KB4072698: Orientação do Windows Server e do Azure Stack HCI para proteger contra vulnerabilidades do canal lateral de execução especulativa e microarquitectural baseada em silicone

Este artigo aborda as seguintes vulnerabilidades de execução especulativa:

• CVE-2017-5715 | Injeção de Destino de Ramo

• CVE-2017-5753 | Verificação de Limites Ignorar

• CVE-2017-5754 | Carregamento da Cache de Dados Não Autorizados

• CVE-2018-3639 | Bypass da Loja Especulativa

Windows Update também fornecerá mitigações do Internet Explorer e do Edge. Continuaremos a melhorar estas mitigações contra esta classe de vulnerabilidades.

Para saber mais sobre esta classe de vulnerabilidades, consulte

• ADV180002 | Documentação de orientação para mitigar vulnerabilidades do canal lateral de execução especulativa

• ADV180012 | Microsoft Guidance for Speculative Store Bypass

Em 14 de maio de 2019, a Intel publicou informações sobre uma nova subclasse de vulnerabilidades do canal lateral de execução especulativa conhecida como Amostragem de Dados Microarchitectural e documentadas no ADV190013 | Amostragem de Dados Microarchitectural. Foram-lhes atribuídos os seguintes CVEs:

• CVE-2019-11091 | Memória Incacheável de Amostragem de Dados Microarquiteturais (MDSUM)

• CVE-2018-12126 | Amostragem de Dados da Memória Intermédia do Arquivo Microarchitectural (MSBDS)

• CVE-2018-12127 | Amostragem de Dados da Memória Intermédia de Preenchimento Microarchitectural (MFBDS)

• CVE-2018-12130 | Amostragem de Dados da Porta de Carregamento Microarchitectural (MLPDS)

A Microsoft lançou atualizações para ajudar a mitigar estas vulnerabilidades. Para obter todas as proteções disponíveis, são necessárias atualizações de firmware (microcódigo) e software. Isto pode incluir microcódigo dos OEMs do dispositivo. Em alguns casos, a instalação destas atualizações terá um impacto no desempenho. Também agimos para proteger os nossos serviços cloud. Recomendamos vivamente a implementação destas atualizações.

Para obter mais informações sobre este problema, veja o seguinte Aviso de Segurança e utilize a documentação de orientação baseada em cenários para determinar as ações necessárias para mitigar a ameaça:

• ADV190013 | Documentação de Orientação da Microsoft para mitigar vulnerabilidades de Amostragem de Dados Microarchitecturais

• Documentação de orientação do Windows para proteger contra vulnerabilidades do canal lateral de execução especulativa

Em 6 de agosto de 2019, a Intel divulgou detalhes sobre uma vulnerabilidade de divulgação de informações de kernel do Windows. Esta vulnerabilidade é uma variante da vulnerabilidade do canal lateral de execução especulativa Spectre, Variante 1 e foi-lhe atribuída CVE-2019-1125.

A 9 de julho de 2019, lançámos atualizações de segurança para o sistema operativo Windows para ajudar a mitigar este problema. Tenha em atenção que retivemos publicamente esta mitigação até à divulgação coordenada do setor na terça-feira, 6 de agosto de 2019.

Os clientes que tenham Windows Update ativado e tenham aplicado as atualizações de segurança lançadas a 9 de julho de 2019 são protegidos automaticamente. Não é necessária mais nenhuma configuração.

Para obter mais informações sobre esta vulnerabilidade e atualizações aplicáveis, consulte o Guia de Atualização de Segurança da Microsoft:

• CVE-2019-1125 | Vulnerabilidade de Divulgação de Informações do Kernel do Windows

Em 12 de novembro de 2019, a Intel publicou um aviso técnico sobre® a vulnerabilidade Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort, atribuída à CVE-2019-11135. A Microsoft lançou atualizações para ajudar a mitigar esta vulnerabilidade e as proteções do SO estão ativadas por predefinição para o Windows Server 2019, mas desativadas por predefinição para Windows Server 2016 e edições anteriores do SO do Windows Server.

A 14 de junho de 2022, publicámos ADV220002 | Documentação de Orientação da Microsoft sobre Vulnerabilidades de Dados Obsoletos do Processador Intel MMIO e atribuiu estes CVEs: 

• CVE-2022-21123 | Leitura de Dados da Memória Intermédia Partilhada (SBDR)

• CVE-2022-21125 | Amostragem de Dados de Memória Intermédia Partilhada (SBDS)

• CVE-2022-21127 | Atualização especial da Amostragem de Dados da Memória Intermédia de Registos (Atualização SRBDS)

• CVE-2022-21166 | Registo de Dispositivos de Escrita Parcial (DRPW)

Ações recomendadas

Deve efetuar as seguintes ações para ajudar a proteger contra as vulnerabilidades:

1. Aplique todas as atualizações do sistema operativo Windows disponíveis, incluindo as atualizações de segurança mensais do Windows.

2. Aplique a atualização de firmware (microcódigo) aplicável fornecida pelo fabricante do dispositivo.

3. Avalie o risco para o seu ambiente com base nas informações fornecidas nos Avisos de Segurança da Microsoft: ADV180002, ADV180012, ADV190013 e ADV220002, além das informações fornecidas neste artigo de base de dados de conhecimento.

4. Tome medidas conforme necessário ao utilizar os avisos e as informações da chave de registo fornecidas neste artigo de base de dados de conhecimento.

A 12 de julho de 2022, publicámos CVE-2022-23825 | AmD CPU Branch Type Confusion que descreve que os aliases no preditor do ramo podem fazer com que determinados processadores AMD prevejam o tipo de ramo errado. Este problema pode potencialmente levar à divulgação de informações.

Para ajudar a proteger contra esta vulnerabilidade, recomendamos que instale as atualizações do Windows datadas de ou depois de julho de 2022 e, em seguida, tome medidas conforme exigido pelo CVE-2022-23825 e as informações da chave de registo fornecidas neste artigo de base de dados de conhecimento.

Para obter mais informações, consulte o boletim de segurança AMD-SB-1037 .

A 8 de agosto de 2023, publicámos CVE-2023-20569 | Return Address Predictor (também conhecido como Inception) que descreve um novo ataque de canal especulativo que pode resultar na execução especulativa num endereço controlado por atacantes. Este problema afeta determinados processadores AMD e pode potencialmente levar à divulgação de informações.

Para ajudar a proteger contra esta vulnerabilidade, recomendamos que instale as atualizações do Windows datadas de ou depois de agosto de 2023 e, em seguida, tome medidas conforme exigido pelo CVE-2023-20569 e as informações da chave de registo fornecidas neste artigo base de dados de conhecimento.

Para obter mais informações, consulte o boletim de segurança AMD-SB-7005 .

A 9 de abril de 2024, publicámos CVE-2022-0001 | Injeção de Histórico do Ramo Intel que descreve a Injeção de Histórico de Ramificações (BHI), que é uma forma específica de BTI intra-modo. Esta vulnerabilidade ocorre quando um atacante pode manipular o histórico do ramo antes de transitar do modo de utilizador para o modo de supervisor (ou de VMX não raiz/convidado para o modo de raiz). Esta manipulação pode fazer com que um preditor de ramo indireto selecione uma entrada preditiva específica para um ramo indireto e uma miniaplicação de divulgação no destino previsto será executada de forma transitória. Isto pode ser possível porque o histórico de ramificações relevante pode conter ramos em contextos de segurança anteriores e, em particular, outros modos de predição.

Por predefinição, a proteção de utilizador para kernel para CVE-2017-5715 está desativada para CPUs AMD. Os clientes têm de ativar a mitigação para receber proteções adicionais para CVE-2017-5715.  Para obter mais informações, consulte FAQ n.º 15 no ADV180002.

Por predefinição, a proteção de utilizador para kernel para CVE-2017-5715 está desativada para processadores AMD. Os clientes têm de ativar a mitigação para receber proteções adicionais para CVE-2017-5715.  Para obter mais informações, consulte FAQ n.º 15 no ADV180002.

Para ativar a mitigação para CVE-2022-23825 em processadores AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Para estarem totalmente protegidos, os clientes também poderão ter de desativar Hyper-Threading (também conhecido como Multi Threading Simultâneo (SMT)). Consulte KB4073757 para obter orientações sobre como proteger dispositivos Windows.

Para ativar a mitigação para CVE-2023-20569 em processadores AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Para ativar a mitigação para CVE-2022-0001 em processadores Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Para obter uma explicação detalhada da saída do script do PowerShell, veja KB4074629 . 

Para ajudar a evitar afetar negativamente os dispositivos dos clientes, as atualizações de segurança do Windows lançadas em janeiro e fevereiro de 2018 não foram oferecidas a todos os clientes. Para obter detalhes, consulte KB407269 .

O microcódigo é fornecido através de uma atualização de firmware. Consulte o seu OEM sobre a versão de firmware que tem a atualização adequada para o seu computador.

Existem várias variáveis que afetam o desempenho, desde a versão do sistema até às cargas de trabalho em execução. Para alguns sistemas, o efeito de desempenho será insignificante. Para outros, será considerável.

Recomendamos que avalie os efeitos de desempenho nos seus sistemas e faça ajustes conforme necessário.

Para além da documentação de orientação neste artigo sobre máquinas virtuais, deve contactar o fornecedor de serviços para se certificar de que os anfitriões que executam as máquinas virtuais estão devidamente protegidos.

Para máquinas virtuais do Windows Server em execução no Azure, veja Orientações para mitigar vulnerabilidades do canal lateral de execução especulativa no Azure . Para obter orientações sobre como utilizar a Gestão de Atualizações do Azure para mitigar este problema em VMs convidadas, veja KB4077467.

As atualizações lançadas para imagens de contentor do Windows Server para Windows Server 2016 e o Windows 10, versão 1709, incluem as mitigações para este conjunto de vulnerabilidades. Não é necessária qualquer configuração adicional.

Nota Ainda tem de se certificar de que o anfitrião no qual estes contentores estão a ser executados está configurado para ativar as mitigações adequadas.

Não, a ordem de instalação não importa.

Sim, tem de reiniciar após a atualização do firmware (microcódigo) e, em seguida, novamente após a atualização do sistema.

Eis os detalhes das chaves de registo:

FeatureSettingsOverride representa um mapa de bits que substitui a predefinição e controla as mitigações que serão desativadas. O Bit 0 controla a mitigação que corresponde a CVE-2017-5715. O Bit 1 controla a mitigação que corresponde ao CVE-2017-5754. Os bits estão definidos como 0 para ativar a mitigação e para 1 para desativar a mitigação.

FeatureSettingsOverrideMask representa uma máscara de mapa de bits que é utilizada em conjunto com FeatureSettingsOverride.  Nesta situação, utilizamos o valor 3 (representado como 11 no sistema numeral binário ou numeral de base 2) para indicar os dois primeiros bits que correspondem às mitigações disponíveis. Esta chave de registo está definida como 3 para ativar ou desativar as mitigações.

MinVmVersionForCpuBasedMitigations destina-se a anfitriões Hyper-V. Esta chave de registo define a versão mínima da VM necessária para utilizar as capacidades de firmware atualizadas (CVE-2017-5715). Defina esta opção como 1.0 para abranger todas as versões da VM. Repare que este valor de registo será ignorado (benigno) em anfitriões não Hyper-V. Para obter mais detalhes, consulte Proteger máquinas virtuais convidadas do CVE-2017-5715 (injeção de destino do ramo).

Sim, não existem efeitos secundários se estas definições de registo forem aplicadas antes de instalar as correções relacionadas com janeiro de 2018.

Veja uma descrição detalhada da saída do script em KB4074629: Understanding SpeculationControl PowerShell script output .

Sim, para Windows Server 2016 anfitriões Hyper-V que ainda não têm a atualização de firmware disponível, publicámos orientações alternativas que podem ajudar a mitigar a VM na VM ou na VM para alojar ataques. Veja Proteções alternativas para Windows Server 2016 Anfitriões Hyper-V contra as vulnerabilidades especulativas do canal lateral de execução.

As atualizações apenas de segurança não são cumulativas. Consoante a versão do sistema operativo, poderá ter de instalar várias atualizações de segurança para proteção total. Em geral, os clientes terão de instalar as atualizações de janeiro, fevereiro, março e abril de 2018. Os sistemas com processadores AMD precisam de uma atualização adicional, conforme mostrado na tabela seguinte:

Recomendamos que instale as Atualizações apenas de segurança na ordem de lançamento.

Não. A atualização de segurança KB4078130 foi uma correção específica para evitar comportamentos imprevisíveis do sistema, problemas de desempenho e reinícios inesperados após a instalação do microcódigo. A aplicação das atualizações de segurança nos sistemas operativos cliente Windows permite as três mitigações. Nos sistemas operativos Windows Server, continua a ter de ativar as mitigações depois de efetuar os testes adequados. Para obter mais informações, veja KB4072698.

Este problema foi resolvido no KB4093118.

Em fevereiro de 2018, a Intel anunciou que tinha concluído as suas validações e começou a lançar o microcódigo para plataformas de CPU mais recentes. A Microsoft está a disponibilizar atualizações de microcódigo validadas pela Intel que dizem respeito ao Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Injeção de Destino de Ramo). KB4093836 lista artigos de base de dados de conhecimento específicos por versão do Windows. Cada artigo específico da BDC contém as atualizações de microcódigo Intel disponíveis pela CPU.

Em 11 de janeiro de 2018 , a Intel reportou problemas no microcódigo recentemente lançado que se destinava a abordar a variante Spectre 2 (CVE-2017-5715 | Injeção de Destino de Ramo). Especificamente, a Intel observou que este microcódigo pode causar "reinícios superiores ao esperado e outro comportamento imprevisível do sistema" e que estes cenários podem causar "perda de dados ou danos." A nossa experiência é que a instabilidade do sistema pode causar perda de dados ou danos em algumas circunstâncias. A 22 de janeiro, a Intel recomendou que os clientes deixassem de implementar a versão atual do microcódigo nos processadores afetados, enquanto a Intel realiza testes adicionais na solução atualizada. Compreendemos que a Intel continua a investigar o efeito potencial da versão atual do microcódigo. Incentivamos os clientes a reverem as suas orientações de forma contínua para informarem as suas decisões.

Enquanto a Intel testa, atualiza e implementa um novo microcódigo, estamos a disponibilizar uma atualização fora de banda (OOB) KB4078130, que desativa especificamente apenas a mitigação contra CVE-2017-5715. Nos nossos testes, esta atualização foi encontrada para impedir o comportamento descrito. Para obter a lista completa de dispositivos, veja a documentação de orientação de revisão de microcódigo da Intel. Esta atualização abrange o Windows 7 Service Pack 1 (SP1), Windows 8.1 e todas as versões do Windows 10, tanto do cliente como do servidor. Se estiver a executar um dispositivo afetado, esta atualização pode ser aplicada ao transferi-la a partir do site do Catálogo Microsoft Update. A aplicação deste payload desativa especificamente apenas a mitigação em relação ao CVE-2017-5715.

A partir deste momento, não existem relatórios conhecidos que indiquem que este Spectre Variant 2 (CVE-2017-5715 | A Injeção de Destino de Ramo) tem sido utilizada para atacar clientes. Recomendamos que, quando apropriado, os utilizadores do Windows reativem a mitigação contra o CVE-2017-5715 quando a Intel indicar que este comportamento imprevisível do sistema foi resolvido para o seu dispositivo.

Em fevereiro de 2018, a Intelanunciou que concluiu as validações e começou a lançar o microcódigo para plataformas de CPU mais recentes. A Microsoft está a disponibilizar atualizações de microcódigo validadas pela Intel relacionadas com o Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Injeção de Destino de Ramo). KB4093836 lista artigos de base de dados de conhecimento específicos por versão do Windows. A lista de KBs disponibiliza atualizações de microcódigo Intel por CPU.

Para obter mais informações, veja AmD Security Atualizações and AMD Whitepaper: Architecture Guidelines around Indirect Branch Control (Documento Técnico de Segurança AMD: Diretrizes de Arquitetura em torno do Controlo de Ramo Indireto). Estes estão disponíveis no canal de firmware do OEM.

Estamos a disponibilizar atualizações de microcódigo validadas pela Intel que dizem respeito ao Spectre Variant 2 (CVE-2017-5715 | Injeção de Destino de Ramo). Para obter as atualizações mais recentes do microcódigo Intel através de Windows Update, os clientes têm de ter instalado o microcódigo Intel em dispositivos com um sistema operativo Windows 10 antes de atualizar para a Atualização de Abril de 2018 do Windows 10 (versão 1803).

A atualização de microcódigo também está disponível diretamente a partir do Catálogo Microsoft Update se não tiver sido instalada no dispositivo antes de atualizar o sistema. O microcódigo Intel está disponível através de Windows Update, Windows Server Update Services (WSUS) ou do Catálogo Microsoft Update. Para obter mais informações e instruções de transferência, consulte KB4100347.

Para obter mais informações, veja os seguintes recursos:

• ADV180012 | Microsoft Guidance for Speculative Store Bypass for CVE-2018-3639

• ADV180013 | Microsoft Guidance for Rogue System Register Read for CVE-2018-3640 and KB 4073065 | Documentação de Orientação para Clientes Surface

• Blogue de Investigação e Defesa de Segurança da Microsoft

• Orientação para Programadores para Ignorar Loja Especulativa

Veja as secções "Ações recomendadas" e "FAQ" de  ADV180012 | Documentação de Orientação da Microsoft para Ignorar a Loja Especulativa.

Para verificar o estado do SSBD, o script do PowerShell Get-SpeculationControlSettings foi atualizado para detetar processadores afetados, o estado das atualizações do sistema operativo SSBD e o estado do microcódigo do processador, se aplicável. Para obter mais informações e obter o script do PowerShell, veja KB4074629.

Em 13 de junho de 2018, foi anunciada e atribuída a CVE-2018-3665 uma vulnerabilidade adicional que envolve a execução especulativa de canal lateral, conhecida como Lazy FP State Restore. Para obter informações sobre esta vulnerabilidade e as ações recomendadas, veja o ADV180016 de Aconselhamento de Segurança | Documentação de Orientação da Microsoft para o Restauro do Estado FP Em Diferido .

Nota Não existem definições de configuração (registo) necessárias para o Restauro Em Diferido do Restauro FP.

Bounds Check Bypass Store (BCBS) foi divulgado em 10 de julho de 2018 e atribuído CVE-2018-3693. Consideramos que o BCBS pertence à mesma classe de vulnerabilidades que o Bounds Check Bypass (Variante 1). Atualmente, não temos conhecimento de nenhuma instância do BCBS no nosso software. No entanto, continuamos a investigar esta classe de vulnerabilidades e trabalharemos com parceiros do setor para lançar mitigações conforme necessário. Incentivamos os investigadores a submeter quaisquer conclusões relevantes ao programa de recompensas do Canal de Execução Especulativa da Microsoft, incluindo quaisquer instâncias exploráveis do BCBS. Os programadores de software devem rever a documentação de orientação para programadores que foi atualizada para BCBS em C++ Developer Guidance for Speculative Execution Side Channels (Orientação para Programadores C++ para Canais do Lado da Execução Especulativa) 

Em 14 de agosto de 2018, a L1 Terminal Fault (L1TF) foi anunciada e atribuída a vários CVEs. Estas novas vulnerabilidades do canal lateral de execução especulativa podem ser utilizadas para ler o conteúdo da memória através de um limite fidedigno e, se forem exploradas, podem levar à divulgação de informações. Existem vários vetores através dos quais um atacante pode acionar as vulnerabilidades, dependendo do ambiente configurado. L1TF afeta processadores Intel® Core® e processadores Intel® Xeon®.

Para obter mais informações sobre esta vulnerabilidade e uma vista detalhada dos cenários afetados, incluindo a abordagem da Microsoft para mitigar o L1TF, veja os seguintes recursos:

• ADV180018 | Orientação da Microsoft para mitigar a variante L1TF

• Blogue de Pesquisa de Segurança de Aconselhamento de Segurança

• Documentação de Orientação do Servidor para a Falha do Terminal L1

Os passos para desativar Hyper-Threading diferem do OEM para o OEM, mas geralmente fazem parte do BIOS ou das ferramentas de configuração e configuração de firmware.

Os clientes que utilizam processadores ARM de 64 bits devem contactar o OEM do dispositivo para obter suporte de firmware porque as proteções do sistema operativo ARM64 que mitigam o CVE-2017-5715 | A injeção de destino do ramo (Spectre, Variante 2) requer a atualização de firmware mais recente dos OEMs do dispositivo para entrar em vigor.

Para obter mais informações, veja os seguintes avisos de segurança

• Aviso de Segurança da Intel

• ADV190013 | Documentação de Orientação da Microsoft para mitigar vulnerabilidades de Amostragem de Dados Microarchitecturais

Pode encontrar mais orientações na documentação de orientação do Windows para proteger contra vulnerabilidades do canal lateral de execução especulativa

Veja a documentação de orientação do Windows para proteger contra vulnerabilidades do canal lateral de execução especulativa

Para obter orientações sobre o Azure, veja este artigo: Documentação de orientação para mitigar vulnerabilidades do canal lateral de execução especulativa no Azure.

Para obter mais informações sobre a ativação retpoline, veja a nossa publicação de blogue: Mitigating Spectre variant 2 with Retpoline on Windows (Mitigar a Variante 2 do Spectre com Retpoline no Windows ).

Para obter detalhes sobre esta vulnerabilidade, consulte o Guia de Segurança da Microsoft: CVE-2019-1125 | Vulnerabilidade de Divulgação de Informações do Kernel do Windows.

Não temos conhecimento de nenhuma instância desta vulnerabilidade de divulgação de informações que afete a nossa infraestrutura de serviço cloud.

Assim que tivemos conhecimento deste problema, trabalhámos rapidamente para o resolver e lançar uma atualização. Acreditamos fortemente em parcerias estreitas com investigadores e parceiros do setor para tornar os clientes mais seguros, e não publicámos detalhes até terça-feira, 6 de agosto, consistentes com práticas coordenadas de divulgação de vulnerabilidades.

Pode encontrar mais orientações na documentação de orientação do Windows para proteger contra vulnerabilidades do canal lateral de execução especulativa.

Pode encontrar mais orientações na documentação de orientação do Windows para proteger contra vulnerabilidades do canal lateral de execução especulativa.

Pode encontrar mais orientações em Documentação de orientação para desativar a capacidade Intel Transactional Synchronization Extensions (Intel TSX).

Os produtos de terceiros que este artigo aborda são fabricados por empresas que são independentes da Microsoft. Não estabelecemos qualquer garantia, implícita ou não, sobre o desempenho ou fiabilidade destes produtos.

Fornecemos informações de contacto de terceiros para o ajudar a encontrar suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. Não garantimos a exatidão destas informações de contacto de terceiros.