Notă: Acest articol va fi actualizat pe măsură ce devin disponibile informații suplimentare. Reveniți aici în mod regulat pentru actualizări și întrebări frecvente noi.

Vulnerabilităţi

Acest articol tratează următoarele vulnerabilități de execuție speculativă:

Windows Update va furniza, de asemenea, atenuări pentru Internet Explorer și Edge. Vom continua să îmbunătățim aceste atenuări împotriva acestei clase de vulnerabilități.

Pentru a afla mai multe despre această clasă de vulnerabilități, consultați

Pe 14 mai 2019, Intel a publicat informații despre o nouă subclasă de vulnerabilități de canal lateral cu execuție speculativă, cunoscută drept Eșantionare microarchitecturală a datelor și documentată în ADV190013 | Eșantionare date microarchitectural. Lor li s-au atribuit următoarele CV-uri:

Important: Aceste probleme vor afecta alte sisteme, cum ar fi Android, Chrome, iOS și MacOS. Recomandăm clienților să solicite îndrumări de la acești furnizori.

Microsoft a lansat actualizări pentru a ajuta la atenuarea acestor vulnerabilități. Pentru a obține toate protecțiile disponibile, sunt necesare actualizări de firmware (microcod) și software. Acesta poate include microcodul de la producătorii OEM ai dispozitivului. În unele cazuri, instalarea acestor actualizări va avea un impact de performanță. De asemenea, am acționat pentru a ne securiza serviciile cloud. Vă recomandăm ferm să implementați aceste actualizări.

Pentru mai multe informații despre această problemă, consultați următoarele Sfaturi de securitate și utilizați instrucțiuni bazate pe scenarii pentru a determina acțiunile necesare pentru a atenua amenințarea:

Notă: Vă recomandăm să instalați toate actualizările cele mai recente de la Windows Update înainte de a instala orice actualizări de microcod.

Pe 6 august 2019 Intel a lansat detalii despre vulnerabilitatea dezvăluirii informațiilor despre kernelul Windows. Această vulnerabilitate este o variantă a vulnerabilității de canal lateral cu execuție speculativă Spectre varianta 1 și a fost atribuit CVE-2019-1125.

Pe 9 iulie 2019 am lansat actualizări de securitate pentru sistemul de operare Windows, pentru a ajuta la atenuarea acestei probleme. Rețineți că am susținut documentarea publicului a acestei atenuări până la dezvăluirea coordonată a domeniului, marți, 6 august 2019.

Clienții care au Windows Update activat și au aplicat actualizările de securitate lansate pe 9 iulie 2019 sunt protejați automat. Nu mai este necesară configurarea ulterioară.

Notă: Această vulnerabilitate nu necesită o actualizare de microcod de la producătorul dispozitivului (OEM).

Pentru mai multe informații despre această vulnerabilitate și actualizările aplicabile, consultați Ghidul actualizărilor de securitate Microsoft:

Pe 12 noiembrie 2019, Intel a publicat o recomandare tehnică privind vulnerabilitatea de abandonare asincronă a tranzacțiilor Intel® TransactionAl Extensions (Intel TSX) atribuită CVE-2019-11135. Microsoft a lansat actualizări pentru a ajuta la atenuarea acestei vulnerabilități, iar protecțiile sistemului de operare sunt activate în mod implicit pentru Windows Server 2019, dar sunt dezactivate implicit pentru Windows Server 2016 și edițiile anterioare ale sistemului de operare Windows Server.

Pe 14 iunie 2022, am publicat ADV220002 | Instrucțiuni Microsoft privind vulnerabilitățile de date învechite MMIO ale procesorului Intel și atribuite aceste CV-uri: 

Acțiuni recomandate

Ar trebui să efectuați următoarele acțiuni pentru a contribui la protejarea împotriva vulnerabilităților:

  1. Aplicați toate actualizările disponibile ale sistemului de operare Windows, inclusiv actualizările de securitate Windows lunare.

  2. Aplicați actualizarea de firmware aplicabilă (microcod) furnizată de producătorul dispozitivului.

  3. Evaluați riscul pentru mediul dvs. pe baza informațiilor furnizate în recomandările Microsoft de securitate: ADV180002, ADV180012, ADV190013 și ADV220002, pe lângă informațiile furnizate în acest bază de cunoștințe articol.

  4. Acționați după cum este necesar, utilizând recomandările și informațiile despre cheia de registry furnizate în acest bază de cunoștințe articol.

Notă: Clienții Surface vor primi o actualizare de microcod prin Windows Update. Pentru o listă a celor mai recente actualizări de firmware dispozitiv Surface (microcod), consultați KB4073065.

Setări de atenuare pentru Windows Server și Azure Stack HCI

Recomandările de securitate ADV180002, ADV180012, ADV190013 și ADV220002 oferă informații despre riscul reprezentat de aceste vulnerabilități. De asemenea, vă ajută să identificați vulnerabilitățile și să identificați starea implicită a atenuărilor pentru sistemele Windows Server. Tabelul de mai jos rezumă cerința de microcod CPU și starea implicită a atenuării pe Windows Server.

CVE

Necesită microcod/firmware CPU?

Stare implicită atenuare

CVE-2017-5753

Nu

Activat în mod implicit (nicio opțiune de dezactivare)

Consultați ADV180002 pentru informații suplimentare

CVE-2017-5715

Da

Dezactivat în mod implicit.

Consultați ADV180002 pentru informații suplimentare și acest articol kb pentru setările de cheie de registry aplicabile.

Notă Opțiunea "Retpoline" este activată implicit pentru dispozitivele care rulează Windows 10 1809 sau o versiune mai recentă, dacă este activat Spectre varianta 2 (CVE-2017-5715). Pentru mai multe informații despre "Retpoline", urmați Atenuarea Spectre varianta 2 cu Retpoline pe postarea de blog Windows .

CVE-2017-5754

Nu

Windows Server 2019, Windows Server 2022 și Azure Stack HCI: activat în mod implicit.
Windows Server 2016 și versiunile anterioare: dezactivat în mod implicit.

Consultați ADV180002 pentru informații suplimentare.

CVE-2018-3639

Intel: Da

AMD: Nu

Dezactivat în mod implicit. Consultați ADV180012 pentru mai multe informații și acest articol pentru setările cheii de registry aplicabile.

CVE-2018-11091

Intel: Da

Windows Server 2019, Windows Server 2022 și Azure Stack HCI: activat în mod implicit.
Windows Server 2016 și versiunile anterioare: dezactivat în mod implicit.

Consultați ADV190013 pentru mai multe informații și acest articol pentru setările cheii de registry aplicabile.

CVE-2018-12126

Intel: Da

Windows Server 2019, Windows Server 2022 și Azure Stack HCI: activat în mod implicit.
Windows Server 2016 și versiunile anterioare: dezactivat în mod implicit.

Consultați ADV190013 pentru mai multe informații și acest articol pentru setările cheii de registry aplicabile.

CVE-2018-12127

Intel: Da

Windows Server 2019, Windows Server 2022 și Azure Stack HCI: activat în mod implicit.
Windows Server 2016 și versiunile anterioare: dezactivat în mod implicit.

Consultați ADV190013 pentru mai multe informații și acest articol pentru setările cheii de registry aplicabile.

CVE-2018-12130

Intel: Da

Windows Server 2019, Windows Server 2022 și Azure Stack HCI: activat în mod implicit.
Windows Server 2016 și versiunile anterioare: dezactivat în mod implicit.

Consultați ADV190013 pentru mai multe informații și acest articol pentru setările cheii de registry aplicabile.

CVE-2019-11135

Intel: Da

Windows Server 2019, Windows Server 2022 și Azure Stack HCI: activat în mod implicit.
Windows Server 2016 și versiunile anterioare: dezactivat în mod implicit.

Consultați CVE-2019-11135 pentru mai multe informații și acest articol pentru setările de cheie de registry aplicabile.

CVE-2022-21123 (parte din MMIO ADV220002)

Intel: Da

Windows Server 2019, Windows Server 2022 și Azure Stack HCI: activat în mod implicit. 
Windows Server 2016 și versiunile anterioare: dezactivat în mod implicit.* 

Consultați CVE-2022-21123 pentru mai multe informații și acest articol pentru setările cheii de registry aplicabile.

CVE-2022-21125 (parte din MMIO ADV220002)

Intel: Da

Windows Server 2019, Windows Server 2022 și Azure Stack HCI: activat în mod implicit. 
Windows Server 2016 și versiunile anterioare: dezactivat în mod implicit.* 

Consultați CVE-2022-21125 pentru mai multe informații.

CVE-2022-21127 (parte din MMIO ADV220002)

Intel: Da

Windows Server 2019, Windows Server 2022 și Azure Stack HCI: activat în mod implicit. 
Windows Server 2016 și versiunile anterioare: dezactivat în mod implicit.* 

Consultați CVE-2022-21127 pentru mai multe informații.

CVE-2022-21166 (parte din MMIO ADV220002)

Intel: Da

Windows Server 2019, Windows Server 2022 și Azure Stack HCI: activat în mod implicit. 
Windows Server 2016 și versiunile anterioare: dezactivat în mod implicit.* 

Consultați CVE-2022-21166 pentru mai multe informații.

CVE-2022-23825 (confuzie de tip ramificație CPU AMD)

AMD: Nu

Consultați CVE-2022-23825 pentru mai multe informații și acest articol pentru setările cheii de registry aplicabile.

CVE-2022-23816 (confuzie de tip ramificație CPU AMD)

AMD: Nu

Consultați CVE-2022-23816 pentru mai multe informații și acest articol pentru setările de cheie de registry aplicabile.

*Urmați instrucțiunile de atenuare pentru Meltdown de mai jos.

Dacă doriți să obțineți toate protecțiile disponibile împotriva acestor vulnerabilități, trebuie să efectuați modificări de cheie de registry pentru a activa aceste atenuări care sunt dezactivate în mod implicit.

Activarea acestor atenuări poate afecta performanța. Scala efectelor de performanță depinde de mai mulți factori, cum ar fi chipsetul specific din gazda dvs. fizică și de volumul de lucru care rulează. Vă recomandăm să evaluați efectele de performanță pentru mediul dvs. și să efectuați ajustările necesare.

Serverul este în pericol sporit dacă se află într-una dintre următoarele categorii:

  • Gazde Hyper-V: Necesită protecție pentru atacurile VM-to-VM și VM-to-host.

  • Gazde servicii desktop la distanță (RDSH): necesită protecție de la o sesiune la alta sau de la atacuri de la sesiune la gazdă.

  • Gazde fizice sau mașini virtuale care rulează cod care nu sunt de încredere, cum ar fi containere sau extensii care nu sunt de încredere pentru baza de date, conținut web care nu este de încredere sau volume de lucru care rulează cod din surse externe. Acestea necesită protecție împotriva atacurilor proces-la-alt proces care nu sunt de încredere sau a atacurilor care nu sunt de încredere de la proces la kernel.

Utilizați următoarele setări de cheie de registry pentru a activa atenuările pe server și reporniți dispozitivul pentru ca modificările să aibă efect.

Notă: În mod implicit, activarea atenuării dezactivate poate afecta performanța. Efectul real de performanță depinde de mai mulți factori, cum ar fi chipsetul specific din dispozitiv și de volumul de lucru care rulează.

Setări registry

Important: Furnizăm următoarele informații de registry pentru a activa atenuările care nu sunt activate în mod implicit, după cum se arată în Recomandările de securitate ADV180002, ADV180012, ADV190013 și ADV220002.

În plus, oferim setările cheii de registry dacă doriți să dezactivați atenuările legate de CVE-2017-5715 și CVE-2017-5754 pentru clienții Windows.

Important: Această secțiune, metodă sau activitate conține pași care vă indică modalități de modificare a registry. Totuși, dacă modificați incorect sistemul registry, pot apărea probleme serioase. De aceea, asiguraţi-vă că urmaţi aceşti paşi cu atenţie. Pentru o protecție mai bună, înainte de a face modificări, realizați o copie de rezervă a sistemului registry. După aceea, sistemul registry poate fi restaurat dacă apare o problemă. Pentru mai multe informații despre cum să faceți backup și să restaurați registry, faceți clic pe următorul număr de articol pentru a vedea articolul în Microsoft bază de cunoștințe:

322756 Cum să faceți backup și să restaurați registry în Windows

Important: În mod implicit, Retpoline este activat pe serverele Windows 10, versiunea 1809 dacă este activat Spectre, varianta 2 (CVE-2017-5715). Activarea Retpoline pe cea mai recentă versiune de Windows 10 poate îmbunătăți performanța pe serverele care rulează Windows 10, versiunea 1809 pentru Spectre varianta 2, în special pe procesoare mai vechi.

Pentru a activa atenuările pentru CVE-2017-5715 (Spectre varianta 2) și CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Dacă este instalată caracteristica Hyper-V, adăugați următoarea setare de registry:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Dacă aceasta este o gazdă Hyper-V și s-au aplicat actualizările de firmware: Închideți complet toate Mașini virtuale. Acest lucru permite aplicarea atenuării legate de firmware pe gazdă înainte de pornirea mașinilor virtuale. Prin urmare, mașinile virtuale sunt actualizate și atunci când sunt repornite.

Reporniți dispozitivul pentru ca modificările să aibă efect.

Pentru a dezactiva atenuările pentru CVE-2017-5715 (Spectre varianta 2) și CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reporniți dispozitivul pentru ca modificările să aibă efect.

Notă: Setarea FeatureSettingsOverrideMask la 3 este corectă atât pentru setările "enable" (activare), cât și pentru "disable". (Consultați secțiunea "Întrebări frecvente " pentru mai multe detalii despre cheile de registry.)

Pentru a dezactiva varianta 2: (CVE-2017-5715  "Injectare țintă ramură") atenuare:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reporniți dispozitivul pentru ca modificările să aibă efect.

Pentru a activa varianta 2: (CVE-2017-5715  "Injectare țintă ramură") atenuare:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reporniți dispozitivul pentru ca modificările să aibă efect.

În mod implicit, protecția utilizator-la-kernel pentru CVE-2017-5715 este dezactivată pentru CPU-urile AMD. Clienții trebuie să activeze atenuarea pentru a primi protecții suplimentare pentru CVE-2017-5715.  Pentru mai multe informații, consultați Întrebări frecvente #15 în ADV180002.

Activați protecția utilizator-kernel pe procesoarele AMD, împreună cu alte protecții pentru CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Dacă este instalată caracteristica Hyper-V, adăugați următoarea setare de registry:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Dacă aceasta este o gazdă Hyper-V și s-au aplicat actualizările de firmware: Închideți complet toate Mașini virtuale. Acest lucru permite aplicarea atenuării legate de firmware pe gazdă înainte de pornirea mașinilor virtuale. Prin urmare, mașinile virtuale sunt actualizate și atunci când sunt repornite.

Reporniți dispozitivul pentru ca modificările să aibă efect.

Pentru a activa atenuările pentru CVE-2018-3639 (ocolire Store speculativă), CVE-2017-5715 (Spectre varianta 2) și CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Dacă este instalată caracteristica Hyper-V, adăugați următoarea setare de registry:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Dacă aceasta este o gazdă Hyper-V și s-au aplicat actualizările de firmware: Închideți complet toate Mașini virtuale. Acest lucru permite aplicarea atenuării legate de firmware pe gazdă înainte de pornirea mașinilor virtuale. Prin urmare, mașinile virtuale sunt actualizate și atunci când sunt repornite.

Reporniți dispozitivul pentru ca modificările să aibă efect.

Pentru a dezactiva atenuările pentru CVE-2018-3639 (Ocolire Store speculativă) ȘI atenuările pentru CVE-2017-5715 (Spectre varianta 2) și CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reporniți dispozitivul pentru ca modificările să aibă efect.

În mod implicit, protecția utilizator-la-kernel pentru CVE-2017-5715 este dezactivată pentru procesoarele AMD. Clienții trebuie să activeze atenuarea pentru a primi protecții suplimentare pentru CVE-2017-5715.  Pentru mai multe informații, consultați Întrebări frecvente #15 în ADV180002.

Activați protecția utilizator-la-kernel pe procesoarele AMD, împreună cu alte protecții pentru CVE 2017-5715 și protecții pentru CVE-2018-3639 (ocolire Store speculativă):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Dacă este instalată caracteristica Hyper-V, adăugați următoarea setare de registry:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Dacă aceasta este o gazdă Hyper-V și s-au aplicat actualizările de firmware: Închideți complet toate Mașini virtuale. Acest lucru permite aplicarea atenuării legate de firmware pe gazdă înainte de pornirea mașinilor virtuale. Prin urmare, mașinile virtuale sunt actualizate și atunci când sunt repornite.

Reporniți dispozitivul pentru ca modificările să aibă efect.

Pentru a activa atenuările pentru vulnerabilitatea de abandonare asincronă a tranzacțiilor Intel Transaction Extensions (Intel TSX) (CVE-2019-11135) și eșantionarea datelor microarchitectural ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) împreună cu Spectre [CVE-2017-5753 & CVE-2017-5715] și Meltdown [CVE-2017-5754] variante, inclusiv Dezactivare ocolire Store speculativă (SSBD) [CVE-2018-3639 ] ca precum și L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 și CVE-2018-3646] fără a dezactiva hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Dacă este instalată caracteristica Hyper-V, adăugați următoarea setare de registry:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Dacă aceasta este o gazdă Hyper-V și s-au aplicat actualizările de firmware: Închideți complet toate Mașini virtuale. Acest lucru permite aplicarea atenuării legate de firmware pe gazdă înainte de pornirea mașinilor virtuale. Prin urmare, mașinile virtuale sunt actualizate și atunci când sunt repornite.

Reporniți dispozitivul pentru ca modificările să aibă efect.

Pentru a activa atenuările pentru vulnerabilitatea de abandonare asincronă a tranzacțiilor Intel Transaction Extensions (Intel TSX) (CVE-2019-11135) și eșantionarea datelor microarchitectural ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) împreună cu Spectre [ CVE-2017-5753 & CVE-2017-5715 ] și Meltdown [ CVE-2017-5754 ] variante, inclusiv Bypass Store Speculative Disable (SSBD) [ CVE-2018-3639 ] ca precum și L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620 și CVE-2018-3646 ] cu Hyper-Threading dezactivate:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Dacă este instalată caracteristica Hyper-V, adăugați următoarea setare de registry:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Dacă aceasta este o gazdă Hyper-V și s-au aplicat actualizările de firmware: Închideți complet toate Mașini virtuale. Acest lucru permite aplicarea atenuării legate de firmware pe gazdă înainte de pornirea mașinilor virtuale. Prin urmare, mașinile virtuale sunt actualizate și atunci când sunt repornite.

Reporniți dispozitivul pentru ca modificările să aibă efect.

Pentru a dezactiva atenuările pentru vulnerabilitatea de abandonare asincronă a tranzacțiilor Intel Transaction Extensions (Intel TSX) (CVE-2019-11135) și eșantionarea datelor microarchitectural ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) împreună cu Spectre [ CVE-2017-5753 & CVE-2017-5715 ] și Meltdown [ CVE-2017-5754 ] variante, inclusiv ocolirea Store speculativă dezactivată (SSBD) [ CVE-2018-3639 ] ca precum și L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620 și CVE-2018-3646 ]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reporniți dispozitivul pentru ca modificările să aibă efect.

Activați protecția utilizator-kernel pe procesoareLE AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Pentru a fi complet protejați, clienții pot avea nevoie, de asemenea, să dezactiveze Hyper-Threading (numit și Multi Threading simultan (SMT)). Consultați KB4073757pentru instrucțiuni despre protejarea dispozitivelor Windows.

Se verifică dacă sunt activate protecțiile

Pentru a verifica dacă sunt activate protecțiile, am publicat un script PowerShell pe care îl puteți rula pe dispozitivele dvs. Instalați și rulați scriptul utilizând una dintre metodele următoare.

Instalați modulul PowerShell:

PS> Install-Module SpeculationControl

Rulați modulul PowerShell pentru a verifica dacă sunt activate protecțiile:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Instalați modulul PowerShell din Technet ScriptCenter:

  1. Accesați https://aka.ms/SpeculationControlPS .

  2. Descărcați SpeculationControl.zip într-un folder local.

  3. Extrageți conținutul într-un folder local. De exemplu: C:\ADV180002

Rulați modulul PowerShell pentru a verifica dacă sunt activate protecțiile:

Porniți PowerShell, apoi utilizați exemplul anterior pentru a copia și a rula următoarele comenzi:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Pentru o explicație detaliată a ieșirii scriptului PowerShell, consultați KB4074629

Întrebări frecvente

Pentru a evita afectarea dispozitivelor clienților, actualizările de securitate Windows care au fost lansate în ianuarie și februarie 2018 nu au fost oferite tuturor clienților. Pentru detalii, consultați KB407269 .

Microcodul este livrat printr-o actualizare de firmware. Consultați producătorul OEM în legătură cu versiunea de firmware care are actualizarea corespunzătoare pentru computerul dvs.

Există mai multe variabile care afectează performanța, de la versiunea de sistem la volumele de lucru care rulează. Pentru unele sisteme, efectul de performanță va fi neglijabil. Pentru alții, va fi considerabil.

Vă recomandăm să evaluați efectele de performanță asupra sistemelor dvs. și să efectuați ajustări după cum este necesar.

În plus față de instrucțiunile din acest articol privind mașinile virtuale, trebuie să contactați furnizorul de servicii pentru a vă asigura că gazdele care rulează mașinile virtuale sunt protejate corespunzător.

Pentru mașinile virtuale Windows Server care rulează în Azure, consultați Instrucțiuni pentru atenuarea vulnerabilităților de canal lateral cu execuție speculativă din Azure . Pentru instrucțiuni despre utilizarea Azure Update Management pentru a atenua această problemă pe mașinile virtuale invitate, consultați KB4077467.

Actualizările care au fost lansate pentru imaginile container Windows Server pentru Windows Server 2016 și Windows 10, versiunea 1709 includ atenuările pentru acest set de vulnerabilități. Nu este necesară nicio configurare suplimentară.

Notă Trebuie să vă asigurați în continuare că gazda pe care rulează aceste containere este configurată să activeze atenuările corespunzătoare.

Nu, ordinea de instalare nu contează.

Da, trebuie să reporniți după actualizarea de firmware (microcod) și apoi din nou după actualizarea de sistem.

Iată detaliile pentru cheile de registry:

FeatureSettingsOverride reprezintă un bitmap care înlocuiește setarea implicită și controlează atenuările care vor fi dezactivate. Bit 0 controlează atenuarea care corespunde CVE-2017-5715. Bit 1 controlează atenuarea care corespunde CVE-2017-5754. Biții sunt setați la 0 pentru a activa atenuarea și la 1 pentru a dezactiva atenuarea.

FeatureSettingsOverrideMask reprezintă o mască bitmap care este utilizată împreună cu FeatureSettingsOverride.  În această situație, utilizăm valoarea 3 (reprezentată ca 11 în sistemul numeric binar sau numeral în baza 2) pentru a indica primii doi biți care corespund atenuării disponibile. Această cheie de registry este setată la 3 atât pentru a activa, cât și pentru a dezactiva atenuările.

MinVmVersionForCpuBasedMitigations este pentru gazdele Hyper-V. Această cheie de registry definește versiunea VM minimă necesară pentru a utiliza capacitățile firmware actualizate (CVE-2017-5715). Setați această setare la 1.0 pentru a acoperi toate versiunile VM. Observați că această valoare de registry va fi ignorată (benignă) pe gazdele non-Hyper-V. Pentru mai multe detalii, consultați Protejarea mașinilor virtuale invitat de CVE-2017-5715 (injectare țintă pentru ramură).

Da, nu există efecte secundare dacă aceste setări de registry se aplică înainte de a instala remedierile legate de ianuarie 2018.

Consultați o descriere detaliată a ieșirii scriptului la KB4074629: Înțelegerea ieșirii scriptului PowerShell SpeculationControl .

Da, pentru gazdele Hyper-V Windows Server 2016 care nu au încă actualizarea de firmware disponibilă, am publicat instrucțiuni alternative care pot ajuta la atenuarea mașinii virtuale la VM sau VM pentru a găzdui atacuri. Consultați Protecții alternative pentru gazdele Hyper-V Windows Server 2016 împotriva vulnerabilităților de canal lateral cu execuție speculativă .

Actualizările numai pentru securitate nu sunt cumulative. În funcție de versiunea sistemului de operare, poate fi necesar să instalați mai multe actualizări de securitate pentru protecție completă. În general, clienții vor trebui să instaleze actualizările din ianuarie, februarie, martie și aprilie 2018. Sistemele care au procesoare AMD au nevoie de o actualizare suplimentară, așa cum se arată în tabelul următor:

Versiunea sistemului de operare

Actualizare de securitate

Windows 8.1, Windows Server 2012 R2

KB4338815 - setul lunar

KB4338824 - Numai pentru securitate

Windows 7 SP1, Windows Server 2008 R2 SP1 sau Windows Server 2008 R2 SP1 (instalare Server Core)

KB4284826 - setul lunar

KB4284867 - Numai pentru securitate

Windows Server 2008 SP2

KB4340583 - Actualizare de securitate

Vă recomandăm să instalați actualizările doar de securitate în ordinea lansării.

Notă: O versiune anterioară a acestor Întrebări frecvente a declarat incorect că actualizarea numai pentru securitate din februarie includea remedierile de securitate care au fost lansate în ianuarie. De fapt, nu.

Nu. Actualizarea de securitate KB4078130 a fost o remediere specifică pentru a preveni comportamentele imprevizibile ale sistemului, problemele de performanță și repornirile neașteptate după instalarea microcodului. Aplicarea actualizărilor de securitate pe sistemele de operare client Windows permite toate cele trei atenuări. Pe sistemele de operare Windows Server, tot trebuie să activați atenuările după ce efectuați testarea corespunzătoare. Pentru mai multe informații, consultați KB4072698.

Această problemă a fost rezolvată în KB4093118.

În februarie 2018, Intel a anunțat că și-a finalizat validările și a început lansarea microcodului pentru platformele CPU mai noi. Microsoft pune la dispoziție actualizări de microcod Intel validate care se referă la Spectre varianta 2 Spectre varianta 2 (CVE-2017-5715 | Injectare țintă ramură). KB4093836 listează anumite articole bază de cunoștințe după versiunea de Windows. Fiecare articol specific din baza de date conține actualizările disponibile ale microcodului Intel în funcție de CPU.

Pe 11 ianuarie 2018,  Intel a raportat probleme în microcodul lansat recent, menite să abordeze Spectre varianta 2 (CVE-2017-5715 | Injectare țintă ramură). Mai exact, Intel a menționat că acest microcod poate provoca "reporniri mai mari decât se așteptau și alte comportamente imprevizibile ale sistemului" și că aceste scenarii pot provoca "pierderi de date sau deteriorare." Experiența noastră este că instabilitatea sistemului poate provoca pierderi de date sau deteriorare în unele circumstanțe. Pe 22 ianuarie, Intel le-a recomandat clienților să nu mai implementeze versiunea de microcod curentă pe procesoarele afectate, în timp ce Intel efectuează teste suplimentare pe soluția actualizată. Înțelegem că Intel continuă să investigheze efectul potențial al versiunii de microcod curente. Încurajăm clienții să-și revizuiască instrucțiunile în mod continuu pentru a-și informa deciziile.

În timp ce Intel testează, actualizează și implementează noul microcod, vă punem la dispoziție o actualizare OOB, KB4078130, care dezactivează în mod specific doar atenuarea împotriva CVE-2017-5715. În testarea noastră, această actualizare a fost găsită pentru a preveni comportamentul descris. Pentru lista completă de dispozitive, consultați instrucțiunile de revizuire a microcodului de la Intel. Această actualizare se referă la Windows 7 Service Pack 1 (SP1), Windows 8.1 și la toate versiunile de Windows 10, atât pentru client, cât și pentru server. Dacă rulați un dispozitiv afectat, această actualizare poate fi aplicată descărcându-o de pe site-ul web Catalog Microsoft Update. Aplicarea acestei sarcini dezactivează în mod specific doar atenuarea împotriva CVE-2017-5715.

Până în prezent, nu există rapoarte cunoscute care să indice că această Spectre varianta 2 (CVE-2017-5715 - "Injectare țintă pentru ramură") a fost utilizată pentru a ataca clienții. Vă recomandăm, atunci când este cazul, ca utilizatorii Windows să poată reactiva atenuarea pentru CVE-2017-5715 atunci când Intel raportează că acest comportament imprevizibil al sistemului a fost rezolvat pentru dispozitivul dvs.

În februarie 2018, Intela anunțat că și-a finalizat validările și a început lansarea microcodului pentru platformele CPU mai noi. Microsoft face disponibile actualizări de microcod Intel validate care sunt legate de Spectre varianta 2 Spectre varianta 2 (CVE-2017-5715 | Injectare țintă ramură). KB4093836 listează anumite articole bază de cunoștințe după versiunea de Windows. Lista KBs disponibilă actualizări de microcod Intel de CPU.

Pentru mai multe informații, consultați AmD Security Actualizări și AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . Acestea sunt disponibile de pe canalul de firmware OEM.

Punem la dispoziție actualizări de microcod validate de Intel care se referă la Spectre varianta 2 (CVE-2017-5715 – "Injectare țintă pentru ramură "). Pentru a obține cele mai recente actualizări de microcod Intel prin Windows Update, clienții trebuie să aibă instalat microcodul Intel pe dispozitivele care rulează un sistem de operare Windows 10 înainte de a face upgrade la actualizarea din aprilie 2018 a Windows 10 (versiunea 1803).

Actualizarea de microcod este disponibilă, de asemenea, direct din Catalogul Microsoft Update, dacă nu a fost instalată pe dispozitiv înainte de a face upgrade sistemului. Microcodul Intel este disponibil prin Windows Update, Windows Server Update Services (WSUS) sau Catalogul Microsoft Update. Pentru mai multe informații și instrucțiuni de descărcare, consultați KB4100347.

Consultați secțiunile "Acțiuni recomandate" și "Întrebări frecvente" din  ADV180012 | Instrucțiuni Microsoft pentru ocolirea Store speculativă.

Pentru a verifica starea SSBD, scriptul PowerShell Get-SpeculationControlSettings a fost actualizat pentru a detecta procesoarele afectate, starea actualizărilor sistemului de operare SSBD și starea microcodului de procesor, dacă este cazul. Pentru mai multe informații și pentru a obține scriptul PowerShell, consultați KB4074629.

Pe 13 iunie 2018, a fost anunțată și atribuită CVE-2018-3665 o vulnerabilitate suplimentară care implică execuția speculativă de pe canalul lateral, cunoscută drept Restaurare stare leneș FP. Pentru informații despre această vulnerabilitate și acțiunile recomandate, consultați Sfatul de securitate ADV180016 | Instrucțiuni Microsoft pentru restaurarea stării lazy FP .

Notă Nu există setări de configurare (registry) obligatorii pentru Restaurare FP lazy.

Bounds Check Bypass Store (BCBS) a fost dezvăluit la 10 iulie 2018 și atribuit CVE-2018-3693. Considerăm BCBS că aparține aceleiași clase de vulnerabilități ca ocolirea verificării limitelor (varianta 1). În prezent nu cunoaștem nicio instanță a BCBS în software-ul nostru. Cu toate acestea, continuăm să cercetăm această clasă de vulnerabilitate și vom colabora cu partenerii din industrie pentru a lansa atenuările după cum este necesar. Încurajăm cercetătorii să trimită orice constatări relevante programului de recompense Microsoft Speculative Execution Side Channel, inclusiv orice instanțe exploatabile ale BCBS. Dezvoltatorii de software ar trebui să revizuiți îndrumările pentru dezvoltatori care au fost actualizate pentru BCBS la C++ Developer Guidance for Speculative Execution Side Channels 

La 14 august 2018, a fost anunțatĂ L1 Terminal Fault (L1TF) și atribuite mai multe CV-uri. Aceste noi vulnerabilități de canal lateral cu execuție speculativă pot fi utilizate pentru a citi conținutul memoriei dintr-o limită de încredere și, dacă sunt exploatate, ar putea duce la dezvăluirea informațiilor. Există mai mulți vectori prin care un atacator ar putea declanșa vulnerabilitățile, în funcție de mediul configurat. L1TF afectează procesoarele Intel® Core® și procesoarele Intel® Xeon®.

Pentru mai multe informații despre această vulnerabilitate și o vizualizare detaliată a scenariilor afectate, inclusiv abordarea Microsoft privind atenuarea L1TF, consultați următoarele resurse:

Pașii pentru dezactivarea Hyper-Threading diferă de la OEM la OEM, dar, în general, fac parte din BIOS sau din instrumentele de configurare și configurare a firmware-ului.

Clienții care utilizează procesoare ARM pe 64 de biți ar trebui să contacteze producătorul OEM al dispozitivului pentru asistență firmware, deoarece protecțiile sistemului de operare ARM64 care atenuează CVE-2017-5715 | Injectarea țintă pentru ramură (Spectre, varianta 2) necesită cea mai recentă actualizare de firmware de la producătorii OEM ai dispozitivului pentru a avea efect.

Pentru mai multe informații despre activarea Retpoline, consultați postarea noastră de blog: Atenuarea Spectre varianta 2 cu Retpoline în Windows .

Pentru detalii despre această vulnerabilitate, consultați Ghidul de securitate Microsoft: CVE-2019-1125 | Vulnerabilitate dezvăluire informații kernel Windows.

Nu cunoaștem nicio instanță a acestei vulnerabilități de divulgare a informațiilor care să afecteze infrastructura noastră de servicii cloud.

Imediat ce am luat cunoștință de această problemă, ne-am străduit rapid să o remediem și să lansăm o actualizare. Credem cu tărie în parteneriate strânse cu cercetătorii și partenerii din industrie pentru a-i face pe clienți mai în siguranță și nu am publicat detalii până marți, 6 august, în conformitate cu practicile coordonate de divulgare a vulnerabilităților.

Referințe

Vă oferim informații de contact de la terți pentru a vă ajuta să găsiți asistență tehnică. Aceste informații de contact se pot modifica fără notificare prealabilă. Nu garantăm acuratețea acestor informații de contact de la terți.

Aveți nevoie de ajutor suplimentar?

Extindeți-vă competențele
Explorați instruirea
Fiți primul care obține noile caracteristici
Alăturați-vă la Microsoft Insider

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?

Vă mulțumim pentru feedback!

×