de transação, amostragem de dados microarquitetônicos, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) e L1 Terminal Fault (L1TF) com Hyper-Threading desabilitado |
adicionar reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
|
Mitigação para CVE-2022-0001 em processadores Intel |
adicionar reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
|
Mitigação combinada |
adicionar reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Verificar se as proteções estão habilitadas
Para ajudar a verificar se as proteções estão habilitadas, publicamos um script do PowerShell que você pode executar em seus dispositivos. Instale e execute o script usando um dos métodos a seguir.
|
Instale o módulo PowerShell: PS> Install-Module SpeculationControl Execute o módulo PowerShell para verificar se as proteções estão habilitadas: PS> # Salvar a política de execução atual para que ela possa ser redefinida PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Redefinir a política de execução para o estado original PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
Instale o módulo PowerShell do Technet ScriptCenter: Acesse https://aka.ms/SpeculationControlPS. Baixe SpeculationControl.zip em uma pasta local. Extraia o conteúdo em uma pasta local, por exemplo C:\ADV180002 Execute o módulo PowerShell para verificar se as proteções estão habilitadas: Inicie o PowerShell e (usando o exemplo anterior) copie e execute os seguintes comandos: PS> # Salvar a política de execução atual para que ela possa ser redefinida PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Redefinir a política de execução para o estado original PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Para obter uma explicação detalhada sobre a saída do script do PowerShell, consulte KB4074629 .
Perguntas frequentes
O microcódigo é fornecido através de uma atualização de firmware. Os clientes devem verificar com seus fabricantes de dispositivos e CPU (chipset) a disponibilidade de atualizações de segurança de firmware aplicáveis ao dispositivo específico, incluindo a Orientação de revisão de microcódigo da Intel.
A resolução de uma vulnerabilidade de hardware por meio de uma atualização de software apresenta desafios significativos. Além disso, as mitigações para sistemas operacionais mais antigos exigem alterações arquitetônicas extensas. Estamos trabalhando com fabricantes de chips afetados para determinar a melhor maneira de proporcionar mitigações, que podem ser disponibilizadas em atualizações futuras.
As atualizações para dispositivos Microsoft Surface serão entregues aos clientes por meio do Windows Update, juntamente com as atualizações para o sistema operacional Windows. Para obter uma lista das atualizações disponíveis do firmware (microcódigo) do dispositivo Surface, consulte KB 4073065.
Se seu dispositivo não for da Microsoft, aplique o firmware do fabricante do dispositivo. Para obter mais informações, contacte o fabricante do dispositivo OEM.
Em fevereiro e março de 2018, a Microsoft lançou uma proteção reforçada para alguns sistemas com base em x86. Para obter mais informações, consulte KB4073757 e o Comunicado de Segurança da Microsoft ADV180002.
Atualizações no Windows 10 para o HoloLens estão disponíveis para os clientes do HoloLens por meio do Windows Update.
Depois de aplicar a Atualização de Segurança do Windows de fevereiro de 2018, os clientes do HoloLens não deverão tomar nenhuma medida adicional para atualizar o firmware do dispositivo. Essas atenuações também serão incluídas em todos os lançamentos futuros do Windows 10 para HoloLens.
Não. As atualizações Apenas segurança não são cumulativas. Dependendo da versão do sistema operacional que você está executando, você deverá instalar cada atualização Apenas segurança mensal para ficar protegido contra essas vulnerabilidades. Por exemplo, se você estiver executando o Windows 7 para sistemas de 32 bits em uma CPU Intel afetada, deverá instalar todas as atualizações Apenas segurança. Recomendamos a instalação dessas atualizações Apenas segurança na ordem de lançamento.
Observação Uma versão anterior desta pergunta frequente afirmou incorretamente que a atualização Apenas de segurança de fevereiro incluía apenas as correções de segurança liberadas em janeiro. Na verdade, isso não ocorre.
Não. A atualização de segurança 4078130 foi uma correção específica para evitar comportamentos imprevisíveis do sistema, problemas de desempenho e/ou reinicializações inesperadas após a instalação do microcódigo. A aplicação das atualizações de segurança de fevereiro nos sistemas operacionais Windows Client habilita todas as três mitigações.
A Intel recentemente anunciou que concluiu as validações e começou a liberar o microcódigo para plataformas de CPU mais recentes. A Microsoft está disponibilizando atualizações de microcódigo validadas pela Intel para a Spectre Variante 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 lista artigos específicos da base de dados de conhecimento por versão do Windows. Cada KB específico contém as atualizações de microcódigo da Intel disponíveis por CPU.
Esse problema foi resolvido no KB4093118.
A AMD recentemente anunciou que começou a liberar o microcódigo para plataformas de CPU mais recentes para Spectre variante 2 (CVE-2017-5715 "Branch Target Injection"). Para obter mais informações, consulte Atualizações de Segurança da AMD e White paper: Diretrizes de arquitetura da AMD para controle de ramificação indireto . Elas estão disponíveis no canal de firmware do OEM.
Estamos disponibilizando atualizações de microcódigo validadas pela Intel para a Spectre Variante 2 (CVE-2017-5715 “Branch Target Injection ”). Para obterem as últimas atualizações de microcódigo da Intel por meio do Windows Update, os clientes devem ter instalado o microcódigo da Intel em dispositivos com um sistema operacional Windows 10 anterior à Atualização do Windows 10 de abril de 2018 (versão 1803).
A atualização do microcódigo também está disponível diretamente no Catálogo, caso não tenha sido instalada no dispositivo antes da atualização do sistema operacional. O microcódigo da Intel está disponível no Windows Update, no WSUS ou no Catálogo do Microsoft Update. Para obter mais informações e para baixar instruções, consulte KB4100347.
Para obter mais informações, consulte os seguintes recursos:
Para mais detalhes, consulte as seções “Ações recomendadas” e “Perguntas frequentes” no ADV180012 | Diretrizes da Microsoft para Speculative Store Bypass.
Para verificar o status do SSBD, o script PowerShell Get-SpeculationControlSettings foi atualizado para detectar processadores afetados, status das atualizações do sistema operacional SSBD e estado do microcódigo do processador, se aplicável. Para obter mais informações e o script do PowerShell, consulte KB4074629.
Em 13 de junho de 2018, uma vulnerabilidade adicional envolvendo execução especulativa de canal lateral, conhecida como Lazy FP State Restore, foi anunciada e atribuída à CVE-2018-3665. Nenhuma configuração (registro) é necessária para o Lazy Restore FP Restore.
Para obter mais informações sobre essa vulnerabilidade e as ações recomendadas, consulte o comunicado de segurança ADV180016 | Diretrizes da Microsoft para Lazy FP State Restore.
Observação: Nenhuma configuração (registro) é necessária para o Lazy Restore FP Restore.
A "Bounds Check Bypass Store" (BCBS) foi divulgada em 10 de julho de 2018 e designada como CVE-2018-3693. Consideramos que a BCBS pertence à mesma classe de vulnerabilidades que a "Bounds Check Bypass" (Variante 1). No momento, não estamos cientes de nenhuma instância da BCBS em nosso software, mas continuamos a pesquisar essa classe de vulnerabilidade e trabalharemos com parceiros do setor para liberar as mitigações conforme necessário. Continuamos incentivando os pesquisadores a enviarem quaisquer conclusões relevantes ao Speculative Execution Side Channel bounty program da Microsoft, incluindo quaisquer instâncias exploráveis da BCBS. Os desenvolvedores de software devem analisar a diretriz para desenvolvedores que foi atualizada para a BCBS em https://aka.ms/sescdevguide.
Em 14 de agosto de 2018, a L1 Terminal Fault (L1TF) foi anunciada e atribuída a várias CVEs. Essas novas vulnerabilidades de canal paralelo de execução especulativa podem ser usadas para ler o conteúdo da memória em um limite confiável e, se exploradas, poderão resultar na divulgação não autorizada de informações. Um invasor pode disparar as vulnerabilidades por meio de vários vetores, dependendo do ambiente configurado. A L1TF afeta processadores Intel® Core® e Intel® Xeon®.
Para obter mais informações sobre essa vulnerabilidade e uma visão detalhada dos cenários afetados, incluindo a abordagem da Microsoft para atenuar a L1TF, consulte os seguintes recursos:
Os clientes que usam processadores ARM de 64 bits devem consultar o OEM do dispositivo para obter suporte de firmware, pois as proteções de sistema operacional do ARM64 que mitigam a CVE-2017-5715 | Branch target injection (Spectre, variante 2) exigem a atualização mais recente do firmware dos OEMs dos dispositivos para terem efeito.
Para obter mais informações, consulte os seguintes comunicados de segurança
Para obter mais informações, consulte os seguintes comunicados de segurança
Diretrizes adicionais podem ser encontradas em Diretrizes do Windows para proteção contra as vulnerabilidades de canal lateral de execução especulativa
Consulte as diretrizes em Diretrizes do Windows para proteção contra as vulnerabilidades de canal lateral de execução especulativa
Para obter diretrizes do Azure, consulte este artigo: Diretrizes para mitigar vulnerabilidades do canal lateral de execução especulativa no Azure.
Para obter mais informações sobre a habilitação do Retpoline, consulte nossa postagem do blog: Mitigando a Spectre variante 2 com o Retpoline no Windows.
Para obter detalhes sobre essa vulnerabilidade, consulte o Guia de Segurança da Microsoft: CVE-2019-1125 | Vulnerabilidade de Divulgação de Informações Confidenciais do Kernel do Windows.
Não estamos cientes de nenhuma instância dessa vulnerabilidade de divulgação de informações que afete nossa infraestrutura de serviços em nuvem.
Assim que tomamos conhecimento desse problema, trabalhamos rapidamente para solucioná-lo e lançar uma atualização. Acreditamos firmemente em parcerias estreitas com pesquisadores e parceiros do setor para tornar os clientes mais seguros, e não publicamos detalhes até terça-feira, 6 de agosto, de forma consistente com práticas coordenadas de divulgação de vulnerabilidades.
Orientações adicionais podem ser encontradas em Diretrizes do Windows para proteção contra as vulnerabilidades de canal paralelo de execução especulativa.
Orientações adicionais podem ser encontradas em Diretrizes do Windows para proteção contra as vulnerabilidades de canal paralelo de execução especulativa.
Outras orientações podem ser encontradas na Orientação para desabilitar a funcionalidade Intel® Transactional Synchronization Extensions (Intel® TSX).
Referências
Fornecemos informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. Não garantimos a precisão dessas informações para contato com outras empresas.
