|
Alterar data |
Alterar descrição |
|
19 de julho de 2023 |
|
|
8 de agosto de 2023 |
|
|
9 de agosto de 2023 |
|
|
9 de abril de 2024 |
|
|
16 de abril de 2024 |
|
Resumo
Este artigo fornece orientações para uma nova classe de vulnerabilidades do canal lateral de execução especulativa e microarchitectural baseada em silicone que afetam muitos processadores e sistemas operativos modernos. Isto inclui Intel, AMD e ARM. Pode encontrar detalhes específicos para estas vulnerabilidades baseadas em silicone nos seguintes ADVs (Avisos de Segurança) e CVEs (Vulnerabilidades e Exposições Comuns):
-
ADV180013 | Microsoft Guidance for Rogue System Register Read
-
ADV180018 | Orientação da Microsoft para mitigar a variante L1TF
-
CVE-2023-20569 | Previsão do Endereço de Retorno da CPU do AMD
Importante: Este problema também afeta outros sistemas operativos, como Android, Chrome, iOS e macOS. Por conseguinte, aconselhamos os clientes a procurar orientação desses fornecedores.
Lançámos várias atualizações para ajudar a mitigar estas vulnerabilidades. Também tomámos medidas para proteger os nossos serviços cloud. Veja as secções seguintes para obter mais detalhes.
Ainda não recebemos informações que indiquem que estas vulnerabilidades foram utilizadas para atacar clientes. Estamos a trabalhar em estreita colaboração com parceiros do setor, incluindo fabricantes de chips, OEMs de hardware e fornecedores de aplicações para proteger os clientes. Para obter todas as proteções disponíveis, são necessárias atualizações de firmware (microcódigo) e software. Isto inclui microcódigo de OEMs de dispositivos e, em alguns casos, atualizações para software antivírus.
Este artigo aborda as seguintes vulnerabilidades:
Windows Update também fornecerá mitigações do Internet Explorer e do Edge. Continuaremos a melhorar estas mitigações contra esta classe de vulnerabilidades.
Para saber mais sobre esta classe de vulnerabilidades, veja o seguinte:
Vulnerabilidades
Em 14 de maio de 2019, a Intel publicou informações sobre uma nova subclasse de vulnerabilidades do canal lateral de execução especulativa conhecida como Amostragem de Dados Microarchitectural. Estas vulnerabilidades são abordadas nos seguintes CVEs:
-
CVE-2019-11091 | Memória Incacheável de Amostragem de Dados Microarquiteturais (MDSUM)
-
CVE-2018-12126 | Amostragem de Dados da Memória Intermédia do Arquivo Microarchitectural (MSBDS)
-
CVE-2018-12130 | Amostragem de Dados da Porta de Carregamento Microarchitectural (MLPDS)
Importante: Estes problemas irão afetar outros sistemas operativos, como Android, Chrome, iOS e MacOS. Recomendamos que procure orientações destes respetivos fornecedores.
Lançámos atualizações para ajudar a mitigar estas vulnerabilidades. Para obter todas as proteções disponíveis, são necessárias atualizações de firmware (microcódigo) e software. Isto pode incluir microcódigo dos OEMs do dispositivo. Em alguns casos, a instalação destas atualizações terá um impacto no desempenho. Também agimos para proteger os nossos serviços cloud. Recomendamos vivamente a implementação destas atualizações.
Para obter mais informações sobre este problema, veja o seguinte Aviso de Segurança e utilize a documentação de orientação baseada em cenários para determinar as ações necessárias para mitigar a ameaça:
Nota: Recomendamos que instale todas as atualizações mais recentes do Windows Update antes de instalar quaisquer atualizações de microcódigo.
Em 6 de agosto de 2019, a Intel divulgou detalhes sobre uma vulnerabilidade de divulgação de informações de kernel do Windows. Esta vulnerabilidade é uma variante da vulnerabilidade do canal lateral de execução especulativa Spectre Variant 1 e foi atribuída cVE-2019-1125.
A 9 de julho de 2019, lançámos atualizações de segurança para o sistema operativo Windows para ajudar a mitigar este problema. Tenha em atenção que retivemos publicamente esta mitigação até à divulgação coordenada do setor na terça-feira, 6 de agosto de 2019.
Os clientes que tenham Windows Update ativado e tenham aplicado as atualizações de segurança lançadas a 9 de julho de 2019 são protegidos automaticamente. Não é necessária mais nenhuma configuração.
Nota: Esta vulnerabilidade não requer uma atualização de microcódigo do fabricante do dispositivo (OEM).
Para obter mais informações sobre esta vulnerabilidade e atualizações aplicáveis, consulte o Guia de Atualização de Segurança da Microsoft:
Em 12 de novembro de 2019, a Intel publicou um aviso técnico sobre a vulnerabilidade Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort, atribuída à CVE-2019-11135. Lançámos atualizações para ajudar a mitigar esta vulnerabilidade. Por predefinição, as proteções do SO estão ativadas para as edições do SO do Cliente Windows.
A 14 de junho de 2022, publicámos ADV220002 | Documentação de Orientação da Microsoft sobre Vulnerabilidades de Dados Obsoletos do Processador Intel MMIO. As vulnerabilidades são atribuídas nos seguintes CVEs:
-
CVE-2022-21123 | Leitura de Dados da Memória Intermédia Partilhada (SBDR)
-
CVE-2022-21125 | Amostragem de Dados de Memória Intermédia Partilhada (SBDS)
-
CVE-2022-21166 | Registo de Dispositivos de Escrita Parcial (DRPW)
Ações recomendadas
Deve efetuar as seguintes ações para ajudar a proteger contra estas vulnerabilidades:
-
Aplique todas as atualizações do sistema operativo Windows disponíveis, incluindo as atualizações de segurança mensais do Windows.
-
Aplique a atualização de firmware (microcódigo) aplicável fornecida pelo fabricante do dispositivo.
-
Avalie o risco para o seu ambiente com base nas informações fornecidas nos Avisos de Segurança da Microsoft ADV180002, ADV180012, ADV190013 e ADV220002,para além das informações fornecidas neste artigo.
-
Tome medidas conforme necessário ao utilizar os avisos e as informações da chave de registo fornecidas neste artigo.
Nota: Os clientes do Surface receberão uma atualização de microcódigo através da atualização do Windows. Para obter uma lista das atualizações de firmware de dispositivos Surface (microcódigo) mais recentes disponíveis, consulte KB4073065.
A 12 de julho de 2022, publicámos CVE-2022-23825 | AmD CPU Branch Type Confusion que descreve que os aliases no preditor do ramo podem fazer com que determinados processadores AMD prevejam o tipo de ramo errado. Este problema pode potencialmente levar à divulgação de informações.
Para ajudar a proteger contra esta vulnerabilidade, recomendamos que instale as atualizações do Windows datadas de ou depois de julho de 2022 e, em seguida, tome medidas conforme exigido pelo CVE-2022-23825 e as informações da chave de registo fornecidas neste artigo de base de dados de conhecimento.
Para obter mais informações, consulte o boletim de segurança AMD-SB-1037 .
A 8 de agosto de 2023, publicámos CVE-2023-20569 | AmD CPU Return Address Predictor (também conhecido como Inception) que descreve um novo ataque de canal lateral especulativo que pode resultar na execução especulativa num endereço controlado por atacantes. Este problema afeta determinados processadores AMD e pode potencialmente levar à divulgação de informações.
Para ajudar a proteger contra esta vulnerabilidade, recomendamos que instale as atualizações do Windows datadas de ou depois de agosto de 2023 e, em seguida, tome medidas conforme exigido pelo CVE-2023-20569 e as informações da chave de registo fornecidas neste artigo base de dados de conhecimento.
Para obter mais informações, consulte o boletim de segurança AMD-SB-7005 .
A 9 de abril de 2024, publicámos CVE-2022-0001 | Injeção de Histórico do Ramo Intel que descreve a Injeção de Histórico de Ramificações (BHI), que é uma forma específica de BTI intra-modo. Esta vulnerabilidade ocorre quando um atacante pode manipular o histórico do ramo antes de transitar do modo de utilizador para o modo de supervisor (ou de VMX não raiz/convidado para o modo de raiz). Esta manipulação pode fazer com que um preditor de ramo indireto selecione uma entrada preditiva específica para um ramo indireto e uma miniaplicação de divulgação no destino previsto será executada de forma transitória. Isto pode ser possível porque o histórico de ramificações relevante pode conter ramos em contextos de segurança anteriores e, em particular, outros modos de predição.
Definições de mitigação para clientes Windows
Os avisos de segurança (ADVs) e OS CVEs fornecem informações sobre o risco colocado por estas vulnerabilidades e como ajudam a identificar o estado predefinido das mitigações para os sistemas cliente Windows. A tabela seguinte resume o requisito do microcódigo da CPU e o estado predefinido das mitigações nos clientes Windows.
|
CVE |
Necessita de microcódigo/firmware da CPU? |
Estado predefinido da Mitigação |
|---|---|---|
|
CVE-2017-5753 |
Não |
Ativado por predefinição (sem opção para desativar) Veja ADV180002 para obter informações adicionais. |
|
CVE-2017-5715 |
Sim |
Ativado por predefinição. Os utilizadores de sistemas baseados em processadores AMD devem ver FAQ n.º 15 e os utilizadores de processadores ARM devem ver FAQ n.º 20 no ADV180002 para uma ação adicional e este artigo da BDC para definições de chave de registo aplicáveis. Nota Por predefinição, a Retpoline está ativada para dispositivos com Windows 10, versão 1809 ou mais recente se o Spectre Variant 2 (CVE-2017-5715) estiver ativado. Para obter mais informações, em Retpoline, siga as orientações na mensagem de blogue Mitigating Spectre variant 2 with Retpoline on Windows (Mitigar o Spectre variante 2 com Retpoline no Windows ). |
|
CVE-2017-5754 |
Não |
Ativado por predefinição Veja ADV180002 para obter informações adicionais. |
|
CVE-2018-3639 |
Intel: Sim |
Intel e AMD: desativados por predefinição. Veja ADV180012 para obter mais informações e este artigo da BDC para obter as definições de chave de registo aplicáveis. ARM: ativado por predefinição sem opção para desativar. |
|
CVE-2019-11091 |
Intel: Sim |
Ativado por predefinição. Veja ADV190013 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis. |
|
CVE-2018-12126 |
Intel: Sim |
Ativado por predefinição. Veja ADV190013 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis. |
|
CVE-2018-12127 |
Intel: Sim |
Ativado por predefinição. Veja ADV190013 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis. |
|
CVE-2018-12130 |
Intel: Sim |
Ativado por predefinição. Veja ADV190013 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis. |
|
CVE-2019-11135 |
Intel: Sim |
Ativado por predefinição. Consulte CVE-2019-11135 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis. |
|
CVE-2022-21123 (parte do MMIO ADV220002) |
Intel: Sim |
Windows 10, versão 1809 e posterior: ativado por predefinição. Consulte CVE-2022-21123 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis. |
|
CVE-2022-21125 (parte do MMIO ADV220002) |
Intel: Sim |
Windows 10, versão 1809 e posterior: ativado por predefinição. Consulte CVE-2022-21125 para obter mais informações. |
|
CVE-2022-21127 (parte do MMIO ADV220002) |
Intel: Sim |
Windows 10, versão 1809 e posterior: ativado por predefinição. Consulte CVE-2022-21127 para obter mais informações. |
|
CVE-2022-21166 (parte do MMIO ADV220002) |
Intel: Sim |
Windows 10, versão 1809 e posterior: ativado por predefinição. Consulte CVE-2022-21166 para obter mais informações. |
|
CVE-2022-23825 (AmD CPU Branch Type Confusion) |
AMD: Não |
Consulte CVE-2022-23825 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis. |
|
CVE-2023-20569
|
AMD: Sim |
Consulte CVE-2023-20569 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis. |
|
Intel: Não |
Desativado por predefinição. Consulte CVE-2022-0001 para obter mais informações e este artigo para obter as definições de chave de registo aplicáveis. |
Nota: Por predefinição, ativar mitigações desativadas pode afetar o desempenho do dispositivo. O efeito de desempenho real depende de vários fatores, como o chipset específico no dispositivo e as cargas de trabalho em execução.
Definições do registo
Fornecemos as seguintes informações de registo para ativar mitigações que não estão ativadas por predefinição, conforme documentado em Avisos de Segurança (ADVs) e CVEs. Além disso, fornecemos definições de chave de registo para os utilizadores que pretendem desativar as mitigações quando aplicável aos clientes Windows.
Importante: Esta secção, método ou tarefa contém passos que lhe indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorretamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para proteção adicional, faça uma cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como fazer uma cópia de segurança e restaurar o registo, consulte o seguinte artigo na Base de Dados de Conhecimento Microsoft:
322756 Como criar cópias de segurança e restaurar o registo no Windows
Importante: Por predefinição, a Retpoline está ativada em dispositivos Windows 10, versão 1809 se o Spectre, Variant 2 (CVE-2017-5715) estiver ativado. Ativar a Retpoline na versão mais recente do Windows 10 pode melhorar o desempenho em dispositivos com Windows 10, versão 1809 para a variante Spectre 2, especialmente em processadores mais antigos.
|
Para ativar mitigações predefinidas para CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie o dispositivo para que as alterações entrem em vigor. Para desativar mitigações para CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie o dispositivo para que as alterações entrem em vigor. |
Nota: Um valor de 3 é preciso para FeatureSettingsOverrideMask para as definições "ativar" e "desativar". (Consulte a secção "FAQ" para obter mais detalhes sobre chaves de registo.)
|
Para desativar mitigações para CVE-2017-5715 (Spectre Variant 2) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie o dispositivo para que as alterações entrem em vigor. Para ativar mitigações predefinidas para CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie o dispositivo para que as alterações entrem em vigor. |
Por predefinição, a proteção de utilizador para kernel para CVE-2017-5715 está desativada para CPUs AMD e ARM. Tem de ativar a mitigação para receber proteções adicionais para CVE-2017-5715. Para obter mais informações, veja FAQ n.º 15 no ADV180002 para processadores AMD e FAQ #20 no ADV180002 para processadores ARM.
|
Ative a proteção utilizador a kernel em processadores AMD e ARM, juntamente com outras proteções para o CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie o dispositivo para que as alterações entrem em vigor. |
|
Para ativar mitigações para CVE-2018-3639 (Bypass do Arquivo Especulativo), mitigações predefinidas para CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie o dispositivo para que as alterações entrem em vigor. Nota: Os processadores AMD não são vulneráveis ao CVE-2017-5754 (Meltdown). Esta chave de registo é utilizada em sistemas com processadores AMD para ativar mitigações predefinidas para CVE-2017-5715 em processadores AMD e a mitigação para CVE-2018-3639. Para desativar mitigações para CVE-2018-3639 (Bypass do Arquivo Especulativo) *e* mitigações para CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie o dispositivo para que as alterações entrem em vigor. |
Por predefinição, a proteção de utilizador para kernel para CVE-2017-5715 está desativada para processadores AMD. Os clientes têm de ativar a mitigação para receber proteções adicionais para CVE-2017-5715. Para obter mais informações, consulte FAQ n.º 15 no ADV180002.
|
Ative a proteção utilizador a kernel em processadores AMD juntamente com outras proteções para CVE 2017-5715 e proteções para CVE-2018-3639 (Bypass da Loja Especulativa): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie o dispositivo para que as alterações entrem em vigor. |
|
Para ativar mitigações para extensões de sincronização transacional Intel (Intel TSX) Transação Assíncrona Abortar vulnerabilidade (CVE-2019-11135) e Amostragem de Dados Microarchitectural (CVE-11135)2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) juntamente com spectre (CVE-2017-5753 & variantes CVE-2017-5715) e Meltdown (CVE-2017-5754) incluindo Disable (SSBD) (CVE-2018-3639) e L1 Terminal Fault (L1TF) (CVE-2018-3615), CVE-2018-3620 e CVE-2018-3646) sem desativar o Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Se a funcionalidade Hyper-V estiver instalada, adicione a seguinte definição de registo: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Se for um anfitrião Hyper-V e as atualizações de firmware tiverem sido aplicadas: Encerre totalmente todos os Máquinas Virtuais. Isto permite que a mitigação relacionada com firmware seja aplicada no anfitrião antes de as VMs serem iniciadas. Por conseguinte, as VMs também são atualizadas quando são reiniciadas. Reinicie o dispositivo para que as alterações entrem em vigor. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) com Hyper-Threading desativado: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Se a funcionalidade Hyper-V estiver instalada, adicione a seguinte definição de registo: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Se for um anfitrião Hyper-V e as atualizações de firmware tiverem sido aplicadas: Encerre totalmente todos os Máquinas Virtuais. Isto permite que a mitigação relacionada com firmware seja aplicada no anfitrião antes de as VMs serem iniciadas. Por conseguinte, as VMs também são atualizadas quando são reiniciadas. Reinicie o dispositivo para que as alterações entrem em vigor. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reinicie o dispositivo para que as alterações entrem em vigor. |
Para ativar a mitigação para CVE-2022-23825 em processadores AMD :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Para estarem totalmente protegidos, os clientes também poderão ter de desativar Hyper-Threading (também conhecido como Multi Threading Simultâneo (SMT)). Consulte KB4073757para obter orientações sobre como proteger dispositivos Windows.
Para ativar a mitigação para CVE-2023-20569 em processadores AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Para ativar a mitigação para CVE-2022-0001 em processadores Intel:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Ativar várias mitigações
Para ativar várias mitigações, tem de adicionar o valor REG_DWORD de cada mitigação em conjunto.
Por exemplo:
|
Mitigação da vulnerabilidade Abortar Assíncrona de Transação, Amostragem de Dados Microarchitecturais, Spectre, Meltdown, MMIO, Disable de Bypass (SSBD) e L1 Terminal Fault (L1TF) com Hyper-Threading desativado |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
|
NOTA 8264 (em Decimal) = 0x2048 (em Hex) Para ativar o BHI juntamente com outras definições existentes, terá de utilizar bit a bit OU do valor atual com 8.388.608 (0x800000). 0x800000 OU 0x2048(8264 em decimal) e passará a ser 8.396.872 (0x802048). O mesmo acontece com FeatureSettingsOverrideMask. |
|
|
Mitigação para CVE-2022-0001 em processadores Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
|
Mitigação combinada |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
|
Mitigação da vulnerabilidade Abortar Assíncrona de Transação, Amostragem de Dados Microarchitecturais, Spectre, Meltdown, MMIO, Disable de Bypass (SSBD) e L1 Terminal Fault (L1TF) com Hyper-Threading desativado |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
|
Mitigação para CVE-2022-0001 em processadores Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
|
Mitigação combinada |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Verificar se as proteções estão ativadas
Para ajudar a verificar se as proteções estão ativadas, publicámos um script do PowerShell que pode executar nos seus dispositivos. Instale e execute o script com um dos seguintes métodos.
|
Instale o Módulo do PowerShell: PS> Install-Module SpeculationControl Execute o módulo do PowerShell para verificar se as proteções estão ativadas: PS> # Guarde a política de execução atual para que possa ser reposta PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned - Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Repor a política de execução para o estado original PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
Instale o Módulo do PowerShell a partir do Technet ScriptCenter: Aceda a https://aka.ms/SpeculationControlPS Transfira SpeculationControl.zip para uma pasta local. Extraia os conteúdos para uma pasta local, por exemplo C:\ADV180002 Execute o módulo do PowerShell para verificar se as proteções estão ativadas: Inicie o PowerShell e, em seguida, (com o exemplo anterior) copie e execute os seguintes comandos: PS> # Guarde a política de execução atual para que possa ser reposta PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned - Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Repor a política de execução para o estado original PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Para obter uma explicação detalhada da saída do script do PowerShell, veja KB4074629.
Perguntas mais frequentes
O microcódigo é fornecido através de uma atualização de firmware. Deve consultar os fabricantes da CPU (chipset) e do dispositivo sobre a disponibilidade das atualizações de segurança de firmware aplicáveis para o dispositivo específico, incluindo a Orientação de Revisão do Microcódigo Intels.
Resolver uma vulnerabilidade de hardware através de uma atualização de software apresenta desafios significativos. Além disso, as mitigações para sistemas operativos mais antigos requerem alterações arquitetónicas extensas. Estamos a trabalhar com os fabricantes de chips afetados para determinar a melhor forma de fornecer mitigações, que podem ser fornecidas em atualizações futuras.
Atualizações para dispositivos Microsoft Surface serão entregues aos clientes através de Windows Update juntamente com as atualizações do sistema operativo Windows. Para obter uma lista das atualizações de firmware de dispositivos Surface (microcódigo) disponíveis, consulte KB4073065.
Se o seu dispositivo não for Microsoft, aplique o firmware do fabricante do dispositivo. Para obter mais informações, contacte o fabricante do dispositivo OEM.
Em fevereiro e março de 2018, a Microsoft lançou proteção adicional para alguns sistemas baseados em x86. Para obter mais informações, consulte KB4073757 e o ADV180002 de Aconselhamento de Segurança da Microsoft.
Atualizações para Windows 10 para HoloLens estão disponíveis para os clientes do HoloLens através de Windows Update.
Depois de aplicar a Atualização de Segurança do Windows de fevereiro de 2018, os clientes do HoloLens não têm de tomar medidas adicionais para atualizar o firmware do dispositivo. Estas mitigações também serão incluídas em todas as versões futuras do Windows 10 para o HoloLens.
Não. As atualizações apenas de segurança não são cumulativas. Consoante a versão do sistema operativo que estiver a executar, terá de instalar todas as atualizações mensais Apenas de Segurança para ser protegido contra estas vulnerabilidades. Por exemplo, se estiver a executar o Windows 7 para Sistemas de 32 bits numa CPU Intel afetada, tem de instalar todas as atualizações Apenas de Segurança. Recomendamos que instale estas atualizações Apenas de Segurança na ordem de lançamento.
Nota Uma versão anterior desta FAQ declarou incorretamente que a atualização Apenas de Segurança de Fevereiro incluía as correções de segurança lançadas em janeiro. Na verdade, não.
Não. A atualização de segurança 4078130 foi uma correção específica para evitar comportamentos imprevisíveis do sistema, problemas de desempenho e/ou reinícios inesperados após a instalação do microcódigo. A aplicação das atualizações de segurança de fevereiro nos sistemas operativos cliente Windows permite as três mitigações.
A Intel anunciou recentemente que concluiu as validações e começou a lançar o microcódigo para plataformas de CPU mais recentes. A Microsoft está a disponibilizar atualizações de microcódigo validadas pela Intel em torno do Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 lista artigos específicos da Base de Dados de Conhecimento por versão do Windows. Cada artigo específico da KB contém as atualizações de microcódigo da Intel disponíveis por CPU.
Este problema foi resolvido no KB4093118.
A AMD anunciou recentemente que começou a lançar o microcódigo para plataformas de CPU mais recentes em torno do Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Para obter mais informações, consulte o Atualizações de Segurança AMD e o Documento Técnico amd: Diretrizes de Arquitetura em torno do Controlo de Ramo Indireto. Estes estão disponíveis no canal de firmware do OEM.
Estamos a disponibilizar atualizações de microcódigo validadas pela Intel em torno do Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection "). Para obter as atualizações mais recentes do microcódigo Intel através de Windows Update, os clientes têm de ter instalado o microcódigo Intel em dispositivos com um sistema operativo Windows 10 antes de atualizar para a Atualização de Abril de 2018 do Windows 10 (versão 1803).
A atualização do microcódigo também está disponível diretamente no Catálogo, se não tiver sido instalada no dispositivo antes da atualização do SO. O microcódigo Intel está disponível através de Windows Update, WSUS ou Catálogo Microsoft Update. Para obter mais informações e instruções de transferência, consulte KB4100347.
Para obter mais informações, veja os seguintes recursos:
Para obter detalhes, veja as secções "Ações recomendadas" e "FAQ" em ADV180012 | Documentação de Orientação da Microsoft para Ignorar a Loja Especulativa.
Para verificar o estado do SSBD, o script Get-SpeculationControlSettings PowerShell foi atualizado para detetar processadores afetados, o estado das atualizações do sistema operativo SSBD e o estado do microcódigo do processador, se aplicável. Para obter mais informações e obter o script do PowerShell, veja KB4074629.
Em 13 de junho de 2018, foi anunciada e atribuída a CVE-2018-3665 uma vulnerabilidade adicional que envolve a execução especulativa de canal lateral, conhecida como Lazy FP State Restore. Não são necessárias definições de configuração (registo) para o Restauro Em Diferido do Restauro FP.
Para obter mais informações sobre esta vulnerabilidade e sobre as ações recomendadas, veja aviso de segurança ADV180016 | Documentação de Orientação da Microsoft para o Restauro do Estado FP Em Diferido.
Nota: Não são necessárias definições de configuração (registo) para o Restauro Em Diferido do Restauro FP.
Bounds Check Bypass Store (BCBS) foi divulgado em 10 de julho de 2018 e atribuído CVE-2018-3693. Consideramos que o BCBS pertence à mesma classe de vulnerabilidades que o Bounds Check Bypass (Variante 1). Atualmente, não temos conhecimento de nenhuma instância do BCBS no nosso software, mas continuamos a investigar esta classe de vulnerabilidades e trabalharemos com parceiros do setor para lançar mitigações conforme necessário. Continuamos a incentivar os investigadores a submeter quaisquer conclusões relevantes ao programa de recompensas do Canal de Execução Especulativa da Microsoft, incluindo quaisquer instâncias exploráveis do BCBS. Os programadores de software devem rever as orientações para programadores que foram atualizadas para BCBS em https://aka.ms/sescdevguide.
Em 14 de agosto de 2018, a L1 Terminal Fault (L1TF) foi anunciada e atribuída a vários CVEs. Estas novas vulnerabilidades do canal lateral de execução especulativa podem ser utilizadas para ler o conteúdo da memória através de um limite fidedigno e, se forem exploradas, podem levar à divulgação de informações. Um atacante pode acionar as vulnerabilidades através de vários vetores, consoante o ambiente configurado. L1TF afeta processadores Intel® Core® e processadores Intel® Xeon®.
Para obter mais informações sobre esta vulnerabilidade e uma vista detalhada dos cenários afetados, incluindo a abordagem da Microsoft para mitigar o L1TF, veja os seguintes recursos:
Os clientes que utilizam processadores ARM de 64 bits devem consultar o OEM do dispositivo para obter suporte de firmware porque as proteções do sistema operativo ARM64 que mitigam o CVE-2017-5715 | A injeção de destino do ramo (Spectre, Variante 2) requer a atualização de firmware mais recente dos OEMs do dispositivo para entrar em vigor.
Para obter mais informações, veja os seguintes avisos de segurança
Para obter mais informações, veja os seguintes avisos de segurança
Pode encontrar mais orientações na documentação de orientação do Windows para proteger contra vulnerabilidades do canal lateral de execução especulativa
Para obter orientações sobre o Azure, veja este artigo: Documentação de orientação para mitigar vulnerabilidades do canal lateral de execução especulativa no Azure.
Para obter mais informações sobre a ativação retpoline, veja a nossa publicação de blogue: Mitigating Spectre variant 2 with Retpoline on Windows (Mitigar a Variante 2 do Spectre com Retpoline no Windows).
Para obter detalhes sobre esta vulnerabilidade, consulte o Guia de Segurança da Microsoft: CVE-2019-1125 | Vulnerabilidade de Divulgação de Informações do Kernel do Windows.
Não temos conhecimento de nenhuma instância desta vulnerabilidade de divulgação de informações que afete a nossa infraestrutura de serviço cloud.
Assim que tivemos conhecimento deste problema, trabalhámos rapidamente para o resolver e lançar uma atualização. Acreditamos fortemente em parcerias estreitas com investigadores e parceiros do setor para tornar os clientes mais seguros, e não publicámos detalhes até terça-feira, 6 de agosto, consistentes com práticas coordenadas de divulgação de vulnerabilidades.
Pode encontrar mais orientações na documentação de orientação do Windows para proteger contra vulnerabilidades do canal lateral de execução especulativa.
Pode encontrar mais orientações na documentação de orientação do Windows para proteger contra vulnerabilidades do canal lateral de execução especulativa.
Pode encontrar mais orientações em Documentação de orientação para desativar a capacidade Intel® Transactional Synchronization Extensions (Intel® TSX).
Referências
Fornecemos informações de contacto de terceiros para o ajudar a encontrar suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. Não garantimos a exatidão destas informações de contacto de terceiros.
