Orientação do Windows Server para proteger contra vulnerabilidades especulativas de canal lateral de execução

Ações recomendadas

Os clientes devem tomar as seguintes medidas para ajudar a proteger contra as vulnerabilidades:

  1. Aplique todas as atualizações disponíveis do sistema operacional Windows, incluindo as atualizações mensais de segurança do Windows.

  2. Aplique a atualização de firmware (microcódigo) aplicável que é fornecida pelo fabricante do dispositivo.

  3. Avalie o risco para o seu ambiente com base nas informações fornecidas nos Avisos de Segurança da Microsoft: ADV180002,ADV180012,ADV190013e informações fornecidas neste artigo da Base do Conhecimento.

  4. Tome as medidas necessárias usando os avisos e informações-chave do registro que são fornecidas neste artigo da Base do Conhecimento.

Nota Os clientes do Surface receberão uma atualização de microcódigo por meio da atualização do Windows. Para obter uma lista das mais recentes atualizações de firmware (microcódigo) de dispositivos Surface, consulte o KB 4073065.

Configurações de mitigação para o windows server

Os avisos de segurança ADV180002, ADV180012e ADV190013 fornecem informações sobre o risco que é representado por essas vulnerabilidades.  Eles também ajudam a identificar essas vulnerabilidades e identificar o estado padrão de mitigações para sistemas windows server. A tabela abaixo resume a exigência do microcódigo cpu e o status padrão das mitigações no Windows Server.

Cve

Requer microcódigo/firmware de CPU?

Status de inadimplência de mitigação

CVE-2017-5753

Não

Habilitado por padrão (sem opção para desativar)

Consulte a ADV180002 para obter informações adicionais

CVE-2017-5715

Sim

Desativado por padrão.

Consulte a ADV180002 para obter informações adicionais e este artigo do KB para as principais configurações de registro aplicáveis.

Nota "Retpoline" é ativado por padrão para dispositivos que executam o Windows 10 1809 ou mais recente se Spectre Variant 2 (CVE-2017-5715 ) estiver ativado. Para mais informações, em torno de "Retpoline", sigamitigating Spectre variante 2 com Retpoline no Windows blog post.

CVE-2017-5754

Não

Windows Server 2019: Habilitado por padrão. Windows Server 2016 e anterior: Desativado por padrão.

Consulte a ADV180002 para obter informações adicionais.

CVE-2018-3639

Intel: Sim

AMD: Não

Desativado por padrão. Consulte o ADV180012 para obter mais informações e este artigo do KB para as principais configurações de registro aplicáveis.

CVE-2018-11091

Intel: Sim

Windows Server 2019: Habilitado por padrão. Windows Server 2016 e anterior: Desativado por padrão.

Consulte o ADV190013 para obter mais informações e este artigo do KB para as principais configurações de registro aplicáveis.

CVE-2018-12126

Intel: Sim

Windows Server 2019: Habilitado por padrão. Windows Server 2016 e anterior: Desativado por padrão.

Consulte o ADV190013 para obter mais informações e este artigo do KB para as principais configurações de registro aplicáveis.

CVE-2018-12127

Intel: Sim

Windows Server 2019: Habilitado por padrão. Windows Server 2016 e anterior: Desativado por padrão.

Consulte o ADV190013 para obter mais informações e este artigo do KB para as principais configurações de registro aplicáveis.

CVE-2018-12130

Intel: Sim

Windows Server 2019: Habilitado por padrão. Windows Server 2016 e anterior: Desativado por padrão.

Consulte o ADV190013 para obter mais informações e este artigo do KB para as principais configurações de registro aplicáveis.

CVE-2019-11135

Intel: Sim

Windows Server 2019: Habilitado por padrão. Windows Server 2016 e anterior: Desativado por padrão.

Consulte o CVE-2019-11135 para obter mais informações e este artigo do KB para as principais configurações de registro aplicáveis.

Os clientes que desejam obter todas as proteções disponíveis contra essas vulnerabilidades devem fazer alterações importantes do registro para permitir essas mitigações que são desativadas por padrão.

Habilitar essas mitigações pode afetar o desempenho. A escala dos efeitos de desempenho depende de vários fatores, como o chipset específico em seu hospedeiro físico e as cargas de trabalho que estão sendo executados. Recomendamos que os clientes avaliem os efeitos de desempenho para seu ambiente e façam os ajustes necessários.

Seu servidor está em maior risco se estiver em uma das seguintes categorias:

  • Hospedeiros Hiper-V - Requer proteção para ataques VM-to-VM e VM-to-host.

  • Hosts de serviços de desktop remoto (RDSH) - Requer proteção de uma sessão para outra sessão ou de ataques de sessão para host.

  • Hospedeiros físicos ou máquinas virtuais que estão executando código não confiável,como contêineres ou extensões não confiáveis para banco de dados, conteúdo da web não confiável ou cargas de trabalho que executam o código que é de fontes externas. Estes exigem proteção contra ataques não confiáveis de processo para outro processo ou de processo não confiável para kernel.

Use as seguintes configurações de chave de registro para habilitar as mitigações no servidor e reiniciar o sistema para que as alterações entrem em vigor.

Nota Habilitar mitigações que estão fora por padrão pode afetar o desempenho. O efeito de desempenho real depende de vários fatores, como o chipset específico no dispositivo e as cargas de trabalho que estão sendo executados.

Configurações de registro

Estamos fornecendo as seguintes informações de registro para permitir mitigações que não são habilitadas por padrão, conforme documentado nos Avisos de Segurança ADV180002,ADV180012e ADV190013.

Além disso, estamos fornecendo configurações-chave de registro para usuários que desejam desativar as mitigações que estão relacionadas ao CVE-2017-5715 e CVE-2017-5754 para clientes do Windows.

Importante Esta seção, método ou tarefa contém etapas que lhe dizem como modificar o registro. No entanto, problemas graves podem ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de seguir esses passos com cuidado. Para proteção adicional, faça backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número seguinte do artigo para visualizar o artigo na Base de Conhecimento da Microsoft:

322756 Como fazer backup e restaurar o registro no Windows

Gerenciar mitigações para CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

Nota importante Retpoline é ativado por padrão no Windows 10, versão 1809 servidores se Spectre, Variant 2 (CVE-2017-5715 ) estiver ativado. Habilitar o Retpoline na versão mais recente do Windows 10 pode melhorar o desempenho em servidores que executam o Windows 10, versão 1809 para variante Spectre 2, particularmente em processadores mais antigos.

Para permitir mitigações para CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se o recurso Hyper-V for instalado, adicione a seguinte configuração de registro:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se este é um host Hyper-V e as atualizações de firmware foram aplicadas: Desligar totalmente todas as máquinas virtuais. Isso permite que a mitigação relacionada ao firmware seja aplicada no hospedeiro antes do início dos VMs. Portanto, os VMs também são atualizados quando são reiniciados.

Reiniciar o computador para as alterações para ter efeito.

Para desativar mitigações para CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reiniciar o computador para as alterações para ter efeito.

Nota Definir featureSettingsOverrideMask para 3 é preciso para as configurações "ativar" e "desativar". (Veja a seção"FAQ" para obter mais detalhes sobre as chaves do registro.)

Gerenciar a mitigação para CVE-2017-5715 (Spectre Variant 2)

Para desativar variante 2: (CVE-2017-5715 "Injeção de Alvo de Ramo") mitigação:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reiniciar o computador para as alterações para ter efeito.

Para permitir a mitigação da VariantE 2: mitigação (CVE-2017-5715"Injeção de Alvo de Ramo") :  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reiniciar o computador para as alterações para ter efeito.

Apenas processadores AMD: Habilite a mitigação completa para CVE-2017-5715 (Spectre Variant 2)

Por padrão, a proteção do usuário para o cve-2017-5715 é desativada para CPUs DAD. Os clientes devem permitir que a mitigação receba proteções adicionais para o CVE-2017-5715.  Para mais informações, consulte a #15 da FAQ na ADV180002.

Permitir a proteção do usuário para o kernel em processadores AMD, juntamente com outras proteções para CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se o recurso Hyper-V for instalado, adicione a seguinte configuração de registro:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se este é um host Hyper-V e as atualizações de firmware foram aplicadas: Desligar totalmente todas as máquinas virtuais. Isso permite que a mitigação relacionada ao firmware seja aplicada no hospedeiro antes do início dos VMs. Portanto, os VMs também são atualizados quando são reiniciados.

Reiniciar o computador para as alterações para ter efeito.

Gerenciar mitigações para CVE-2018-3639 (Desvio de loja especulativa), CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

Para permitir mitigações para CVE-2018-3639 (Desvio de loja especulativa), CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se o recurso Hyper-V for instalado, adicione a seguinte configuração de registro:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se este é um host Hyper-V e as atualizações de firmware foram aplicadas: Desligar totalmente todas as máquinas virtuais. Isso permite que a mitigação relacionada ao firmware seja aplicada no hospedeiro antes do início dos VMs. Portanto, os VMs também são atualizados quando são reiniciados.

Reiniciar o computador para as alterações para ter efeito.

Para desativar mitigações para CVE-2018-3639 (Desvio especulativo da loja) e mitigações para CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reiniciar o computador para as alterações para ter efeito.

Apenas processadores AMD: Habilite a mitigação completa para CVE-2017-5715 (Spectre Variant 2) e CVE 2018-3639 (Desvio especulativo da loja)

Por padrão, a proteção do usuário para o kernel para CVE-2017-5715 é desativada para processadores AMD. Os clientes devem permitir que a mitigação receba proteções adicionais para o CVE-2017-5715.  Para mais informações, consulte a #15 da FAQ na ADV180002.

Permitir a proteção do usuário para o kernel em processadores AMD, juntamente com outras proteções para CVE 2017-5715 e proteções para CVE-2018-3639 (Desvio de loja especulativa):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se o recurso Hyper-V for instalado, adicione a seguinte configuração de registro:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se este é um host Hyper-V e as atualizações de firmware foram aplicadas: Desligar totalmente todas as máquinas virtuais. Isso permite que a mitigação relacionada ao firmware seja aplicada no hospedeiro antes do início dos VMs. Portanto, os VMs também são atualizados quando são reiniciados.

Reiniciar o computador para as alterações para ter efeito.

® Gerenciar a vulnerabilidade de Transsincronização Transacional (Intel® TSX) Vulnerabilidade de abortamento assíncrono de transações (CVE-2019-11135) e amostragem de dados microarquitetônicos (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) juntamente com Espectro [ CVE-2017-5753 e CVE-2017-5715 ] e Meltdown [ CVE-2017-5754 ] variantes, incluindo O Desvio especulativo da loja Disable (SSBD) [ CVE-2018-3639 ] bem como l1 falha terminal (L1TF) [ CVE-2018-3615, CVE-2018-3620, e CVE-2018-3646 ]

Para permitir mitigações® para a vulnerabilidade de Transsincronização Transacional (Intel® TSX) vulnerabilidade de abortamento assíncrono de transações(CVE-2019-11135)e amostragem de dados microquitetônicos ( CVE-2018-11091 , CVE-2018-12126 , C VE-2018-12127 , CVE-2018-12130 ) juntamente com spectre [CVE-2017-5753 & CVE-2017-5715] e Meltdown [CVE-2017-5754] variantes, incluindo especulativo Store Bypass Disable (SSBD) [CVE-2018-3639] bem como L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646] sem desativar o Hiper-Threading:

reg adicionar "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg adicionar "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se o recurso Hyper-V for instalado, adicione a seguinte configuração de registro:

reg adicionar "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se este é um host Hyper-V e as atualizações de firmware foram aplicadas: Desligar totalmente todas as máquinas virtuais. Isso permite que a mitigação relacionada ao firmware seja aplicada no hospedeiro antes do início dos VMs. Portanto, os VMs também são atualizados quando são reiniciados.

Reiniciar o computador para as alterações para ter efeito.

Para permitir mitigações para a vulnerabilidade intel® de extensãos transacionais de sincronização (Intel® TSX) vulnerabilidade de abortamento assíncrono de transações(CVE-2019-11135)e amostragem de dados microquitetônicos ( CVE-2018-11091 , CVE-2018-12126 , C VE-2018-12127 , CVE-2018-12130 ), juntamente com spectre [ CVE-2017-5753 & CVE-2017-5715 ] e Meltdown [ CVE-2017-5754 ] variantes, incluindo Speculative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] bem como L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620, e CVE-2018-3646 ] com hiper-threading desativado:

reg adicionar "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg adicionar "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se o recurso Hyper-V for instalado, adicione a seguinte configuração de registro:

reg adicionar "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se este é um host Hyper-V e as atualizações de firmware foram aplicadas: Desligar totalmente todas as máquinas virtuais. Isso permite que a mitigação relacionada ao firmware seja aplicada no hospedeiro antes do início dos VMs. Portanto, os VMs também são atualizados quando são reiniciados.

Reiniciar o computador para as alterações para ter efeito.

Para desativar mitigações para intel® extensões de sincronização transacional (Intel® TSX) vulnerabilidade de abortamento assíncrono de transações(CVE-2019-11135)e amostragem de dados microarquitetônicos ( CVE-2018-11091 , CVE-2018-12126 , C VE-2018-12127 , CVE-2018-12130 ), juntamente com spectre [ CVE-2017-5753 & CVE-2017-5715 ] e Meltdown [ CVE-2017-5754 ] variantes, incluindo Desvio especulativo da loja desativação (SSBD) [ CVE-2018-3639 ] bem como L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620, e CVE-2018-3646 ]:

reg adicionar "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg adicionar "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reiniciar o computador para as alterações para ter efeito.

Verificar se as proteções estão ativadas

Para ajudar os clientes a verificar se as proteções estão ativadas, a Microsoft publicou um script PowerShell que os clientes podem executar em seus sistemas. Instale e execute o script executando os seguintes comandos.

Verificação powershell usando a PowerShell Gallery (Windows Server 2016 ou WMF 5.0/5.1)

Instale o módulo PowerShell:

PS> Install-Module SpeculationControl

Executar o módulo PowerShell para verificar se as proteções estão habilitadas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Verificação powershell usando um download da Technet (versões anteriores do sistema operacional e versões anteriores do WMF)

Instale o módulo PowerShell do Technet ScriptCenter:

  1. Vá para https://aka.ms/SpeculationControlPS.

  2. Baixe speculationcontrol.zip para uma pasta local.

  3. Extraia o conteúdo para uma pasta local. Por exemplo: C:\ADV180002

Executar o módulo PowerShell para verificar se as proteções estão habilitadas:

Inicie o PowerShell e, em seguida, use o exemplo anterior para copiar e executar os seguintes comandos:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Para uma explicação detalhada da saída do script PowerShell, consulte o artigo 4074629 da Knowledge Base.

Perguntas mais frequentes

Para ajudar a evitar afetar negativamente os dispositivos do cliente, as atualizações de segurança do Windows que foram lançadas em janeiro e fevereiro de 2018 não foram oferecidas a todos os clientes. Para mais detalhes, consulte o artigo 4072699 da Base do Conhecimento da Microsoft.

O microcódigo é entregue através de uma atualização de firmware. Consulte o seu OEM sobre a versão de firmware que tem a atualização apropriada para o seu computador.

Existem várias variáveis que afetam o desempenho, que vão desde a versão do sistema até as cargas de trabalho que estão sendo executados. Para alguns sistemas, o efeito de desempenho será insignificante. Para outros, será considerável.

Recomendamos que você avalie os efeitos de desempenho em seus sistemas e faça ajustes conforme necessário.

Além das orientações que estão neste artigo sobre máquinas virtuais, você deve entrar em contato com seu provedor de serviços para garantir que os anfitriões que estão executando suas máquinas virtuais estejam adequadamente protegidos. Para as máquinas virtuais do Windows Server que estão sendo veiculadas no Azure, consulte orientação para mitigar as vulnerabilidades especulativas de canais laterais de execução no Azure. Para obter orientações sobre o uso do Gerenciamento de Atualização do Azure para mitigar esse problema em VMs convidados, consulte o artigo 4077467 da Microsoft Knowledge Base .

As atualizações que foram lançadas para imagens de contêineres do Windows Server para Windows Server 2016 e Windows 10, versão 1709 incluem as mitigações para esse conjunto de vulnerabilidades. Nenhuma configuração adicional é necessária. Nota Você ainda deve ter certeza de que o hospedeiro no qual esses contêineres estão sendo executados está configurado para permitir as mitigações apropriadas.

Não, a ordem de instalação não importa.

Sim, você deve reiniciar após a atualização do firmware (microcódigo) e, em seguida, novamente após a atualização do sistema.

Aqui estão os detalhes para as chaves do registro:

FeatureSettingsOverride representa um bitmap que substitui a configuração padrão e controla quais mitigações serão desativadas. Bit 0 controla a mitigação que corresponde ao CVE-2017-5715. O Bit 1 controla a mitigação que corresponde ao CVE-2017-5754. Os bits são definidos para 0 para permitir a mitigação e para 1 para desativar a mitigação.

FeatureSettingsOverrideMask representa uma máscara bitmap que é usada em conjunto com featureSettingsOverride.  Nessa situação, usamos o valor 3 (representado como 11 no sistema numeral binário ou base-2) para indicar os dois primeiros bits que correspondem às mitigações disponíveis. Esta chave de registro é definida como 3 para habilitar ou desativar as mitigações.

MinVmVersionForCpuBasedMitigations é para hosts Hyper-V. Esta chave de registro define a versão vm mínima necessária para que você use os recursos de firmware atualizados (CVE-2017-5715). Defina isso para 1.0 para cobrir todas as versões vm. Observe que este valor de registro será ignorado (benigno) em hosts não-Hyper-V. Para mais detalhes, consulte proteger máquinas virtuais convidadas do CVE-2017-5715 (injeção de alvo de ramificação) .

Sim, não há efeitos colaterais se essas configurações de registro forem aplicadas antes de instalar as correções relacionadas a janeiro de 2018.

Veja uma descrição detalhada da saída do script na saída do script Understanding Get-SpeculationControlSettings PowerShell.

Sim, para os hosts Hyper-V do Windows Server 2016 que ainda não têm a atualização de firmware disponível, publicamos orientações alternativas que podem ajudar a mitigar o VM a VM ou VM para hospedar ataques. Veja proteções alternativas para hosts hiper-V do Windows Server 2016 contra as vulnerabilidades especulativas do canal lateral de execução.

As atualizações de segurança apenas não são cumulativas. Dependendo da versão do sistema operacional, talvez seja necessário instalar várias atualizações de segurança para proteção total. Em geral, os clientes precisarão instalar as atualizações de janeiro, fevereiro, março e abril de 2018. Os sistemas que possuem processadores AMD precisam de uma atualização adicional, conforme mostrado na tabela a seguir:

Versão do sistema operacional

Atualização de segurança

Windows 8.1, Windows Server 2012 R2

4338815 - Rollup mensal

4338824 - Somente segurança

Windows 7 SP1, Windows Server 2008 R2 SP1 ou Windows Server 2008 R2 SP1 (instalação do Server Core)

4284826 - Rollup mensal

4284867 - Somente segurança

Windows Server 2008 SP2

4340583 - Atualização de segurança

Recomendamos que você instale as atualizações do Security Only na ordem de lançamento.

Nota   Uma versão anterior deste FAQ afirmou incorretamente que a atualização do February Security Only incluiu as correções de segurança que foram lançadas em janeiro. Na verdade, não.

Não. A atualização de segurança KB 4078130 foi uma correção específica para evitar comportamentos imprevisíveis do sistema, problemas de desempenho e reinicializações inesperadas após a instalação de microcódigo. A aplicação das atualizações de segurança nos sistemas operacionais do cliente Windows permite todas as três mitigações. Nos sistemas operacionais do Windows Server, você ainda precisa ativar as mitigações depois de fazer testes adequados. Para mais informações, consulte o artigo 4072698 da Microsoft Knowledge Base .

Esta questão foi resolvida em KB 4093118 .

Em fevereiro de 2018, a Intel anunciou que havia concluído suas validações e começou a lançar microcódigo para plataformas de CPU mais recentes. A Microsoft está disponibilizando atualizações de microcódigo validadas pela Intel que dizem respeito à Variante Espectro 2 Spectre Variant 2 (CVE-2017-5715 - "Injeção de alvo de ramificação"). O KB 4093836 lista artigos específicos da Knowledge Base por versão do Windows. Cada artigo específico do KB contém as atualizações disponíveis de microcódigo da Intel pela CPU.

11 de janeiro de 2018 A Intel relatou problemas em microcódigo lançado recentemente que foi feito para abordar a variante Spectre 2 (CVE-2017-5715 - "Injeção de Alvo de Ramo"). Especificamente, a Intel observou que este microcódigo pode causar " reinicializações maiores do que oesperado e outros comportamentos imprevisíveis do sistema " e que esses cenários podem causar "perda de dados ou corrupção." Nossa experiência é que a instabilidade do sistema pode causar perda de dados ou corrupção em algumas circunstâncias. Em 22 de janeiro, a Intel recomendou que os clientes parassem de implantar a versão atual do microcódigo nos processadores afetados, enquanto a Intel realiza testes adicionais na solução atualizada. Entendemos que a Intel continua a investigar o efeito potencial da versão atual do microcódigo. Incentivamos os clientes a rever suas orientações de forma contínua para informar suas decisões.

Enquanto a Intel testa, atualiza e implanta novos microcódigos, estamos disponibilizando uma atualização fora de banda (OOB), KB 4078130 , que desativa especificamente apenas a mitigação contra o CVE-2017-5715. Em nossos testes, esta atualização foi encontrada para evitar o comportamento descrito. Para a lista completa de dispositivos, consulte a orientação de revisão de microcódigo da Intel. Esta atualização abrange o Windows 7 Service Pack 1 (SP1), o Windows 8.1 e todas as versões do Windows 10, tanto do cliente quanto do servidor. Se você estiver executando um dispositivo afetado, essa atualização pode ser aplicada baixando-o do site do Catálogo de Atualização da Microsoft. A aplicação desta carga de pagamento desativa especificamente apenas a mitigação contra o CVE-2017-5715.

A partir deste momento, não há relatórios conhecidos que indiquem que esta Variante Spectre 2 (CVE-2017-5715 - "Injeção de Alvo de Ramificação") tem sido usada para atacar clientes. Recomendamos que, quando apropriado, os usuários do Windows repossibilitem a mitigação contra o CVE-2017-5715 quando a Intel informa que esse comportamento imprevisível do sistema foi resolvido para o seu dispositivo.

Em fevereiro de 2018, a Intelanunciou que concluiu suas validações e começou a lançar microcódigo para plataformas de CPU mais recentes. A Microsoft está disponibilizando atualizações de microcódigo validadas pela Intel que estão relacionadas à Variante Espectro 2 Spectre Variant 2 (CVE-2017-5715 - "Injeção de Alvo de Ramificação"). O KB 4093836 lista artigos específicos da Knowledge Base por versão do Windows. Os KBs listam atualizações disponíveis de microcódigo da Intel pela CPU.

Para mais informações, consulte as atualizações de segurança da AMD e o livro branco da AMD: Diretrizes de arquitetura em torno do Controle indireto de filiais. Estes estão disponíveis no canal firmware OEM.

Estamos disponibilizando atualizações de microcódigo validadas pela Intel que dizem respeito à Variante Spectre 2 (CVE-2017-5715 - "Injeção de Alvo de Ramificação"). Para obter as atualizações mais recentes do microcódigo da Intel por meio do Windows Update, os clientes devem ter instalado o microcódigo Intel em dispositivos que executam um sistema operacional Windows 10 antes de atualizar para a Atualização do Windows 10 abril 2018 (versão 1803).

A atualização do microcódigo também está disponível diretamente no Catálogo de Atualização da Microsoft se não for instalada no dispositivo antes de atualizar o sistema. O microcódigo Intel está disponível por meio do Windows Update, serviços de atualização do windows server (WSUS) ou do catálogo de atualização da Microsoft. Para mais informações e instruções de download, consulte KB 4100347 .

Para mais informações, consulte os seguintes recursos:

Veja as seções "Ações Recomendadas" e  "FAQ" da ADV180012 | Microsoft Orientação para desvio loja especulativa .

Para verificar o status do SSBD, o script Get-SpeculationControlSettingsPowerShell foi atualizado para detectar processadores afetados, status das atualizações do sistema operacional SSBD e o estado do microcódigo do processador, se aplicável. Para mais informações e para obter o script PowerShell, consulte KB 4074629 .

Em 13 de junho de 2018, uma vulnerabilidade adicional que envolve a execução especulativa do canal lateral, conhecida como Lazy FP State Restore,foi anunciada e atribuída cve-2018-3665 . Para obter informações sobre essa vulnerabilidade e ações recomendadas, consulte a Assessoria de Segurança ADV180016 | Orientação da Microsoft para restauração do estado fp preguiçoso .

Nota Não há configurações necessárias de configuração (registro) para restauração de FP de restauração preguiçosa.

Bounds Check Bypass Store (BCBS) foi divulgado em 10 de julho de 2018 e atribuído CVE-2018-3693 . Consideramos que a BCBS pertence à mesma classe de vulnerabilidades que o Bounds Check Bypass (Variante 1). Nós não estamos atualmente cientes de todos os exemplos de BCBS em nosso software. No entanto, continuamos a pesquisar essa classe de vulnerabilidade e trabalharemos com parceiros do setor para liberar mitigações conforme necessário. Nós incentivamos investigadores submeter todos os resultados relevantes ao programa especulativo da recompensa da canaleta lateral da execuçãão de Microsoft, incluindo todos os exemplos exploitable de BCBS. Os desenvolvedores de software devem revisar a orientação do desenvolvedor que foi atualizada para bcbs na c ++ developer orientação para a execução especulativa side canais.

Em 14 de agosto de 2018, l1 terminal falha (L1TF) foi anunciado e atribuído vários CVEs. Essas novas vulnerabilidades especulativas de canal lateral de execução podem ser usadas para ler o conteúdo da memória através de um limite confiável e, se exploradas, podem levar à divulgação de informações. Existem vários vetores pelos quais um invasor pode desencadear as vulnerabilidades, dependendo do ambiente configurado. O L1TF afeta processadores ® Intel Core® e processadores Xeon®® Intel®.

Para obter mais informações sobre essa vulnerabilidade e uma visão detalhada dos cenários afetados, incluindo a abordagem da Microsoft para mitigar o L1TF, veja os seguintes recursos:

As etapas para desativar o Hiper-Threading diferem de OEM para OEM, mas geralmente fazem parte das ferramentas bios ou de configuração de firmware.

Os clientes que usam processadores ARM de 64 bits devem entrar em contato com o OEM do dispositivo para suporte de firmware porque as proteções do sistema operacional ARM64 que mitigam o CVE-2017-5715 - Injeção de destino de ramificação (Spectre, Variant2) exigem que a mais recente atualização de firmware dos OEMs do dispositivo entre em vigor.

Consulte as orientações nas diretrizes do Windows para proteger contra vulnerabilidades especulativas de canal lateral de execução

Para obter mais informações sobre a habilitação da Retpoline, consulte nossa postagem no blog: Variante Mitigating Spectre 2 com Retpoline no Windows.

Para obter detalhes sobre essa vulnerabilidade, consulte o Guia de Segurança da Microsoft: CVE-2019-1125 | Vulnerabilidadede divulgação de informações do Windows Kernel .

Não estamos cientes de nenhuma instância dessa vulnerabilidade de divulgação de informações que afete nossa infraestrutura de serviço de nuvem.

Assim que nos tornamos conscientes desse problema, trabalhamos rapidamente para resolvê-lo e lançar uma atualização. Acreditamos firmemente em parcerias estreitas com pesquisadores e parceiros do setor para tornar os clientes mais seguros e não publicamos detalhes até terça-feira, 6 de agosto, consistentes com práticas coordenadas de divulgação de vulnerabilidades.

Outras orientações podem ser encontradas na orientação para desativar a capacidade de desativação da Intel® Extensões transacionais de sincronização (Intel® TSX).

Referências

Aviso de informação de terceiros

Os produtos de terceiros referidos neste artigo são fabricados por empresas independentes da Microsoft. A Microsoft não concede qualquer garantia, implícita ou de outra natureza, relativamente ao desempenho ou à fiabilidade destes produtos.

Precisa de mais ajuda?

Aumente os seus conhecimentos
Explore as formações
Seja o primeiro a obter novas funcionalidades
Aderir ao Microsoft insiders

As informações foram úteis?

Obrigado pelos seus comentários!

Obrigado pelo seu feedback! Parece que poderá ser benéfico reencaminhá-lo para um dos nossos agentes de suporte do Office.

×