Nota: Este artigo será atualizado assim que estiverem disponíveis informações adicionais. Volte aqui regularmente para verificar a receção de atualizações e de novas FAQ.

Vulnerabilidades

Este artigo aborda as seguintes vulnerabilidades de execução legitivas:

Windows Update também fornecerá mitigações do Internet Explorer e do Edge. Iremos continuar a melhorar estas mitigações contra esta classe de vulnerabilidades.

Para saber mais sobre esta classe de vulnerabilidades, consulte

No dia 14 de maio de 2019, a Intel publicou informações sobre uma nova subclasse de vulnerabilidades de execuções gravosas nos canais laterais, conhecidas como Amostragem de Dados Microarchitectural e documentadas em ADV190013 | Amostragem de Dados Microarchitectural. Foram-lhe atribuídos os seguintes CVEs:

Importante: Estes problemas afetarão outros sistemas como o Android, Chrome, iOS e MacOS. Recomendamos aos clientes que procurem orientações nesses fornecedores.

A Microsoft lançou atualizações para ajudar a mitigar estas vulnerabilidades. Para obter todas as proteções disponíveis, é necessário firmware (microcode) e atualizações de software. Isto pode incluir microcode do OEMs do dispositivo. Em alguns casos, a instalação destas atualizações terá um impacto no desempenho. Também atuámos para proteger os nossos serviços em nuvem. Recomendamos vivamente que implemente estas atualizações.

Para obter mais informações sobre este problema, consulte o seguinte Aviso de Segurança e utilize orientação baseada em cenários para determinar as ações necessárias para mitigar a ameaça:

Nota: Recomendamos que instale todas as atualizações mais recentes Windows Update antes de instalar quaisquer atualizações de microcode.

A 6 de agosto de 2019, a Intel lançou detalhes sobre uma divulgação de vulnerabilidade das informações do Windows kernel. Esta vulnerabilidade é uma variante da vulnerabilidade de execução em vias laterais de Spectre Variante 1 e foi-lhe atribuída a CVE-2019-1125.

No dia 9 de julho de 2019, lançou atualizações de segurança para o sistema operativo Windows para ajudar a mitigar este problema. Tenha em atenção que retemos a documentação pública desta mitigação até que a divulgação da indústria coordenada seja publicamente publicada na terça-feira, 6 de agosto de 2019.

Os clientes que Windows Update ativados e que tenham aplicado as atualizações de segurança lançadas a 9 de julho de 2019 são automaticamente protegidos. Não é necessária mais configuração.

Nota: Esta vulnerabilidade não necessita de uma atualização de microcode do fabricante do dispositivo (OEM).

Para obter mais informações sobre esta vulnerabilidade e as atualizações aplicáveis, consulte o Guia de Atualizações de Segurança da Microsoft:

A 12 de novembro de 2019, a Intel publicou um aviso técnico em torno da vulnerabilidade Assíncrona de Transação Assíncrona (Intel® TSX) sobre a vulnerabilidade do aborto assíncrono atribuído ao CVE-2019-11135. A Microsoft lançou atualizações para ajudar a mitigar esta vulnerabilidade e as proteções de SO estão ativadas por predefinição para o Windows Server 2019 mas desativadas por predefinição para as edições Windows Server 2016 e versões anteriores do SO Windows Server.

No dia 14 de junho de 2022, publicámos ADV220002 | Orientação da Microsoft sobre Vulnerabilidades de Dados Opas MMIO do Processador Intel e atribuídos estes CVEs: 

Ações recomendadas

Deve tomar as seguintes ações para ajudar a proteger-se contra vulnerabilidades:

  1. Aplique todas as atualizações do sistema operativo Windows disponíveis, incluindo as atualizações de segurança mensais do Windows.

  2. Aplique a atualização de firmware (microcode) aplicável fornecida pelo fabricante do dispositivo.

  3. Avalie o risco para o seu ambiente com base nas informações fornecidas nos Avisos de Segurança da Microsoft: ADV180002, ADV180012, ADV190013 e ADV220002, além das informações fornecidas neste artigo base de dados de conhecimento.

  4. Tome medidas conforme necessário utilizando as informações de chave de registo e avisos fornecidas neste base de dados de conhecimento artigo.

Nota: Os clientes do Surface irão receber uma atualização de microcode através Windows Update. Para ver uma lista das atualizações mais recentes do firmware de dispositivos Surface (microcode), consulte kB4073065.

Definições de mitigação do Windows Server e do Azure Stack HCI

Os consultores de segurança ADV180002, ADV180012, ADV190013 e ADV220002 fornecem informações sobre o risco representado por estas vulnerabilidades. Também o ajudam a identificar as vulnerabilidades e a identificar o estado predefinido das mitigações para sistemas do Windows Server. A tabela abaixo resume o requisito de microcode CPU e o estado predefinido das mitigações no Windows Server.

CVE

Necessita de microcode/firmware CPU?

Estado Predefinido da Mitigação

CVE-2017-5753

Não

Ativado por predefinição (sem opção para desativar)

Consulte ADV180002 para obter informações adicionais

CVE-2017-5715

Sim

Desativada por predefinição.

Consulte a ADV180002 para obter informações adicionais e este artigo BDC para obter definições de chave de registo aplicáveis.

Nota O "Retpoline" está ativado por predefinição para dispositivos que executem o Windows 10 1809 ou mais novo se a Variante 2 (CVE-2017-5715) estiver ativada. Para obter mais informações sobre "Retpoline", siga Mitigar a variante Spectre 2 com Retpoline na publicação de blogue do Windows .

CVE-2017-5754

Não

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: Ativado por predefinição.
Windows Server 2016 anterior: desativado por predefinição.

Consulte ADV180002 para obter informações adicionais.

CVE-2018-3639

Intel: Sim

AMD: Não

Desativada por predefinição. Consulte ADV180012 para obter mais informações e este artigo para obter definições de chave de registo aplicáveis.

CVE-2018-11091

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: Ativado por predefinição.
Windows Server 2016 anterior: desativado por predefinição.

Consulte o artigo ADV190013 para obter mais informações e este artigo para obter definições de chave de registo aplicáveis.

CVE-2018-12126

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: Ativado por predefinição.
Windows Server 2016 anterior: desativado por predefinição.

Consulte o artigo ADV190013 para obter mais informações e este artigo para obter definições de chave de registo aplicáveis.

CVE-2018-12127

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: Ativado por predefinição.
Windows Server 2016 anterior: desativado por predefinição.

Consulte o artigo ADV190013 para obter mais informações e este artigo para obter definições de chave de registo aplicáveis.

CVE-2018-12130

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: Ativado por predefinição.
Windows Server 2016 anterior: desativado por predefinição.

Consulte o artigo ADV190013 para obter mais informações e este artigo para obter definições de chave de registo aplicáveis.

CVE-2019-11135

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: Ativado por predefinição.
Windows Server 2016 anterior: desativado por predefinição.

Consulte CVE-2019-11135 para obter mais informações e este artigo para obter definições de chave de registo aplicáveis.

CVE-2022-21123 (parte do ADV220002 DA MMIO)

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: Ativado por predefinição. 
Windows Server 2016 e anteriores: Desativado por predefinição.* 

Consulte CVE-2022-21123 para obter mais informações e este artigo para obter definições de chave de registo aplicáveis.

CVE-2022-21125 (parte do ADV220002 DA MMIO)

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: Ativado por predefinição. 
Windows Server 2016 e anteriores: Desativado por predefinição.* 

Consulte CVE-2022-21125 para obter mais informações.

CVE-2022-21127 (parte do ADV220002 DA MMIO)

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: Ativado por predefinição. 
Windows Server 2016 e anteriores: Desativado por predefinição.* 

Consulte CVE-2022-21127 para obter mais informações.

CVE-2022-21166 (parte do ADV220002 da MMIO)

Intel: Sim

Windows Server 2019, Windows Server 2022 e Azure Stack HCI: Ativado por predefinição. 
Windows Server 2016 e anteriores: Desativado por predefinição.* 

Consulte CVE-2022-21166 para obter mais informações.

CVE-2022-23825 (Confusão tipo de Ramos CPU AMD)

AMD: Não

Consulte CVE-2022-23825 para obter mais informações e este artigo para obter definições de chave de registo aplicáveis.

CVE-2022-23816 (Confusão tipo de Ramo da AMD CPU)

AMD: Não

Consulte CVE-2022-23816 para obter mais informações e este artigo para obter definições de chave de registo aplicáveis.

*Siga as orientações de mitigação para Derreter abaixo.

Se pretender obter todas as proteções disponíveis contra estas vulnerabilidades, tem de fazer alterações à chave de registo para ativar estas mitigações que estão desativadas por predefinição.

Ativar estas mitigações pode afetar o desempenho. A escala dos efeitos de desempenho depende de vários fatores, como o chipset específico no seu anfitrião físico e as cargas de trabalho em execução. Recomendamos que avalie os efeitos de desempenho do seu ambiente e faça os ajustes necessários.

O seu servidor está em maior risco se estiver numa das seguintes categorias:

  • Anfitriões de hiper-V: requer proteção para ataques VM para VM e VM para anfitrião.

  • Anfitriões de Serviços de Ambiente de Trabalho Remoto (RDSH): requer proteção de uma sessão para outra ou de ataques de sessão para anfitrião.

  • Anfitriões físicos ou máquinas virtuais que executam código não fidedijado , como contentores ou extensões não fidáveis para a base de dados, conteúdos Web não fidáveis ou cargas de trabalho que executam código de origens externas. Estes requerem proteção de ataques de processo para outro processo não detetado ou de ataques de kernel de processo para kernel não confiados.

Utilize as seguintes definições de chave de registo para ativar as mitigações no servidor e reinicie o dispositivo para que as alterações entrem em vigor.

Nota: Por predefinição, ativar mitigações que estão desligadas pode afetar o desempenho. O efeito de desempenho real depende de vários fatores, como o chipset específico no dispositivo e as cargas de trabalho que estão a ser executados.

Definições de registo

Importante: Fornecemos as seguintes informações de registo para ativar mitigações que não estão ativadas por predefinição, conforme documentado em Avisos de Segurança ADV180002, ADV180012, ADV190013 e ADV220002.

Além disso, fornecemos definições de chave de registo se quiser desativar as mitigações relacionadas com o CVE-2017-5715 e o CVE-2017-5754 para clientes Windows.

Importante: Esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorreta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para maior segurança, faça uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como fazer uma segurança e restaurar o registo, clique no número de artigo seguinte para ver o artigo no Microsoft base de dados de conhecimento:

322756 Como fazer uma segurança e restaurar o registo no Windows

Importante: Por predefinição, o Retpoline está ativado em servidores Windows 10, versão 1809 se Spectre, a Variante 2 (CVE-2017-5715) estiver ativada. Ativar o Retpoline na versão mais recente do Windows 10 pode melhorar o desempenho em servidores a executar o Windows 10, versão 1809 para a variante 2 do Spectre, especialmente em processadores mais antigos.

Para ativar as mitigações para CVE-2017-5715 (Variante 2) e CVE-2017-5754 (Derreter)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se a funcionalidade Hyper-V estiver instalada, adicione a seguinte definição de registo:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se este for um anfitrião Hyper-V e tiver sido aplicada a atualizações de firmware: Encerrar totalmente todas as Máquinas Virtuais. Isto permite que a mitigação relacionada com firmware seja aplicada ao anfitrião antes de as VMs começarem. Por essa razão, as VMs também são atualizadas quando são reiniciadas.

Reinicie o dispositivo para que as alterações entrem em vigor.

Para desativar as mitigações para CVE-2017-5715 (Variante 2) e CVE-2017-5754 (Derreter)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o dispositivo para que as alterações entrem em vigor.

Nota: A definição FeatureSettingsOverrideMask para 3 é precisa para as definições "ativar" e "desativar". (Consulte a secção "FAQ " para obter mais detalhes sobre chaves de registo.)

Para desativar a Variante 2: (Mitigação do Destino da Subdivisão CVE-2017-5715  :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o dispositivo para que as alterações entrem em vigor.

Para ativar a Variante 2: (Mitigação do Alvo do Ramo CVE-2017-5715  :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o dispositivo para que as alterações entrem em vigor.

Por predefinição, a proteção de utilizador para kernel para CVE-2017-5715 está desativada para AMD CPUs. Os clientes têm de ativar a mitigação para receber proteções adicionais para o CVE-2017-5715.  Para obter mais informações, consulte FAQ #15 no ADV180002.

Ative a proteção de utilizador para kernel em processadores AMD, juntamente com outras proteções para o CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se a funcionalidade Hyper-V estiver instalada, adicione a seguinte definição de registo:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se este for um anfitrião Hyper-V e tiver sido aplicada a atualizações de firmware: Encerrar totalmente todas as Máquinas Virtuais. Isto permite que a mitigação relacionada com firmware seja aplicada ao anfitrião antes de as VMs começarem. Por essa razão, as VMs também são atualizadas quando são reiniciadas.

Reinicie o dispositivo para que as alterações entrem em vigor.

Para ativar as mitigações para CVE-2018-3639 (Bypass de Arquivo Passivo), CVE-2017-5715 (Variante 2) e CVE-2017-5754 (Degelo):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se a funcionalidade Hyper-V estiver instalada, adicione a seguinte definição de registo:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se este for um anfitrião Hyper-V e tiver sido aplicada a atualizações de firmware: Encerrar totalmente todas as Máquinas Virtuais. Isto permite que a mitigação relacionada com firmware seja aplicada ao anfitrião antes de as VMs começarem. Por essa razão, as VMs também são atualizadas quando são reiniciadas.

Reinicie o dispositivo para que as alterações entrem em vigor.

Para desativar as mitigações para CVE-2018-3639 (Bypass de Arquivo Passivo) E mitigações para CVE-2017-5715 (Variante 2) e CVE-2017-5754 (Degelo)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o dispositivo para que as alterações entrem em vigor.

Por predefinição, a proteção de utilizador para kernel para CVE-2017-5715 está desativada para processadores AMD. Os clientes têm de ativar a mitigação para receber proteções adicionais para o CVE-2017-5715.  Para obter mais informações, consulte FAQ #15 no ADV180002.

Ative a proteção de utilizador para kernel em processadores AMD, juntamente com outras proteções para o CVE 2017-5715 e proteções para CVE-2018-3639 (Bypass de Arquivo Passivo):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se a funcionalidade Hyper-V estiver instalada, adicione a seguinte definição de registo:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se este for um anfitrião Hyper-V e tiver sido aplicada a atualizações de firmware: Encerrar totalmente todas as Máquinas Virtuais. Isto permite que a mitigação relacionada com firmware seja aplicada ao anfitrião antes de as VMs começarem. Por essa razão, as VMs também são atualizadas quando são reiniciadas.

Reinicie o dispositivo para que as alterações entrem em vigor.

Para ativar mitigações para Extensões de Sincronização Transacional Intel (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) e Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) juntamente com Spectre [CVE-2017-5753 & CVE-2017-5715] e Desativação das variantes [CVE-2017-5754], incluindo Disable de Desvio de Arquivo Aparente (SSBD) [CVE-2018-3639 ] como bem como Falha de Terminal L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646] sem desativar o Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se a funcionalidade Hyper-V estiver instalada, adicione a seguinte definição de registo:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se este for um anfitrião Hyper-V e tiver sido aplicada a atualizações de firmware: Encerrar totalmente todas as Máquinas Virtuais. Isto permite que a mitigação relacionada com firmware seja aplicada ao anfitrião antes de as VMs começarem. Por essa razão, as VMs também são atualizadas quando são reiniciadas.

Reinicie o dispositivo para que as alterações entrem em vigor.

Para ativar mitigações para Extensões de Sincronização Transacional Intel (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) e Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) juntamente com Spectre [ CVE-2017-5753 & CVE-2017-5715 ] e Derreter [ CVE-2017-5754 ] variantes, incluindo Desativação do Bypas de Arquivo Ofensivo (SSBD) [ CVE-2018-3639 ] como bem como Falha de Terminal L1 (L1TF) [ CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646 ] com Hyper-Threading desativado:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se a funcionalidade Hyper-V estiver instalada, adicione a seguinte definição de registo:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se este for um anfitrião Hyper-V e tiver sido aplicada a atualizações de firmware: Encerrar totalmente todas as Máquinas Virtuais. Isto permite que a mitigação relacionada com firmware seja aplicada ao anfitrião antes de as VMs começarem. Por essa razão, as VMs também são atualizadas quando são reiniciadas.

Reinicie o dispositivo para que as alterações entrem em vigor.

Para desativar as mitigações das Extensões de Sincronização Transativa Intel (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) e Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) juntamente com Spectre [ CVE-2017-5753 & CVE-2017-5715 ] e Derreterdown [ CVE-2017-5754 ] variantes, incluindo Distrive Desativação de Bypass no Arquivo Ofensivo (SSBD) [ CVE-2018-3639 ] como bem como Falha de Terminal L1 (L1TF) [ CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646 ]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o dispositivo para que as alterações entrem em vigor.

Ativar a proteção de utilizador para kernel em processadores AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Para estar totalmente protegido, os clientes também podem ter de desativar o Hyper-Threading (também conhecido como SMT) Multi Threading Simultâneo. Consulte kB4073757 para sabercomo pode proteger dispositivos Windows.

Verificar se as proteções estão ativadas

Para ajudar a verificar se as proteções estão ativadas, publicámos um script do PowerShell que pode executar nos seus dispositivos. Instale e execute o script através de um dos seguintes métodos.

Instale o Módulo PowerShell:

PS> Install-Module SpeculationControl

Execute o módulo PowerShell para verificar se as proteções estão ativadas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Instale o módulo PowerShell a partir do ScriptCenter do Technet:

  1. Vá para o https://aka.ms/SpeculationControlPS .

  2. Transfira SpeculationControl.zip para uma pasta local.

  3. Extraia os conteúdos para uma pasta local. Por exemplo: C:\ADV180002

Execute o módulo PowerShell para verificar se as proteções estão ativadas:

Inicie o PowerShell e, em seguida, utilize o exemplo anterior para copiar e executar os seguintes comandos:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Para obter uma explicação detalhada sobre o resultado do script do PowerShell, consulte KB4074629

Perguntas mais frequentes

Para ajudar a evitar afetar negativamente os dispositivos do cliente, as atualizações de segurança do Windows lançadas em janeiro e fevereiro de 2018 não foram oferecidas a todos os clientes. Para obter detalhes, consulte KB407269 .

O microcode é entregue através de uma atualização de firmware. Consulte o seu OEM sobre a versão do firmware que tem a atualização adequada para o seu computador.

Existem múltiplas variáveis que afetam o desempenho, desde a versão do sistema até às cargas de trabalho em execução. Para alguns sistemas, o efeito de desempenho será negligível. Para outras pessoas, será considerável.

Recomendamos que avalie os efeitos de desempenho nos seus sistemas e faça os ajustes conforme necessário.

Além das orientações neste artigo relativas a máquinas virtuais, deve contactar o seu fornecedor de serviços para se certificar de que os anfitriões que executam os seus máquinas virtuais estão protegidos de forma adequada.

Para máquinas virtuais do Windows Server que estão a ser executadas no Azure, consulte Orientações para mitigar vulnerabilidades de vias de atualizações de vias de atualizações exaustivas no Azure. Para saber como utilizar a Gestão de Atualizações do Azure para mitigar este problema nas VMs dos convidados, consulte o artigo KB4077467.

As atualizações lançadas para imagens de contentores do Windows Server para o Windows Server 2016 e Windows 10, versão 1709 incluem as mitigações para este conjunto de vulnerabilidades. Não é necessária qualquer configuração adicional.

Nota Tem de se certificar ainda de que o anfitrião em que estes contentores estão a ser executados está configurado para ativar as mitigações adequadas.

Não, o pedido de instalação não é importante.

Sim, tem de reiniciar após a atualização do firmware (microcode) e, em seguida, novamente após a atualização do sistema.

Eis os detalhes das chaves de registo:

FeatureSettingsOverride representa umap de bits que substitui a predefinição e controla que mitigações serão desativadas. O bit 0 controla a mitigação que corresponde a CVE-2017-5715. O bit 1 controla a mitigação que corresponde a CVE-2017-5754. Os bits estão definidos como 0 para ativar a mitigação e para 1 para desativar a mitigação.

FeatureSettingsOverrideMask representa uma máscara demap de bits utilizada em conjunto com FeatureSettingsOverride.  Nesta situação, utilizamos o valor 3 (representado como 11 no numeral binário ou sistema numeral de base 2) para indicar os dois primeiros bits que correspondem às mitigações disponíveis. Esta chave de registo está definida como 3 para ativar ou desativar as mitigações.

MinVmVersionForCpuBasedMitigations é para anfitriões de Hyper-V. Esta chave de registo define a versão mínima da VM necessária para utilizar as capacidades de firmware atualizadas (CVE-2017-5715). Defina esta versão para 1.0 para abranger todas as versões de VM. Repare que este valor de registo será ignorado (benigno) em anfitriões que não sejam Hiper-V. Para obter mais detalhes, consulte Proteger máquinas virtuais convidados a partir do CVE-2017-5715 (Injeção de destino da sucursal).

Sim, não existem efeitos secundários se estas definições de registo foram aplicadas antes de instalar as correções relacionadas com janeiro de 2018.

Sim, para anfitriões hyper-V que ainda não têm a atualização de firmware disponível, publicámos orientações alternativas que podem ajudar Windows Server 2016 a mitigar a VM para VM ou VM para alocar ataques. Consulte o artigo Proteções alternativas Windows Server 2016 Anfitriões Hyper-V contra vulnerabilidades de execuções da via de versões laterais.

As atualizações apenas de segurança não são cumulativas. Dependendo da sua versão do sistema operativo, poderá ter de instalar várias atualizações de segurança para garantir a proteção total. Em geral, os clientes terão de instalar as atualizações de janeiro, fevereiro, março e abril de 2018. Os sistemas com processadores AMD necessitam de uma atualização adicional, conforme apresentado na seguinte tabela:

Versão do Sistema Operativo

Atualização de Segurança

Windows 8.1, Windows Server 2012 R2

KB4338815 – Rollup Mensal

KB4338824- Apenas de segurança

Windows 7 SP1, Windows Server 2008 R2 SP1 ou Windows Server 2008 R2 SP1 (instalação Server Core)

KB4284826 – Rollup Mensal

KB4284867 – Apenas segurança

Windows Server 2008 SP2

KB4340583 – Atualização de Segurança

Recomendamos que instale as atualizações apenas de segurança na ordem de lançamento.

Nota: Uma versão anterior desta FAQ declarou incorretamente que a atualização apenas de segurança de fevereiro incluía as correções de segurança lançadas em janeiro. Na verdade, não funciona.

Não. A atualização de segurança KB4078130 era uma correção específica para impedir comportamentos imprevisíveis do sistema, problemas de desempenho e reinícios inesperados após a instalação do microcode. Aplicar as atualizações de segurança nos sistemas operativos cliente do Windows ativa as três mitigações. Nos sistemas operativos Windows Server, ainda tem de ativar as mitigações após fazer o teste adequado. Para obter mais informações, consulte KB4072698.

Este problema foi resolvido na atualização KB4093118.

Em fevereiro de 2018, a Intel anunciou que concluíram as suas validações e começaram a lançar o microcode para plataformas CPU mais novas. A Microsoft está a disponibilizar atualizações de microcode validadas do Intel que dizem respeito à Variante 2 Spectre Variante 2 (CVE-2017-5715 | Injeção de Destino da Sucursal). A KB4093836 lista artigos específicos base de dados de conhecimento artigos da versão para Windows. Cada artigo BDC específico contém as atualizações de microcode Intel disponíveis pela CPU.

No dia 11 de janeiro de 2018,  a Intel comunicava problemas com o microcode lançado recentemente que se destinava a abordar a variante 2 do Spectre (CVE-2017-5715 | Injeção de Destino da Sucursal). Mais especificamente, a Intel notou que este microcode pode causar "reiniciais mais elevado do que o esperado e outro comportamento do sistema imprevisível" e que estes cenários podem causar "perda de dados ou da corrupção." A nossa experiência é que a instabilidade do sistema pode causar perda de dados ou danos em algumas circunstâncias. A 22 de janeiro, a Intel recomenda que os clientes parem de implementar a versão do microcode atual nos processadores afetados, enquanto o Intel executa testes adicionais na solução atualizada. Compreendemos que a intel continua a investigar o potencial efeito da versão de microcode atual. Encorajamos os clientes a reverem as suas orientações de forma contínua para informarem as suas decisões.

Enquanto a Intel testa, atualiza e implementa novos microcode, estamos a disponibilizar uma atualização OOB (out-of-band), a KB4078130, que desativa especificamente a mitigação contra o CVE-2017-5715. Nos nossos testes, esta atualização foi encontrada para impedir o comportamento descrito. Para ver a lista completa de dispositivos, consulte o guia de revisão do microcode da Intel. Esta atualização abrange o Windows 7 Service Pack 1 (SP1), Windows 8.1 e todas as versões do Windows 10, cliente e servidor. Se estiver a executar um dispositivo afetado, esta atualização pode ser aplicada ao transferi-la a partir do site do Catálogo de Atualizações da Microsoft. A aplicação deste payload desativa especificamente a mitigação contra o CVE-2017-5715.

A partir desta altura, não existem relatórios conhecidos que indiquem que esta Variante 2 (CVE-2017-5715 – "Injeção de Alvo de Ramos") foi utilizada para ataque de clientes. Quando for adequado, recomendamos que os utilizadores do Windows reenviem a mitigação contra o CVE-2017-5715 quando a Intel relatar que este comportamento de sistema imprevisível foi resolvido para o seu dispositivo.

Em fevereiro de 2018, aIntel anunciou que concluíram as suas validações e começaram a lançar o microcode para plataformas CPU mais novas. A Microsoft está a disponibilizar atualizações de microcode validadas pelo Intel que estão relacionadas com a Variante 2 Spectre Variante 2 (CVE-2017-5715 | Injeção de Destino da Sucursal). A KB4093836 lista artigos específicos base de dados de conhecimento artigos da versão para Windows. A lista KBs disponível atualizações de microcode Intel pela CPU.

Para obter mais informações, consulte o Atualizações amD Security AtualizaçõesAMD Whitepaper: Diretrizes de Arquitetura em torno do Controlo de Sucursais Indiretos. Estas estão disponíveis no canal de firmware do OEM.

Estamos a disponibilizar atualizações de microcode validadas pelo Intel que dizem respeito à Variante 2 (CVE-2017-5715 – "Injeção de Destino do Ramo "). Para obterem as atualizações de microcode Intel mais recentes através do Windows Update, os clientes têm de ter instalado microcode Intel em dispositivos que executem um sistema operativo Windows 10 antes de atualizarem para a Atualização de Windows 10 de abril de 2018 (versão 1803).

A atualização de microcode também está disponível diretamente a partir do Catálogo Microsoft Update se não tiver sido instalada no dispositivo antes de atualizar o sistema. O microcode Intel está disponível Windows Update, Windows Server Update Services (WSUS) ou através do Catálogo Microsoft Update. Para obter mais informações e instruções de transferência, consulte KB4100347.

Consulte as secções "Ações recomendadas" e "FAQ"  do ADV180012 | Orientação da Microsoft para o Bypass de Arquivo Passivo da Microsoft.

Para verificar o estado do SSBD, o script do PowerShell Get-ControlControlSettings foi atualizado para detetar processadores afetados, o estado das atualizações do sistema operativo SSBD e o estado do microcode do processador, se aplicável. Para obter mais informações e obter o script do PowerShell, consulte KB4074629.

A 13 de junho de 2018, foi anunciada e atribuída ao CVE-2018-3665 uma exenerabilidade extra na via de versões laterais, conhecida como Restauro de Estado do FP preguiçado. Para obter informações sobre esta vulnerabilidade e ações recomendadas, consulte o Aviso de Segurança ADV180016 | Orientação da Microsoft para Restauro do Estado de Lazy FP .

Note Não existem definições de configuração (registo) obrigatórias no Restauro FP de Restauro de Preguiças.

A Verificação Vinculada ao Bypass Store (BCBS) foi divulgada a 10 de julho de 2018 e a CVE-2018-3693. Consideramos que BCBS pertence à mesma classe de vulnerabilidades que Bounds Check Bypass (Variant 1). De momento, não temos conhecimento de quaisquer instâncias do BCBS no nosso software. No entanto, continuamos a investigar esta classe de vulnerabilidade e iremos trabalhar com parceiros da indústria para lançar mitigações conforme necessário. Encorajamos os investigaçãos a submeterem quaisquer conclusões relevantes para o programa bounty do Canal Lateral de Execução Retângulo Da Microsoft, incluindo instâncias exploreáveis do BCBS. Os programadores de software devem rever as orientações para programadores que foram atualizadas para o BCBS em C++ Orientações para Programadores para Canais Laterais de Execução Turca 

No dia 14 de agosto de 2018, a Falha de Terminal L1 (L1TF) foi anunciada e foram atribuídos múltiplos CVEs. Estas novas vulnerabilidades da via de execução inversa podem ser utilizadas para ler o conteúdo da memória num limite fidediculável e, se explorado, pode levar à divulgação de informações. Existem múltiplos vetores através dos quais um atacante pode ativar as vulnerabilidades, dependendo do ambiente configurado. A L1TF afeta os processadores Intel® Core® e os processadores Intel® Xeon®.

Para obter mais informações sobre esta vulnerabilidade e uma vista detalhada dos cenários afetados, incluindo a abordagem da Microsoft para mitigar o L1TF, consulte os seguintes recursos:

Os passos para Hyper-Threading de OEM são diferentes de OEM, mas geralmente fazem parte das ferramentas de configuração e configuração BIOS ou firmware.

Os clientes que utilizem processadores de ARM de 64 bits devem contactar o OEM do dispositivo para suporte de firmware, uma vez que as proteções do sistema operativo ARM64 que mitigam as versões CVE-2017-5715 | A injeção de destino da sucursal (Spectre, Variant 2) exige que a atualização de firmware mais recente do dispositivo OEMs entre em vigor.

Para saber mais sobre as orientações do Azure, consulte este artigo: Orientação para mitigá-la de vulnerabilidades de vias de comunicações laterais de direita no Azure.

Para obter mais informações sobre a ativação do Retpoline, consulte a nossa mensagem de blogue: Mitigar a variante Spectre 2 com Retpoline no Windows .

Para obter detalhes sobre esta vulnerabilidade, consulte o Guia de Segurança da Microsoft: CVE-2019-1125 | Informação do Windows Kernel Divulgação de Vulnerabilidade.

Não temos conhecimento de nenhuma instância destas informações que informam que a vulnerabilidade está a afetar a nossa infraestrutura de serviços em nuvem.

Assim que tocámos conhecimento deste problema, trabalhámos rapidamente para o resolver e lançamos uma atualização. Acreditamos vivamente em parcerias próximas com os investigaçãos e parceiros do setor para tornar os clientes mais seguros e só publicámos os detalhes na terça-feira, 6 de agosto, de forma consistente com práticas de divulgação de vulnerabilidade coordenadas.

Pode encontrar mais orientações nas orientações do Windows para se proteger contra vulnerabilidades da via de atualizações laterais de execução abusiva.

Pode encontrar mais orientações nas orientações do Windows para se proteger contra vulnerabilidades da via de atualizações laterais de execução abusiva.

Pode encontrar mais orientações em Orientações para desativar a funcionalidade Extensões de Sincronização Transativas Intel (Intel TSX).

Referências

Fornecemos informações de contacto de terceiros para o ajudar a encontrar suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. Não garantimos a precisão destas informações de contacto de terceiros.

Precisa de mais ajuda?

Aumente os seus conhecimentos
Explore as formações
Seja o primeiro a obter novas funcionalidades
Aderir ao Microsoft insiders

As informações foram úteis?

Quão satisfeito está com a qualidade do idioma?
O que afetou a sua experiência?

Obrigado pelo seu feedback!

×