Sumário
A Microsoft tem conhecimento de uma nova classe divulgada publicamente de vulnerabilidades que são conhecidas como "ataques de canal de lado de execução especulativos." Estas vulnerabilidades afectam muitos processadores modernas e sistemas operativos. Isto inclui chipsets Intel, AMD e ARM.
A Microsoft ainda não recebidos quaisquer informações que indicassem que estas vulnerabilidades foram utilizadas para atacar clientes. Continuamos a trabalhar em conjunto com parceiros de indústria para proteger os clientes. Isto inclui o elaborador de chip, hardware OEMs e fabricantes de aplicações. Para obter toda a protecção disponível, são necessárias actualizações de hardware ou firmware e software. Isto inclui microcódigo de dispositivo OEM e, em alguns casos, actualiza para o software antivírus. Foram disponibilizadas várias actualizações para ajudar a atenuar estas vulnerabilidades. No Microsoft ADV180002 aviso de segurança, podem encontrar mais informações sobre as vulnerabilidades. Para obter orientações gerais, consulte também orientações para atenuantes vulnerabilidades de canal de lado de execução especulativos. Vamos também tomaram medidas para ajudar a proteger os nossos serviços de nuvem. Consulte as secções seguintes para obter mais detalhes.
Versões afectadas do Exchange Server
Uma vez que estes são os ataques de nível do hardware que sistemas com processadores baseados em x64 e baseados em x86 de destino, todas as versões suportadas do Microsoft Exchange Server são afectadas por este problema.
Recomendações
A tabela seguinte descreve as acções recomendadas para os clientes do Exchange Server. Não existem actualizações Exchange específicas que são necessárias actualmente. No entanto, recomendamos que os clientes sempre executar a actualização cumulativa mais recente do Exchange Server e quaisquer actualizações de segurança necessária. Recomendamos que implemente correcções utilizando os procedimentos de ususal para validar os binários de novos antes de implementar a ambientes de produção.
|
Cenário |
Descrição |
Recomendações |
|
1 |
Exchange Server é executado no bare-metal (não máquinas virtuais) e não outra lógica da aplicação não fidedigna (camada de aplicação) é executada no mesmo computador bare-metal.
|
Aplica todas as actualizações de servidor do Exchange depois dos testes de validação de pré-produção habitual e sistema. Activar Kernel Virtual endereço sombreado (KVAS) não é necessária (consulte a secção relacionada, mais adiante neste artigo). |
|
2 |
Exchange Server é executado numa máquina virtual num ambiente de alojamento público (nuvem). |
Para Azure: Microsoft publicou detalhes sobre os esforços de atenuação para Azure (ver KB 4073235 para obter informações detalhadas). Para outros fornecedores de nuvem: consulte a respectiva orientação. Referem-se orientações neste artigo sobre se deve activar o KVAS. |
|
3 |
Exchange Server é executado numa máquina virtual num ambiente de alojamento privado. |
Consulte a documentação de segurança de Hipervisor de procedimentos recomendados de segurança. Consulte KB 4072698 para Windows Server e o Hyper-V. É recomendável instalar todas as actualizações do sistema operativo convidado VM. Consulte a posterior orientações constantes deste artigo sobre se deve activar o KVAS. |
|
4 |
Exchange Server é executado numa máquina virtual ou físico e não é isolado de outra lógica da aplicação que está a ser executado no mesmo sistema.
|
Recomendamos que instale todas as actualizações do sistema operativo. Consulte as orientações deste artigo artigo sobre se deve activar o KVAS. |
Aviso de desempenho
Aconselhamo-todos os clientes a avaliar o desempenho do seu ambiente específico quando aplicar actualizações.
Soluções que são fornecidas pela Microsoft para os tipos de vulnerabilidades descritas aqui irão utilizar mecanismos baseados em software para proteger contra cruzada processo acesso a dados. Aconselhamo-todos os clientes a instalar versões actualizadas do Exchange Server e do Windows. Isto deve ter um efeito mínimo de desempenho, com base nos testes da Microsoft de cargas de trabalho do Exchange.
Vamos ter medido o efeito de Kernel Virtual endereço sombreado (KVAS) em diferentes cargas de trabalho. Descobrimos que alguns cargas de trabalho detectar uma diminuição significativa no desempenho. Exchange Server é um das cargas de trabalho que poderão detectar uma diminuição significativa se KVAS estiver activada. Espera-se para mostrar o maior efeito servidores mostram utilização elevada da CPU ou padrões de utilização e/s elevados. Recomendamos vivamente que avalie primeiro o efeito de desempenho da activação da KVAS ao executar testes num laboratório que representa as necessidades de produção antes de implementar num ambiente de produção. Se o efeito de desempenho de permitir que KVAS for demasiado alto, considere se isolamento do Exchange Server de código não fidedigno que está a ser executado no mesmo sistema melhor medida de atenuação para a aplicação.
Para além de KVAS, informações sobre o efeito de desempenho do suporte de hardware de atenuação de injecção de destino do ramo (GRG) são detalhadas aqui. Um servidor que executa o Exchange Server e que tenha implementada uma solução de GRG poderá detectar uma diminuição significativa no desempenho se o GRG estiver activado.
Nos comprometemos a que os fornecedores de hardware irão oferecer actualizações para os seus produtos sob a forma de microcódigo actualizações. Nossa experiência com o Exchange indica que as actualizações de microcódigo irão aumentar a queda de desempenho. Na medida em que esta situação ocorre, é altamente dependente dos componentes e a estrutura do sistema no qual são aplicadas. Acreditamos que nenhuma solução única, baseado em software ou baseado em hardware, é suficiente para este tipo de vulnerabilidade apenas de endereços. Encorajamo-lo a avaliar o desempenho de todas as actualizações para ter em conta a variabilidade da concepção do sistema e antes de colocá-los em produção. A equipa do Exchange não está a planear actualizar a Calculadora de dimensionamento que é utilizada pelos clientes para ter em conta as diferenças de desempenho actualmente. Os cálculos fornecidos por esta ferramenta não terão em conta as alterações de desempenho relacionados com correcções para estas questões. Continuaremos a avaliar esta ferramenta e os ajustamentos que acreditamos que poderá ser necessário, com base na nossa própria utilização e que os clientes.
Actualizaremos esta secção como disponibilizada mais informação.
Activar o endereço Virtual de Kernel sombreado
Exchange Server é executado em vários ambientes, incluindo sistemas físicos, VMs em ambientes de nuvem públicas e privadas e em sistemas operativos Windows. Independentemente do ambiente, o programa está localizado no sistema físico ou uma VM. Este ambiente, se físicos ou virtuais, é conhecido como o limitede segurança.
Se todos os códigos dentro do limite tem acesso a todos os dados dentro desse limite, é necessária nenhuma acção. Se não for este o caso, o limite é diz tenant múltiplas. As vulnerabilidades que foram encontradas tornam possível a qualquer código que está a ser executado em qualquer processo dentro desse limite para ler quaisquer outros dados dentro desse limite. Isto é verdade mesmo em permissões reduzidas. Se o limite de qualquer processo estiver a executar código não fidedigno , esse processo poderia utilizar estas vulnerabilidades para ler dados de outros processos.
Para proteger contra código não fidedigno um limite de tenant múltiplas, efectue um dos seguintes procedimentos:
-
Remova o código não fidedigno.
-
Active KVAS para se proteger contra leituras de processo do processo. Isto irá ter um efeito de desempenho. Consulte as secções anteriores deste artigo para obter informações detalhadas.
Para mais informações sobre como activar KVAS para o Windows, consulte 4072698 da KB.
Cenários de exemplo (KVAS vivamente recomendado)
Cenário 1
Uma VM Azure executa um serviço em que os utilizadores não fidedignos podem submeter o código JavaScript que é executado por com permissões limitadas. No VM mesmo, Exchange Server está em execução e gestão de dados que não devam estar acessíveis aos utilizadores não fidedignos. Nesta situação, KVAS é necessária para proteger contra divulgação entre as duas entidades.
Cenário 2
Um sistema de física no local que hospeda o Exchange Server pode executar scripts de outros fabricantes não fidedignos ou ficheiros executáveis. É necessário para permitir a KVAS para se proteger contra a divulgação de dados do Exchange para o script ou executável.
Nota Apenas uma vez que está a ser utilizado um mecanismo de expansão no Exchange Server, que não faz automaticamente-não seguros. Estes mecanismos podem ser utilizados com segurança no Exchange Server, desde que cada dependência é entendida e fidedignos. Além disso, existem outros produtos que são criados no Exchange Server que pode necessitar de mecanismos de extensibilidade para funcionar correctamente. Em vez disso, como a primeira acção, reveja cada utilização para determinar se o código é entendido e fidedignos. Estas orientações são fornecidas para ajudar os clientes a determinar se têm que activar KVAS devido a maiores implicações no desempenho.
Activar o suporte de Hardware do ramo destino injecção atenuação (GRG)
GRG atenua contra CVE 2017-5715, também conhecido como um meio de espectro ou "variante 2" na divulgação de GPZ.
Estas instruções para activar KVAS no Windows também podem activar o GRG. No entanto, os GRG também requer uma actualização de firmware, o fabricante do hardware. Para além das instruções no 4072698 da KB para activar a protecção do Windows, os clientes têm de obter e instalar actualizações a partir do seu fabricante de hardware.
Cenário de exemplo (IBC é vivamente recomendado)
Cenário 1
Num sistema local físico que está a hospedar o Exchange Server, os utilizadores não fidedignos são permitidos para carregar e executar código arbitrário de JavaScript. Neste cenário, recomendamos vivamente GRG para se proteger contra divulgação de informações de processo do processo.
Em situações em que GRG suporte de hardware não estiver presente, recomenda-se que separe processo fidedigno física diferente ou máquinas virtuais e processos que não considere fidedignos.
Mecanismos de extensibilidade de servidor do Exchange não fidedignos
Exchange Server inclui funcionalidades de extensibilidade e mecanismos. Muitos deles são baseados no APIs que não permitem a execução no servidor que executa o Exchange Server de código não fidedigno. Agentes de transporte e o Exchange Management Shell poderiam permitir a execução num servidor que executa o Exchange Server em determinadas situações de código não fidedigno. Em todos os casos, com excepção dos agentes de transporte, funcionalidades de extensibilidade requerem autenticação antes de poderem ser utilizados. Recomendamos que utilize funcionalidades de extensibilidade que são restritas para o conjunto mínimo de binários, sempre que aplicável. Recomendamos também que os clientes restringem o acesso ao servidor para evitar a execução de código arbitrária executada nos sistemas mesmos como o Exchange Server. Aconselhamo-lo para determinar se deve confiar cada binário. Deve desactivar ou remover os binários não fidedignos. Deve também certificar-se de que as interfaces de gestão não são expostos na Internet.
Quaisquer produtos de terceiros debatidos neste artigo são fabricados por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, expressa ou implícita, relativamente, ao desempenho ou à fiabilidade destes produtos.
