Orientação do Surface para proteção contra as vulnerabilidades de canal paralelo de execução especulativa

Introdução

Desde janeiro de 2018, a equipe do Surface vem publicando atualizações de firmware para uma nova classe de vulnerabilidades de hardware que envolve canais paralelos de execução especulativa. A equipe do Surface não recebeu informações para indicar que essas vulnerabilidades foram usadas para atacar clientes atualmente, e a equipe continua a trabalhar em colaboração com a equipe do Windows e parceiros do setor para proteger os clientes. Para obter toda a proteção disponível, são necessárias atualizações de firmware e do sistema Windows.

Resumo

A equipe do Surface está ciente de novas variantes de ataque de canal paralelo de execução especulativa que também afetam os produtos Surface. A mitigação dessas vulnerabilidades requer uma atualização do sistema operacional e uma atualização do UEFI do Surface que inclua o novo microcódigo. Para obter mais informações sobre as vulnerabilidades e mitigações, consulte o seguinte comunicado de segurança:

Estamos trabalhando com nossos parceiros para fornecer atualizações para os seguintes produtos Surface, assim que pudermos garantir que as atualizações atendam aos nossos requisitos de qualidade:

Além do novo microcódigo, uma nova configuração UEFI conhecida como “Simultaneous Multi-Threading (SMT)”estará disponível quando a atualização UEFI for instalada. Essa configuração permite que um usuário desabilite o Hyper-Threading.

Observações

  • Se você decidir desabilitar o Hyper-Threading,  convém também que você use a nova configuração UEFI SMT.

  • A desativação do SMT fornece proteção adicional contra essas novas vulnerabilidades e o ataque L1 Terminal Fault anunciado anteriormente. No entanto, esse método também afeta o desempenho do dispositivo.

  • O Surface 3 e o Surface Studio com Intel Core i5 não têm SMT. Portanto, esses dispositivos não têm essa nova configuração.

  • A ferramenta de configurador UEFI do Microsoft Surface Enterprise Management Mode (SEMM) versão 2.43.139 ou posterior oferece suporte à nova configuração do SMT. As ferramentas podem ser baixadas nesta página. Baixe as seguintes ferramentas necessárias:

    • SurfaceUEFI_Configurator_v2.43.139.0.msi

    • SurfaceUEFI_Manager_v2.43.139.0.msi

Referências

A equipe do Surface está ciente de um novo ataque de canal lateral de execução especulativa chamado de L1 Terminal Fault (L1TF) e atribuiu a ele a CVE-2018-3620 (OS e SMM) e a CVE-2018-3646 (VMM). Os produtos Surface afetados são os mesmos da seção “Vulnerabilidades anunciadas em maio de 2018” deste artigo. As atualizações de microcódigo que mitigam as descobertas de maio de 2018 também mitigam a L1TF(CVE-2018-3646). Para obter mais informações sobre a vulnerabilidade e as mitigações, consulte o seguinte comunicado de segurança:

O comunicado de segurança propõe que os clientes que usam a Segurança Baseada em Virtualização (VBS), que inclui recursos de segurança como o Credential Guard e o Device Guard, devem considerar a desabilitação do Hyper-Threading para eliminar totalmente o risco da L1TF. Atualmente, os clientes não podem desabilitar o Hyper-Threading em seus dispositivos Surface. Os recursos de VBS estão desabilitados por padrão nos dispositivos Surface.  A equipe do Surface está investigando opções para permitir a desabilitação do Hyper-Threading.

Referências

A equipe do Surface tomou conhecimento de novas variantes de ataque de canal paralelo de execução especulativa que também afetam os produtos Surface. A mitigação dessas vulnerabilidades requer atualizações de UEFI que usam o novo microcódigo. Para obter mais informações sobre as vulnerabilidades e mitigações, consulte os seguintes comunicados de segurança:

Estamos trabalhando com nossos parceiros para fornecer atualizações para os seguintes produtos Surface, assim que pudermos garantir que as atualizações atendam aos nossos requisitos de qualidade:

Referências

A equipe do Surface está ciente da classe de vulnerabilidades divulgada publicamente que envolve canais paralelos de execução especulativa (conhecidos como Specter e Meltdown) que afetam muitos processadores e sistemas operacionais modernos, inclusive Intel, AMD e ARM. Para obter mais informações sobre as vulnerabilidades e mitigações, consulte o seguinte comunicado de segurança:

Comunicado de Segurança da Microsoft ADV180002

Para obter mais informações sobre atualizações de software do Windows, consulte os seguintes artigos da Base de Dados de Conhecimento:

  • 4073757 Proteja seus dispositivos Windows contra as vulnerabilidades Spectre e Meltdown

  • 4073119 Orientação do Windows Client para Profissionais de TI se protegerem contra as vulnerabilidades de canal paralelo de execução especulativa

Além da instalação das Atualizações de Segurança do Sistema Operacional Windows de 3 de janeiro, o Surface lançou atualizações do UEFI por meio do Windows Update e do Centro de Download para os seguintes dispositivos:

Essas atualizações estão disponíveis para dispositivos que executam a Atualização do Windows 10 para Criadores (compilação 15063) e versões posteriores.

Referências

Mais informações

O hub do Surface implementou estratégias de defesa aprofundada. Para obter mais informações, consulte   o seguinte tópico no site da Central do Windows IT Pro:

Diferenças entre o Surface Hub e o Windows 10 Enterprise

Devido a isso, acreditamos que as vulnerabilidades que usam essas vulnerabilidades são significativamente reduzidas no Surface Hub.

A equipe do Surface está focada em garantir que nossos usuários tenham uma experiência segura e confiável. Continuaremos a monitorar e atualizar os dispositivos conforme necessário para resolver essas vulnerabilidades e manter o dispositivo confiável e seguro.

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Estas informações foram úteis?

Obrigado por seus comentários!

×