KB4072698: Windows Server e Azure Stack HCI para proteger contra vulnerabilidades de canal lateral de execução especulativa e microarquitetura baseada em silício

Este artigo aborda as seguintes vulnerabilidades de execução especulativa:

• CVE-2017-5715 | Branch Target Injection

• CVE-2017-5753 | Bounds Check Bypass

• CVE-2017-5754 | Rogue Data Cache Load

• CVE-2018-3639 | Speculative Store Bypass

O Windows Update tambémfornecerão o Internet Explorer e mitigações do Edge. E vamos continuar a melhorar essas mitigações contra essa classe de vulnerabilidades.

Para saber mais sobre essa classe de vulnerabilidades, consulte

• ADV180002 | Orientação para mitigar as vulnerabilidades de canal paralelo de execução especulativa

• ADV180012 | Orientação da Microsoft para a Speculative Store Bypass

Em 14 de maio de 2019, a Intel publicou informações sobre uma nova subclasse de vulnerabilidades de canal lateral de execução especulativa conhecida como Amostragem de Dados Microarquiteturais e documentada noADV190013 | Amostragem de Dados Microarquiteturais. Elas receberam as seguintes CVEs:

• CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

• CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)

• CVE-2018-12127 | Microarchitectural Fill Buffer Data Sampling (MFBDS)

• CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)

A Microsoft lançou várias atualizações para ajudar a aliviar essas vulnerabilidades. Para obter todas as proteções disponíveis, são necessárias atualizações de firmware (microcódigo) e software. Isso pode incluir o microcódigo de OEMs de dispositivos. Em alguns casos, a instalação dessas atualizações terá um impacto no desempenho. Também agimos para proteger nossos serviços de nuvem. É altamente recomendável implantar essas atualizações.

Para obter mais informações sobre esse problema, consulte o seguinte Comunicado de Segurança e use a orientação baseada em cenário para determinar as ações necessárias para mitigar a ameaça:

• ADV190013 | Orientação da Microsoft para mitigar vulnerabilidades Microarchitectural Data Sampling

• Diretrizes do Windows para proteção contra as vulnerabilidades de canal paralelo de execução especulativa

Em 6 de agosto de 2019, a Intel divulgou detalhes sobre uma vulnerabilidade de divulgação de informações do kernel do Windows. Esta vulnerabilidade é uma variante da vulnerabilidade de canal paralelo de execução especulativa Spectre Variante 1 e foi atribuída à CVE-2019-1125.

Em 9 de julho de 2019, lançamos atualizações de segurança para o sistema operacional Windows para ajudar a mitigar esse problema. Observe que aguardamos para documentar essa mitigação publicamente até a revelação coordenada do setor na terça-feira, 6 de agosto de 2019.

Os clientes que têm o Windows Update habilitado e aplicaram as atualizações de segurança lançadas em 9 de julho de 2019 estão protegidos automaticamente. Nenhuma outra configuração é necessária.

Para obter mais informações sobre essa vulnerabilidade e as atualizações aplicáveis, consulte o Guia de Atualização de Segurança da Microsoft:

• CVE-2019-1125 | Vulnerabilidade de divulgação de informações do kernel do Windows

Em 12 de novembro de 2019, a Intel publicou um comunicado técnico sobre a vulnerabilidade Transaction Asynchronous Abort do Intel® Transactional Synchronization Extensions (Intel® TSX) atribuída à CVE-2019-11135. A Microsoft lançou atualizações para ajudar a atenuar essa vulnerabilidade e as proteções do sistema operacional estão habilitadas por padrão para o Windows Server 2019, mas desabilitadas por padrão para edições do sistema operacional Windows Server Windows Server 2016 e anteriores.

Em 14 de junho de 2022, publicamos a ADV220002 | Diretrizes da Microsoft sobre vulnerabilidades de dados obsoletas do MMIO do Processador Intel e atribuíram esses CVEs: 

• CVE-2022-21123 | Shared Buffer Data Read (SBDR)  

• CVE-2022-21125 | Shared Buffer Data Sampling (SBDS) 

• CVE-2022-21127 | Special Register Buffer Data Sampling Update (SRBDS Update) 

• CVE-2022-21166 | Device Register Partial Write (DRPW) 

Ações recomendadas

Você deve tomar as seguintes medidas para se proteger contra as vulnerabilidades:

1. Aplica as atualizações disponíveis do sistema operacional Windows, incluindo as atualizações de segurança do Windows mensais.

2. Aplica a atualização de firmware (microcódigo) aplicável fornecida pelo fabricante do dispositivo.

3. Avalie o risco para seu ambiente com base nas informações fornecidas nos Avisos de Segurança da Microsoft: ADV180002, ADV180012, ADV190013 e ADV220002, além das informações fornecidas neste artigo base de dados de conhecimento.

4. Tome as medidas necessárias usando os avisos e as informações da chave do Registro fornecidas neste artigo da base de conhecimento.

Em 12 de julho de 2022, publicamos CVE-2022-23825 | Confusão de tipo de ramificação de CPU AMD que descreve que os aliases no preditor de ramificação podem fazer com que certos processadores AMD prevejam o tipo de ramificação errado. Esse problema pode potencialmente levar à divulgação de informações confidenciais.

Para ajudar a se proteger contra essa vulnerabilidade, recomendamos instalar atualizações do Windows com data igual ou posterior a julho de 2022 e, em seguida, tomar as medidas exigidas por CVE-2022-23825 e informações da chave de registro fornecidas neste artigo da base de conhecimento.

Para obter mais informações, veja o boletim de segurança AMD-SB-1037.

Em 8 de agosto de 2023, publicamos CVE-2023-20569 | Previsor de Endereço de Retorno (também conhecido como Inception) que descreve um novo ataque de canal lateral especulativo que pode resultar em execução especulativa em um endereço controlado pelo invasor. Esse problema afeta determinados processadores AMD e pode levar à divulgação de informações.

Para ajudar a proteger contra essa vulnerabilidade, recomendamos instalar as atualizações do Windows com data de agosto de 2023 ou posteriores e, em seguida, tomar providências conforme exigido pela CVE-2023-20569 e pelas informações da chave do Registro fornecidas neste artigo da base de dados de conhecimento.

Para obter mais informações, veja o boletim de segurança AMD-SB-7005.

Em 9 de abril de 2024, publicamos a CVE-2022-0001 | Injeção de Histórico de Branch Intel, que descreve a Injeção de Histórico de Branch (BHI), que é uma forma específica de BTI intramodo. Essa vulnerabilidade ocorre quando um invasor pode manipular o histórico de ramificação antes de fazer a transição do modo usuário para o modo supervisor (ou do modo VMX não-raiz/hóspede para o modo raiz). Essa manipulação pode fazer com que um preditor de ramificação indireta selecione uma entrada específica do preditor para uma ramificação indireta, e um gadget de divulgação no destino previsto será executado transitoriamente. Isso pode ser possível porque o histórico de ramificação relevante pode conter ramificações obtidas em contextos de segurança anteriores e, em particular, em outros modos de predição.

Por padrão, a proteção do usuário ao kernel para o CVE-2017-5715 está desabilitada para CPUs AMD. Os clientes devem habilitar a mitigação para receber proteções adicionais para CVE-2017-5715.  Para obter mais informações, consulte o número 15 das Perguntas Frequentes em ADV180002.

Por padrão, a proteção do usuário ao kernel para o CVE-2017-5715 está desabilitada para processadores AMD. Os clientes devem habilitar a mitigação para receber proteções adicionais para CVE-2017-5715.  Para obter mais informações, consulte o número 15 das Perguntas Frequentes em ADV180002.

Para habilitar a mitigação para CVE-2022-23825 em processadores AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Para serem totalmente protegidos, os clientes também podem precisar desabilitar o Hyper-Threading (também conhecido como SMT (Multi-Threading Simultâneo)). Consulte KB4073757 para obter orientação sobre como proteger dispositivos Windows.

Para habilitar a mitigação para CVE-2023-20569 em processadores AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Para habilitar a mitigação para CVE-2022-0001 em processadores Intel:

adicionar registro "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Para obter uma explicação detalhada sobre a saída do script do PowerShell, consulte KB4074629 . 

Para ajudar a evitar danos aos dispositivos dos clientes, as atualizações de segurança do Windows que foram lançadas em janeiro e fevereiro de 2018 não foram oferecidas a todos os clientes. Para obter detalhes, confira KB407269 .

O microcódigo é fornecido através de uma atualização de firmware. Consulte seu OEM sobre a versão do firmware que possui a atualização apropriada para o seu computador.

Existem diversas variáveis que afetam o desempenho, desde a versão do sistema até as cargas de trabalho que estão sendo executadas. Para alguns sistemas, o efeito sobre o desempenho será insignificante. Para outros, ele será considerável.

Recomendamos que você avalie o efeito de desempenho no sistema e faça os ajustes necessários.

Além da orientação neste artigo para máquinas virtuais, você deve entrar em contato com seu provedor de serviços para certificar-se de que os hosts que estão executando suas máquinas virtuais estejam adequadamente protegidos.

Para máquinas virtuais do Windows Server em execução no Azure, consulte o Guia para mitigar vulnerabilidades de canal lateral de execução especulativa no Azure . Para obter orientações sobre o uso doAzure Update Management para mitigar esse problema em VMs convidadas, consulte KB4077467.

As atualizações lançadas para imagens de contêiner do Windows Server para o Windows Server 2016 e o Windows 10, versão 1709 incluem as mitigações para este conjunto de vulnerabilidades. Não é necessária nenhuma configuração adicional.

Observação Você ainda deve certificar-se de que o host no qual esses contêineres estão sendo executados esteja configurado para habilitar as mitigações apropriadas.

Não, a ordem de instalação não importa.

Sim, você deve reiniciar após a atualização do firmware (microcódigo) e depois novamente após a atualização do sistema.

Este são os detalhes para as chaves do Registro:

FeatureSettingsOverride representa um bitmap que substitui a configuração padrão e controla quais mitigações serão desabilitadas. O Bit 0 controla a mitigação correspondente à CVE-2017-5715. O bit 1 controla a mitigação que corresponde a CVE-2017-5754. Os bits são definidos como 0 para habilitar a mitigação e como 1 para desabilitar a mitigação.

FeatureSettingsOverrideMask representa uma máscara de bitmap usada em conjunto com FeatureSettingsOverride.  Nessa situação, usamos o valor 3 (representado como 11 no sistema de numerais binários ou de numerais de base 2) para indicar os dois primeiros bits que correspondem às mitigações disponíveis. Essa chave do registro é definida como 3 para habilitar ou desabilitar as atenuações.

MinVmVersionForCpuBasedMitigations é para hosts Hyper-V. Essa chave de registro define a versão mínima da VM necessária para você usar os recursos de firmware atualizados (CVE-2017-5715). Defina-a como 1.0 para abranger todas as versões de VMs. Observe que esse valor do Registro será ignorado (benigno) em hosts não Hyper-V. Para obter mais detalhes, consulte Protegendo máquinas virtuais convidadas contra a CVE-2017-5715 (Branch Target Injection).

Sim, não haverá efeitos colaterais se essas configurações do Registro forem aplicadas antes da instalação das correções relacionadas de janeiro de 2018.

Veja uma descrição detalhada da saída do script em KB4074629: Compreendendo a saída do script PowerShell Get-SpeculationControlSettings .

Sim, para hosts Windows 2016 Hyper-V Server que ainda não têm a atualização de firmware disponível, publicamos uma orientação alternativa que pode ajudar a atenuar ataques de VM para VM ou de VM para host. Consulte Proteções alternativas para Hosts Hyper-V do Windows Server 2016 contra as vulnerabilidades de canal paralelo de execução especulativa .

As atualizações Apenas segurança não são cumulativas. Dependendo da versão do sistema operacional que você está usando e do processador no computador, pode ser necessário instalar várias atualizações de segurança para proteção total. Em geral, os clientes precisarão instalar as atualizações de janeiro, fevereiro, março e abril de 2018 . Os sistemas baseados nos processadores AMD precisam de uma atualização adicional, conforme mostrado na tabela a seguir:

Recomendamos a instalação dessas atualizações Apenas segurança na ordem de lançamento.

Não. A atualização de segurança KB4078130 foi uma correção específica para evitar comportamentos imprevisíveis do sistema, problemas de desempenho e reinicializações inesperadas após a instalação do microcódigo. A aplicação das atualizações de segurança nos sistemas operacionais Windows Client habilita todas as três mitigações. Em sistemas de operacionais Windows Server, você ainda deve habilitar as mitigações após a realização dos testes adequados. Para obter mais informações, consulte KB4072698.

Esse problema foi resolvido no KB4093118.

Em fevereiro de 2018, a Intel anunciou   que concluiu as validações e começou a lançar o microcódigo para plataformas de CPU mais recentes. A Microsoft está disponibilizando atualizações de microcódigo validadas pela Intel relacionadas ao Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 lista artigos específicos da base de dados de conhecimento por versão do Windows. Cada artigo da base de dados específico contém as atualizações de microcódigo da Intel disponíveis por CPU.

Em 11 de janeiro de 2018, Intelrelatou problemas no microcódigo lançado recentemente que deveria abordar a variante 2 do Spectre (CVE-2017-5715 | Branch Target Injection). Especificamente, a Intel observou que esse microcódigo pode causar “reinicializações mais altas que o esperado e outros comportamentos imprevisíveis do sistema” e cenários como esse podem resultar em “perda ou corrupção de dados.” Nossa experiência é que a instabilidade do sistema pode causar perda de dados ou corrupção em algumas circunstâncias. Em 22 de Janeiro, a Intel recomendou que os clientes parassem de implantar a versão de microcódigo atual nos processadores afetados enquanto a empresa realizava testes adicionais na solução atualizada. Estamos cientes de que a Intel continua a investigar o impacto potencial da versão atual do microcódigo. Incentivamos os clientes a rever suas orientações continuamente para informar suas decisões.

Enquanto a Intel testa, atualiza e implanta um novo microcódigo, estamos disponibilizando hoje uma atualização indireta (OOB), KB 4078130, que desabilita especificamente apenas a mitigação contra a CVE-2017-5715. Em nossos testes, constatou-se que essa atualização evita o comportamento descrito. Para acessar a lista completa de dispositivos, consulte a orientação de revisão do microcódigo da Intel. Esta atualização abrange o Windows 7 Service Pack 1 (SP1), o Windows 8.1 e todas as versões do Windows 10, para cliente e servidor. Se você estiver executando um dispositivo afetado, essa atualização poderá ser aplicada via download no site do Catálogo do Microsoft Update. A aplicação desta carga desabilita especificamente apenas a mitigação contra a CVE-2017-5715.

Até o momento, não há relatórios conhecidos que indiquem que esta Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection) tenha sido usada para atacar clientes. Recomendamos que, quando apropriado, os usuários do Windows reabilitem a mitigação contra a CVE-2017-5715 quando a Intel informar que esse comportamento imprevisível do sistema foi resolvido para seu dispositivo.

Em fevereiro de 2018, a Intel anunciou que concluiu as validações e começou a lançar o microcódigo para plataformas de CPU mais recentes. A Microsoft está disponibilizando atualizações de microcódigo validadas pela Intel relacionadas ao Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 lista artigos específicos da base de dados de conhecimento por versão do Windows. Os KBs listam atualizações de microcódigo da Intel disponíveis por CPU.

Para obter mais informações, consulte Atualizações de Segurança da AMD e Diretrizes de Arquitetura da AMD para Controle de Ramificação Indireto . Elas estão disponíveis no canal de firmware do OEM.

Estamos disponibilizando atualizações de microcódigo validadas pela Intel relacionadas ao Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). Para obterem as últimas atualizações de microcódigo da Intel por meio do Windows Update, os clientes devem ter instalado o microcódigo da Intel em dispositivos com um sistema operacional Windows 10 anterior à Atualização do Windows 10 de abril de 2018 (versão 1803).

A atualização do microcódigo também está disponível diretamente no Catálogo do Microsoft Update, caso não tenha sido instalada no dispositivo antes da atualização do sistema. O microcódigo da Intel está disponível no Windows Update, no Windows Server Update Services (WSUS) ou no Catálogo do Microsoft Update. Para obter mais informações e para baixar instruções, consulte KB4100347.

Para obter mais informações, consulte os seguintes recursos:

• ADV180012 | Orientação da Microsoft para desvio de armazenamento especulativo para CVE-2018-3639

• ADV180013 | Orientação da Microsoft para a Rogue System Register Read para CVE-2018-3640 e KB 4073065 | Orientação para clientes do Surface

• Blog Security Research and Defense da Microsoft

• Orientação a Desenvolvedores para a Speculative Store Bypass

Consulte as seções “Ações recomendadas” e as “Perguntas frequentes” em  ADV180012 | Orientação da Microsoft para a Speculative Store Bypass.

Para verificar o status do SSBD, o script PowerShell Get-SpeculationControlSettings foi atualizado para detectar processadores afetados, status das atualizações do sistema operacional SSBD e estado do microcódigo do processador, se aplicável. Para obter mais informações e obter o script do PowerShell, consulte KB4074629.

Em 13 de junho de 2018, uma vulnerabilidade adicional que envolve a execução especulativa de canal lateral, conhecida como Lazy FP State Restore, foi anunciada e atribuída como CVE-2018-3665 . Para obter informações sobre essa vulnerabilidade e ações recomendadas, consulte o Comunicado de Segurança ADV180016 | Orientação da Microsoft para a Lazy FP State Restore .

Observação Não há definições de configuração (Registro) necessárias para a Lazy Restore FP Restore.

A "Bounds Check Bypass Store" (BCBS) foi divulgada em 10 de julho de 2018 e designada como CVE-2018-3693. Consideramos que a BCBS pertence à mesma classe de vulnerabilidades que a "Bounds Check Bypass" (Variante 1). No momento, não estamos cientes de nenhuma instância da BCBS em nosso software. Porém, continuamos a pesquisar essa classe de vulnerabilidade e trabalharemos com parceiros do setor para liberar as mitigações conforme necessário. Incentivamos os pesquisadores a enviarem quaisquer conclusões relevantes ao Speculative Execution Side Channel bounty program da Microsoft, incluindo quaisquer instâncias exploráveis da BCBS. Os desenvolvedores de software devem rever a orientação para desenvolvedores que foi atualizada para o BCBS em Orientação para desenvolvedores C++ para canais laterais de execução especulativa 

Em 14 de agosto de 2018, a L1 Terminal Fault (L1TF) foi anunciada e atribuída a várias CVEs. Essas novas vulnerabilidades de canal paralelo de execução especulativa podem ser usadas para ler o conteúdo da memória em um limite confiável e, se exploradas, poderão resultar na divulgação não autorizada de informações. Existem vários vetores pelos quais um invasor pode desencadear as vulnerabilidades, dependendo do ambiente configurado. A L1TF afeta processadores Intel® Core® e Intel® Xeon®.

Para obter mais informações sobre essa vulnerabilidade e uma visão detalhada dos cenários afetados, incluindo a abordagem da Microsoft para atenuar a L1TF, consulte os seguintes recursos:

• ADV180018 | Diretrizes da Microsoft para mitigar a variante L1TF

• Comunicado de Segurança - Blog de Pesquisa de Segurança

• Orientação para Servidores sobre a L1 Terminal Fault

As etapas para desabilitar o Hyper-Threading diferem de OEM para OEM, mas geralmente fazem parte das ferramentas de configuração e da configuração do BIOS ou firmware.

Os clientes que usam processadores ARM de 64 bits devem consultar o OEM do dispositivo para obter suporte de firmware, pois as proteções de sistema operacional do ARM64 que mitigam a CVE-2017-5715 | Branch target injection (Spectre, Variante 2) exigem a atualização mais recente do firmware dos OEMs dos dispositivos para terem efeito.

Para obter mais informações, consulte os seguintes comunicados de segurança

• Comunicado de segurança da Intel

• ADV190013 | Orientação da Microsoft para mitigar vulnerabilidades Microarchitectural Data Sampling

Orientações adicionais podem ser encontradas em Diretrizes do Windows para proteção contra as vulnerabilidades de canal paralelo de execução especulativa

Consulte as orientações em Diretrizes do Windows para proteção contra as vulnerabilidades de canal paralelo de execução especulativa

Para obter diretrizes do Azure, consulte este artigo: Guia para mitigar vulnerabilidades do canal lateral de execução especulativa no Azure.

Para obter mais informações sobre a ativação do Retpoline, consulte nossa postagem de blog: Mitigar a Spectre Variante 2 com o Retpoline no Windows .

Para obter detalhes sobre essa vulnerabilidade, consulte o Guia de Segurança da Microsoft: CVE-2019-1125 | Vulnerabilidade de Divulgação de Informações do Kernel do Windows.

Não estamos cientes de nenhuma instância dessa vulnerabilidade de divulgação de informações que afete nossa infraestrutura de serviços em nuvem.

Assim que tomamos conhecimento desse problema, trabalhamos rapidamente para solucioná-lo e lançar uma atualização. Acreditamos firmemente em parcerias estreitas com pesquisadores e parceiros do setor para tornar os clientes mais seguros, e não publicamos detalhes até terça-feira, 6 de agosto, de forma consistente com práticas coordenadas de divulgação de vulnerabilidades.

Orientações adicionais podem ser encontradas em Diretrizes do Windows para proteção contra as vulnerabilidades de canal paralelo de execução especulativa.

Orientações adicionais podem ser encontradas em Diretrizes do Windows para proteção contra as vulnerabilidades de canal paralelo de execução especulativa.

Outras orientações podem ser encontradas na Orientação para desabilitar a funcionalidade Intel Transactional Synchronization Extensions (Intel TSX).

Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. Não oferecemos nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.

Fornecemos informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. Não garantimos a precisão dessas informações para contato com outras empresas.