Rezumat
Microsoft este conștient de o nouă clasă de făcut public de vulnerabilități cunoscute ca "speculativ executarea partea canal atacuri." Aceste probleme de vulnerabilitate afectează mai multe procesoare moderne și sisteme de operare. Aceasta include chipset Intel, AMD şi ARM.
Nu am primit încă informații pentru a indica faptul că aceste vulnerabilităţi au fost utilizate pentru a ataca clienților. Vom continua să coopereze strâns cu partenerii din domeniu pentru a proteja clienții. Aceasta include factorii de cipuri, OEM-uri hardware și furnizorii de aplicații. Pentru a obține toate protecție disponibile, sunt necesare actualizări hardware sau firmware-ul și software. Aceasta include microcod de dispozitiv OEM și, în unele cazuri, actualizări pentru software-ul antivirus. Am emis mai multe actualizări pentru a diminua aceste vulnerabilităţi. Mai multe informații despre vulnerabilităţile pot fi găsite în Microsoft Security Advisory ADV180002. Pentru indicații generale, consultați, de asemenea, indicații pentru atenuarea vulnerabilitățile de canal de partea speculativ executarea. De asemenea, au efectuat acțiuni pentru a contribui la securizarea noastre servicii cloud. Consultați următoarele secțiuni pentru mai multe detalii.
Afectate versiuni de Exchange Server
Deoarece acestea sunt atacuri de nivel hardware care vizează sistemele x64 și x86 procesor, toate versiunile de Microsoft Exchange Server sunt afectate de această problemă.
Recomandări
Următorul tabel descrie acțiunile recomandate pentru clienții Exchange Server. Nu există actualizări specifice Exchange care sunt necesare în prezent. Cu toate acestea, vă recomandăm că clienții se execută întotdeauna cea mai recentă actualizare cumulativă Exchange Server și toate actualizările de securitate necesare. Vă recomandăm să implementați remedieri prin utilizarea de proceduri ususal pentru a valida nou binare înainte de a le implementa la medii de producție.
|
Scenariu |
Descrierea |
Recomandări |
|
1 |
Exchange Server se execută pe bare metal (fără maşini virtuale) și fără alte logica aplicației de încredere (nivelul aplicație) se execută pe același computer bare metal.
|
Aplicați toate sistem și Exchange Server actualizări după testarea de obicei pre-producție validare. Activarea Kernel Virtual adresă Shadowing (KVAS) nu este necesară (consultați secțiunea asociate mai târziu în acest articol). |
|
2 |
Exchange Server se execută pe o mașină virtuală într-un mediu de găzduire publice (cloud). |
Pentru Azure: Microsoft a postat detalii despre afluxului eforturile pentru Azure (consultați KB 4073235 pentru informații detaliate). Pentru alți furnizori de cloud: se referă la îndrumarea lor. Consultați sfaturi mai târziu în acest articol despre dacă se activează KVAS. |
|
3 |
Exchange Server se execută pe o mașină virtuală într-un mediu de găzduire privată. |
Consultați documentația de securitate hypervisor pentru cele mai bune practici de securitate. Consultaţi KB 4072698 pentru Windows Server și Hyper-V. Vă recomandăm să instalați toate actualizările de sistem de operare pe vizitator VM. Consultați sfaturi mai târziu în acest articol despre dacă se activează KVAS. |
|
4 |
Exchange Server se execută pe un fizic sau o mașină virtuală și nu este izolat de la alte logica aplicației care se execută pe același sistem.
|
Vă recomandăm să instalați toate actualizările de sistem de operare. Consultați sfaturi mai târziu în acest articol articol despre dacă se activează KVAS. |
Performanță consultanță
Recomandăm tuturor clienților să evalueze performanțele mediul dvs. specific atunci când se aplică actualizările.
Soluții care sunt furnizate de Microsoft pentru tipurile de vulnerabilități care sunt discutate aici va utiliza mecanisme de software pentru a proteja împotriva cross procesul de acces la date. Recomandăm tuturor clienților să instalați versiunea actualizată de Exchange Server și Windows. Acest lucru ar trebui să aibă un efect minim de performanță, pe baza testărilor Microsoft de schimb de lucru.
Am au măsurat efectul de nucleu Virtual adresă Shadowing (KVAS) pe diferite de lucru. Am găsit că unele de lucru experimenta o scădere semnificativă a performanței. Exchange Server este unul dintre aceste lucru care pot produce o scădere semnificativă dacă KVAS este activată. Serverele care arată înalt de utilizare CPU sau modelele de utilizare ridicată I/O sunt așteptați să arate ca efect mai mare. Vă recomandăm să evaluați mai întâi efectul performanță activarea KVAS prin executarea testelor într-un laborator care reprezintă nevoile de producție înainte de a implementa într-un mediu de producție. Dacă activarea KVAS efectul performanță este prea mare, luați în considerare dacă izolarea Exchange Server de cod de încredere, care se execută pe același sistem este o mai bună reducere pentru aplicație.
Pe lângă KVAS, informații despre performanță efectul din ramură Target injectare afluxului suportul hardware (IBC) este detaliat aici. Un server care execută Exchange Server și care are o soluție IBC implementat la ea pot apărea o scădere semnificativă a performanței dacă IBC este activată.
Am anticipat că furnizorii hardware va oferi actualizări pentru produsele lor sub formă de actualizări de microcod. Experienţa noastră cu Exchange indică faptul că actualizări de microcod va crește performanța drop. Măsura în care se întâmplă acest lucru este foarte dependentă de componentele și design de sistem pe care sunt aplicate. Considerăm că nici o singură soluție, dacă software-ul sau hardware-, este suficient pentru a trata acest tip de vulnerabilitate în sine. Vă recomandăm să evalueze performanțele tuturor actualizărilor pentru variabilitate în sistem de proiectare și performanță înainte de a le pune în producție. Echipa Exchange nu este de planificare pentru a actualiza calculatorul dimensionare utilizată de clienții pentru cont pentru performanță diferențe în prezent. Calcule de acest instrument va ia în considerare toate modificările de performanță care sunt legate de remedieri pentru aceste probleme. Vom continua să evaluați acest instrument și ajustări care credem că pot fi necesare, pe baza noastre de utilizare și a clienților.
Vom actualiza această secțiune ca devin disponibile mai multe informații.
Activarea Kernel adrese virtuale Shadowing
Exchange Server se execută în multe medii, inclusiv sisteme fizice, virtuale poate să fie în mediile cloud private și publice, și sisteme de operare Windows. Indiferent de mediu, programul se află pe un sistem fizic sau un VM. Acest mediu, fizic sau virtual, este cunoscut sub numele de securitate limită.
Dacă tot codul în limita are acces la toate datele în acea limita, nu este necesară nicio acțiune. Dacă nu este cazul, limita se spune că este tip. Vulnerabilități pe care s-au găsit fac posibilă orice cod care se execută în orice proces în acea limita să citească orice alte date în acea limita. Acest lucru este adevărat chiar sub permisiuni redusă. Dacă orice proces în limita este executat cod de încredere , acest proces ar putea folosi aceste vulnerabilităţi să citească date de alte procese.
Pentru a vă proteja împotriva cod de încredere într-o limită de tip, procedați într-unul din modurile următoare:
-
Eliminați codul de încredere.
-
Activați KVAS pentru a proteja împotriva procesul pentru procesul de citire. Aceasta va avea un efect de performanță. Consultați secțiunile anterioare în acest articol pentru informații detaliate.
Pentru mai multe informații despre cum se activează KVAS pentru Windows, consultați KB 4072698.
Scenarii de exemplu (KVAS este recomandat)
Scenariul 1
Un VM Azure se execută un serviciu în care nu prezintă încredere utilizatorii pot remite codul JavaScript care se execută prin având limitat permisiuni. Pe același VM, Exchange Server se execută și gestionarea datelor care nu ar trebui să fie accesibilă pentru utilizatorii respectivi de încredere. În această situație, KVAS este necesar pentru a proteja împotriva dezvăluirea între două entități.
Scenariul 2
Un sistem local fizic, care găzduiește Exchange Server poate executa încredere script-uri terțe sau executabile. Este necesar să activați KVAS pentru a proteja împotriva dezvăluirea de date Exchange pentru script sau executabil.
Notă Doar pentru că se utilizează un mecanism de extensibilitate în Exchange Server, care nu automat face nesigure. Aceste mecanisme poate fi utilizat în siguranță în Exchange Server cât timp fiecare dependență este înțeles și de încredere. În plus, există alte produse care se bazează pe Exchange Server care pot necesita mecanismele de extensibilitate să funcționeze corect. În schimb, ca prima acţiune, examinați fiecare utilizare pentru a determina dacă codul este înțeles și de încredere. Acest ghid este furnizat pentru a ajuta clienții să determinați dacă ele trebuie să activați KVAS din cauza implicații performanțe mai mari.
Activarea ramură Target injectare afluxului (IBC) suportul Hardware
IBC Diminuează împotriva CVE 2017-5715, cunoscut și ca o jumătate de Spectre sau "varianta 2" în dezvăluirea GPZ.
Aceste instrucțiuni pentru activarea KVAS pe Windows, de asemenea, posibilitatea să activați IBC. Cu toate acestea, IBC necesită, de asemenea, o actualizare de firmware-ul de la producătorul de hardware. Pe lângă instrucțiunile din KB 4072698 pentru a activa protecție în Windows, clienţii au pentru a obține și instala actualizări de la producătorul de hardware-ul lor.
Exemplu de scenariu (IBC este recomandat)
Scenariul 1
Într-un local fizic sistem care găzduiește Exchange Server încredere utilizatorilor li se încărca și executa cod arbitrar JavaScript. În acest scenariu, se recomandă insistent să IBC pentru a proteja împotriva dezvăluirea informațiilor procesul pentru procesul.
În situații în care IBC suportul hardware nu este prezentă, se recomandă ca separați procesul de încredere pe diferite fizice sau mașini virtuale și procese de încredere.
Mecanismele de extensibilitate încredere Exchange Server
Exchange Server include caracteristici extensibilitate şi mecanisme. Multe dintre acestea se bazează pe API-uri care nu se permite cod de încredere se execută pe serverul care execută Exchange Server. Agenți de transport și Exchange Management Shell poate permite cod de încredere pentru a executa pe un server care execută Exchange Server în anumite situații. În toate cazurile, cu excepția agenți de Transport, caracteristicile de extensibilitate necesită autentificare înainte pot fi utilizate. Vă recomandăm să utilizați caracteristicile de extensibilitate care sunt limitate la set minim de binare ori de câte ori este cazul. De asemenea, vă recomandăm că clienții restricționa accesul la serverul pentru a evita executarea unui cod arbitrar pe sisteme același ca Exchange Server. Recomandăm să determinați dacă fiecare binar de încredere. Ar trebui să dezactivați sau eliminați binare de încredere. De asemenea ar trebui să asigurați-vă că gestionarea interfețe nu sunt expuse pe Internet.
Orice terț acest articol sunt fabricate de companii independente de Microsoft. Microsoft nu garantează în niciun fel, implicit sau în alt mod, funcționarea sau fiabilitatea acestor produse.
