KB4072698. Руководство по Windows Server и Azure Stack HCI по защите от уязвимостей стороннего канала микроархитектурного и спекулятивного выполнения на основе кремния

В этой статье рассматриваются следующие уязвимости спекулятивного выполнения:

• CVE-2017-5715 | Внедрение целевого ветвления

• CVE-2017-5753 | Обход проверки границ

• CVE-2017-5754 | Загрузка неопубликованного кэша данных

• CVE-2018-3639 | Обход спекулятивного хранилища

клиентский компонент Центра обновления Windows также предоставят средства защиты от Обозреватель в Интернете и Edge. Мы будем продолжать совершенствовать эти способы устранения уязвимостей этого класса.

Дополнительные сведения об этом классе уязвимостей см. в разделе

• ADV180002 | Руководство по устранению уязвимостей спекулятивного выполнения в боковом канале

• ADV180012 | Руководство Майкрософт по обходу спекулятивного хранилища

14 мая 2019 г. корпорация Intel опубликовала информацию о новом подклассе уязвимостей спекулятивного выполнения по боковому каналу, известном как выборка данных микроархитектуры и описанной в ADV190013 | Выборка микроархитектурных данных. Им назначены следующие cves:

• CVE-2019-11091 | Микроархитектурные данные выборки неподключаемой памяти (MDSUM)

• CVE-2018-12126 | Выборка данных буфера микроархитектурного хранилища (MSBDS)

• CVE-2018-12127 | Выборка данных буфера микроархитектурной заполнения (MFBDS)

• CVE-2018-12130 | Выборка данных порта микроархитектурной загрузки (MLPDS)

Корпорация Майкрософт выпустила обновления, которые помогут устранить эти уязвимости. Чтобы получить все доступные средства защиты, требуются обновления встроенного ПО (микрокода) и программного обеспечения. Это может быть микрокод от изготовителей оборудования устройств. В некоторых случаях установка этих обновлений влияет на производительность. Мы также приняли меры для защиты наших облачных служб. Настоятельно рекомендуется развернуть эти обновления.

Дополнительные сведения об этой проблеме см. в следующих рекомендациях по безопасности и в руководстве по использованию сценариев для определения действий, необходимых для устранения угрозы:

• ADV190013 | Руководство Майкрософт по устранению уязвимостей выборки микроархитектурных данных

• Руководство Windows по защите от уязвимостей спекулятивного выполнения по боковому каналу

6 августа 2019 г. корпорация Intel опубликовала сведения об уязвимости раскрытия информации в ядре Windows. Эта уязвимость является вариантом уязвимости Spectre, Variant 1 спекулятивного выполнения бокового канала и назначена CVE-2019-1125.

9 июля 2019 г. мы выпустили обновления для системы безопасности для операционной системы Windows, которые помогут устранить эту проблему. Обратите внимание, что мы сдержим публичное документирование этой меры до скоординированного раскрытия информации о отрасли во вторник, 6 августа 2019 года.

Клиенты, которые клиентский компонент Центра обновления Windows включили и применили обновления для системы безопасности, выпущенные 9 июля 2019 г., защищаются автоматически. Дальнейшая настройка не требуется.

Дополнительные сведения об этой уязвимости и применимых обновлениях см. в руководстве по обновлению системы безопасности Майкрософт:

• CVE-2019-1125 | Уязвимость ядра Windows, связанная с раскрытием информации

12 ноября 2019 г. корпорация Intel опубликовала технические рекомендации по уязвимости асинхронного прерывания транзакций Intel® Transactional Synchronization Extensions (Intel TSX), которой назначена cve-2019-11135. Корпорация Майкрософт выпустила обновления, которые помогут устранить эту уязвимость, и защита ОС включена по умолчанию для Windows Server 2019, но отключена по умолчанию для Windows Server 2016 и более ранних выпусков ОС Windows Server.

14 июня 2022 г. мы опубликовали ADV220002 | Руководство Майкрософт по уязвимостям устаревших данных процессоров Intel MMIO и назначены следующие cvEs: 

• CVE-2022-21123 | Чтение данных общего буфера (SBDR)

• CVE-2022-21125 | Выборка данных общего буфера (SBD)

• CVE-2022-21127 | Специальное обновление выборки данных буфера регистра (обновление SRBDS)

• CVE-2022-21166 | Частичная запись регистра устройства (DRPW)

Рекомендуемые действия

Чтобы защититься от уязвимостей, необходимо выполнить следующие действия:

1. Примените все доступные обновления операционной системы Windows, включая ежемесячные обновления системы безопасности Windows.

2. Примените применимое обновление встроенного ПО (микрокода), предоставленное производителем устройства.

3. Оцените риск для вашей среды на основе информации, предоставленной в рекомендациях по безопасности Майкрософт: ADV180002, ADV180012, ADV190013 и ADV220002, в дополнение к сведениям, приведенным в этой статье база знаний.

4. Выполните необходимые действия, используя рекомендации и сведения раздела реестра, указанные в этой база знаний статье.

12 июля 2022 г. мы опубликовали CVE-2022-23825 | Ошибка типа ветви ЦП AMD , которая описывает, что псевдонимы в предикторе ветви могут привести к тому, что некоторые процессоры AMD прогнозируют неправильный тип ветви. Эта проблема может привести к раскрытию информации.

Чтобы защититься от этой уязвимости, рекомендуется установить обновления Windows, датированные июлем 2022 г. или позже, а затем принять меры в соответствии с требованиями CVE-2022-23825 и разделом реестра, приведенными в этой база знаний статье.

Дополнительные сведения см. в бюллетене по безопасности AMD-SB-1037 .

8 августа 2023 г. мы опубликовали CVE-2023-20569 | Предиктор возвращаемых адресов (также известный как Начало), описывающий новую спекулятивную атаку на стороне канала, которая может привести к спекулятивному выполнению по адресу, контролируемому злоумышленником. Эта проблема затрагивает некоторые процессоры AMD и может привести к раскрытию информации.

Чтобы защититься от этой уязвимости, рекомендуется установить обновления Windows, датируемые августом 2023 г. или позже, а затем принять меры в соответствии с требованиями CVE-2023-20569 и разделов реестра, приведенными в этой база знаний статье.

Дополнительные сведения см. в бюллетене по безопасности AMD-SB-7005 .

9 апреля 2024 г. мы опубликовали CVE-2022-0001 | Внедрение журнала ветвей Intel, описывающее внедрение журнала ветвей (BHI), которое является определенной формой внутрисемейной BTI. Эта уязвимость возникает, когда злоумышленник может управлять журналом ветви перед переходом из режима пользователя в режим супервизора (или из режима VMX, не корневого или гостевого, в корневой режим). Это может привести к тому, что прогностиктор непрямой ветви выберет определенную запись прогностика для непрямой ветви, и гаджет раскрытия информации в прогнозируемом целевом объекте будет выполняться временно. Это может быть возможно, так как соответствующий журнал ветви может содержать ветви, принятые в предыдущих контекстах безопасности, и, в частности, в других режимах прогнозирования.

По умолчанию защита от взаимодействия пользователя с ядром для CVE-2017-5715 отключена для процессоров AMD. Клиенты должны включить устранение рисков, чтобы получить дополнительную защиту для CVE-2017-5715.  Дополнительные сведения см. в разделе Вопросы и ответы No 15 в ADV180002.

По умолчанию защита от взаимодействия пользователя с ядром для CVE-2017-5715 отключена для процессоров AMD. Клиенты должны включить устранение рисков, чтобы получить дополнительную защиту для CVE-2017-5715.  Дополнительные сведения см. в разделе Вопросы и ответы No 15 в ADV180002.

Чтобы включить устранение рисков для CVE-2022-23825 на процессорах AMD, выполните следующие действия.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Чтобы обеспечить полную защиту, клиентам также может потребоваться отключить Hyper-Threading (также известное как одновременная многопотооковая (SMT)). Рекомендации по защите устройств Windows см. в KB4073757.

Чтобы включить устранение рисков для CVE-2023-20569 на процессорах AMD, выполните следующие действия:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Чтобы включить устранение рисков для CVE-2022-0001 на процессорах Intel, выполните следующие действия:

reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Подробное описание выходных данных скрипта PowerShell см . в разделе KB4074629 . 

Чтобы избежать негативного влияния на устройства клиентов, обновления для системы безопасности Windows, выпущенные в январе и феврале 2018 г., были предложены не всем клиентам. Дополнительные сведения см . в разделе KB407269 .

Микрокод доставляется через обновление встроенного ПО. Обратитесь к изготовителю оборудования о версии встроенного ПО с соответствующим обновлением для вашего компьютера.

Существует несколько переменных, влияющих на производительность, от версии системы до выполняемых рабочих нагрузок. Для некоторых систем эффект производительности будет незначительным. Для других он будет значительным.

Рекомендуется оценить влияние производительности на системы и внести необходимые изменения.

В дополнение к рекомендациям, приведенным в этой статье о виртуальных машинах, обратитесь к поставщику услуг, чтобы убедиться, что узлы, на которых работают виртуальные машины, должным образом защищены.

Сведения о виртуальных машинах Windows Server, работающих в Azure, см. в статье Руководство по устранению уязвимостей спекулятивного выполнения в azure . Инструкции по использованию службы "Управление обновлениями Azure" для устранения этой проблемы на гостевых виртуальных машинах см. в разделе KB4077467.

Обновления, выпущенные для образов контейнеров Windows Server для Windows Server 2016 и Windows 10 версии 1709, включают устранение уязвимостей. Дополнительная настройка не требуется.

Примечание По-прежнему необходимо убедиться, что узел, на котором выполняются эти контейнеры, настроен для включения соответствующих мер по устранению рисков.

Нет, порядок установки не имеет значения.

Да, необходимо перезапустить после обновления встроенного ПО (микрокода), а затем снова после обновления системы.

Ниже приведены сведения о разделах реестра.

FeatureSettingsOverride представляет растровое изображение, которое переопределяет параметр по умолчанию и определяет, какие средства устранения рисков будут отключены. Бит 0 управляет устранением рисков, соответствующим CVE-2017-5715. Бит 1 управляет устранением рисков, соответствующим CVE-2017-5754. Биты имеют значение 0 , чтобы включить устранение рисков, и значение 1 , чтобы отключить эту меру.

FeatureSettingsOverrideMask представляет маску растрового изображения, которая используется вместе с FeatureSettingsOverride.  В этой ситуации мы используем значение 3 (представленное как 11 в двоичной числовой системе или числовой системе base-2) для обозначения первых двух битов, соответствующих доступным способам устранения рисков. Для этого раздела реестра задано значение 3 для включения или отключения мер по устранению рисков.

MinVmVersionForCpuBasedMitigations предназначен для узлов Hyper-V. Этот раздел реестра определяет минимальную версию виртуальной машины, необходимую для использования обновленных возможностей встроенного ПО (CVE-2017-5715). Установите значение 1.0 , чтобы охватить все версии виртуальных машин. Обратите внимание, что это значение реестра будет игнорироваться (не является безопасным) на узлах, отличных от Hyper-V. Дополнительные сведения см. в статье Защита гостевых виртуальных машин от CVE-2017-5715 (внедрение целевой ветви).

Да, если эти параметры реестра применяются до установки исправлений, связанных с январем 2018 г., побочные эффекты отсутствуют.

Подробное описание выходных данных скрипта см. в статье KB4074629: Общие сведения о выходных данных скрипта PowerShell Для управления спекуляциями.

Да, для Windows Server 2016 узлов Hyper-V, для которых еще не доступно обновление встроенного ПО, мы опубликовали альтернативное руководство, которое поможет устранить атаки на виртуальную машину или виртуальную машину для размещения. См. статью Альтернативные средства защиты для Windows Server 2016 узлов Hyper-V от уязвимостей спекулятивного выполнения бокового канала.

Обновления только для системы безопасности не являются накопительными. В зависимости от версии операционной системы может потребоваться установить несколько обновлений для системы безопасности для полной защиты. Как правило, клиентам потребуется установить обновления за январь, февраль, март и апрель 2018 г. Системам с процессорами AMD требуется дополнительное обновление, как показано в следующей таблице:

Мы рекомендуем установить обновления только для системы безопасности в порядке выпуска.

Нет. Обновление системы безопасности KB4078130 было особым исправлением, чтобы предотвратить непредсказуемое поведение системы, проблемы с производительностью и непредвиденные перезапуски после установки микрокода. Применение обновлений для системы безопасности в клиентских операционных системах Windows позволяет устранить все три проблемы. В операционных системах Windows Server необходимо по-прежнему включать меры по устранению рисков после правильного тестирования. Дополнительные сведения см. в разделе KB4072698.

Эта проблема устранена в KB4093118.

В феврале 2018 года intel объявила о завершении проверок и начала выпускать микрокоды для новых платформ ЦП. Корпорация Майкрософт предоставляет проверенные обновления микрокодов Intel, касающиеся Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Внедрение целевых ветвей). KB4093836 перечислены конкретные база знаний статьи по версии Windows. Каждая конкретная статья базы знаний содержит доступные обновления микрокодов Intel по ЦП.

11 января 2018  г. корпорация Intel сообщила о проблемах в недавно выпущенном микрокоде, предназначенном для решения spectre варианта 2 (CVE-2017-5715 | Внедрение целевых ветвей). В частности, корпорация Intel отметила, что этот микрокод может привести к "более высоким, чем ожидалось, перезагрузкам и другим непредсказуемым поведению системы" и что эти сценарии могут привести к "потере или повреждению данных"."Наш опыт заключается в том, что нестабильность системы может привести к потере данных или повреждению в некоторых обстоятельствах. 22 января корпорация Intel рекомендовала клиентам прекратить развертывание текущей версии микрокода на затронутых процессорах, пока Intel выполнит дополнительное тестирование обновленного решения. Мы понимаем, что корпорация Intel продолжает изучать потенциальное влияние текущей версии микрокода. Мы рекомендуем клиентам постоянно просматривать свои рекомендации, чтобы информировать их о своих решениях.

Пока Intel тестирует, обновляет и развертывает новые микрокоды, мы делаем доступным обновление вне диапазона (OOB) KB4078130, которое, в частности, отключает только защиту от CVE-2017-5715. В нашем тестировании было обнаружено, что это обновление предотвращает описанное поведение. Полный список устройств см. в руководстве intel по редакции микрокодов . Это обновление охватывает Windows 7 с пакетом обновления 1 (SP1), Windows 8.1 и все версии Windows 10, как клиентские, так и серверные. Если вы используете затронутое устройство, это обновление можно применить, скачав его с веб-сайта каталога Центра обновления Майкрософт. Применение этих полезных данных специально отключает только защиту от CVE-2017-5715.

По состоянию на этот раз нет известных отчетов, указывающих на то, что этот спектр вариант 2 (CVE-2017-5715 | Внедрение целевых ветвей) используется для атак на клиентов. Мы рекомендуем, чтобы при необходимости пользователи Windows повторно включили защиту от CVE-2017-5715, когда Intel сообщает, что это непредсказуемое поведение системы было разрешено для вашего устройства.

В феврале 2018 года корпорация Intelобъявила о завершении проверок и приступила к выпуску микрокода для новых платформ ЦП. Корпорация Майкрософт предоставляет проверенные Intel обновления микрокодов, связанные с Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Внедрение целевых ветвей). KB4093836 перечислены конкретные база знаний статьи по версии Windows. Список доступных обновлений микрокода Intel по ЦП.

Дополнительные сведения см. в статье Amd Security Обновления и технический документ AMD: Рекомендации по архитектуре для управления непрямой ветвью. Они доступны в канале встроенного ПО OEM.

Мы делаем доступными проверенные Intel обновления микрокодов, касающиеся Spectre Variant 2 (CVE-2017-5715 | Внедрение целевых ветвей). Чтобы получить последние обновления микрокодов Intel через клиентский компонент Центра обновления Windows, клиенты должны установить микрокод Intel на устройствах с операционной системой Windows 10 перед обновлением до обновления Windows 10 апреля 2018 г. (версия 1803).

Обновление микрокода также доступно непосредственно из каталога Центра обновления Майкрософт, если оно не было установлено на устройстве перед обновлением системы. Микрокод Intel доступен в клиентский компонент Центра обновления Windows, Windows Server Update Services (WSUS) или в каталоге Центра обновления Майкрософт. Дополнительные сведения и инструкции по скачиванию см. в KB4100347.

Дополнительные сведения см. в следующих ресурсах:

• ADV180012 | Руководство Майкрософт по обходу спекулятивного хранилища для CVE-2018-3639

• ADV180013 | Руководство Майкрософт по чтению мошеннической системной регистрации для CVE-2018-3640 и базы знаний 4073065 | Руководство для клиентов Surface

• Блог по исследованиям и обороне в области безопасности Майкрософт

• Руководство разработчика по обходу спекулятивного хранилища

См. разделы "Рекомендуемые действия" и "Вопросы и ответы " ADV180012 | Руководство Майкрософт по обходу спекулятивного хранилища.

Чтобы проверить состояние SSBD, был обновлен скрипт PowerShell Get-SpeculationControlSettings для обнаружения затронутых процессоров, состояния обновлений операционной системы SSBD и состояния микрокода процессора, если применимо. Дополнительные сведения и сведения о получении скрипта PowerShell см. в разделе KB4074629.

13 июня 2018 г. было объявлено о дополнительной уязвимости, которая включает в себя спекулятивное выполнение по боковому каналу, известное как Восстановление состояния Ленивый ПП, было объявлено и назначено CVE-2018-3665 . Сведения об этой уязвимости и рекомендуемых действиях см. в разделе Рекомендации по безопасности ADV180016 | Руководство Майкрософт по восстановлению состояния ленивого FP .

Примечание Для восстановления FP с отложенным восстановлением отсутствуют необходимые параметры конфигурации (реестра).

Хранилище обхода обхода границ (BCBS) было раскрыто 10 июля 2018 г. И присвоено значение CVE-2018-3693. Мы считаем, что BCBS принадлежит к тому же классу уязвимостей, что и обход проверки границ (вариант 1). В настоящее время мы не знаем о каких-либо экземплярах BCBS в нашем программном обеспечении. Тем не менее, мы продолжаем исследовать этот класс уязвимостей и будем работать с отраслевыми партнерами для выпуска мер по устранению рисков по мере необходимости. Мы призываем исследователей представить любые соответствующие результаты в программу поощрения стороннего канала спекулятивного выполнения Майкрософт, включая любые эксплуатируемые экземпляры BCBS. Разработчики программного обеспечения должны ознакомиться с руководством для разработчиков, которое было обновлено для BCBS, в руководстве разработчика C++ для спекулятивного выполнения боковых каналов 

14 августа 2018 г. было объявлено о сбое терминала L1 (L1TF) и назначено несколько cves. Эти новые уязвимости спекулятивного выполнения по боковому каналу можно использовать для чтения содержимого памяти через доверенную границу и в случае их использования может привести к раскрытию информации. Существует несколько векторов, с помощью которых злоумышленник может активировать уязвимости в зависимости от настроенной среды. L1TF влияет на процессоры Intel® Core® и Intel® Xeon®.

Дополнительные сведения об этой уязвимости и подробное представление затронутых сценариев, включая подход Корпорации Майкрософт к устранению рисков L1TF, см. в следующих ресурсах:

• ADV180018 | Руководство Майкрософт по устранению проблемы с вариантом L1TF

• Блог о рекомендациях по безопасности по безопасности

• Руководство по серверу для сбоя терминала L1

Действия по отключению Hyper-Threading отличаются от OEM к OEM, но обычно являются частью средств настройки и настройки BIOS или встроенного ПО.

Клиенты, использующие 64-разрядные процессоры ARM, должны обратиться к изготовителю оборудования для получения поддержки встроенного ПО, так как защита операционной системы ARM64 снижает уязвимость CVE-2017-5715 | Внедрение целевых ветвей (Spectre, Variant 2) требуется последнее обновление встроенного ПО от изготовителей оборудования устройств.

Дополнительные сведения см. в следующих рекомендациях по безопасности.

• Рекомендации intel по безопасности

• ADV190013 | Руководство Майкрософт по устранению уязвимостей выборки микроархитектурных данных

Дополнительные рекомендации можно найти в руководстве Windows по защите от уязвимостей спекулятивного выполнения по боковому каналу.

Ознакомьтесь с рекомендациями в руководстве по Windows, чтобы защититься от уязвимостей спекулятивного выполнения на стороне канала.

Рекомендации по Azure см. в этой статье : Руководство по устранению уязвимостей спекулятивного выполнения в Azure.

Дополнительные сведения о включении Retpoline см. в записи блога: Устранение рисков spectre версии 2 с помощью Retpoline в Windows .

Дополнительные сведения об этой уязвимости см. в руководстве по безопасности Майкрософт : CVE-2019-1125 | Уязвимость ядра Windows, связанная с раскрытием информации.

Мы не знаем о каких-либо случаях этой уязвимости раскрытия информации, затрагивающей нашу инфраструктуру облачных служб.

Как только нам стало известно об этой проблеме, мы быстро поработали над ее решением и выпуском обновления. Мы твердо верим в тесные партнерские отношения как с исследователями, так и с отраслевыми партнерами, чтобы сделать клиентов более безопасными, и не публиковали подробности до вторника, 6 августа, в соответствии с скоординированной практикой раскрытия уязвимостей.

Дополнительные рекомендации см. в руководстве по защите windows от уязвимостей спекулятивного выполнения по боковому каналу.

Дополнительные рекомендации см. в руководстве по защите windows от уязвимостей спекулятивного выполнения по боковому каналу.

Дополнительные рекомендации см. в статье Руководство по отключению возможностей расширения синхронизации транзакций Intel (Intel TSX).

Сторонние продукты, которые рассматриваются в этой статье, производятся компаниями, которые не зависят от Майкрософт. Мы не предоставляем никаких гарантий,подразумеваемых или иных, в отношении производительности или надежности этих продуктов.

Мы предоставляем сторонние контактные данные, чтобы помочь вам найти техническую поддержку. Эти контактные данные могут меняться без уведомления. Мы не гарантируем точность этих контактных данных сторонних поставщиков.