KB4073119: руководство клиента Windows для ИТ-специалистов по защите от уязвимостей стороннего канала микроархитектуры и спекулятивного выполнения на основе кремния

14 мая 2019 г. корпорация Intel опубликовала информацию о новом подклассе уязвимостей спекулятивного выполнения на стороне канала, известном как выборка данных микроархитектуры. Эти уязвимости устраняются в следующих cvEs:

• CVE-2019-11091 | Микроархитектурные данные выборки неподключаемой памяти (MDSUM)

• CVE-2018-12126 | Выборка данных буфера микроархитектурного хранилища (MSBDS)

• CVE-2018-12127 | Выборка данных буфера микроархитектурной заполнения (MFBDS)

• CVE-2018-12130 | Выборка данных порта микроархитектурной загрузки (MLPDS)

Мы выпустили обновления, которые помогут устранить эти уязвимости. Чтобы получить все доступные средства защиты, требуются обновления встроенного ПО (микрокода) и программного обеспечения. Это может быть микрокод от изготовителей оборудования устройств. В некоторых случаях установка этих обновлений влияет на производительность. Мы также приняли меры для защиты наших облачных служб. Настоятельно рекомендуется развернуть эти обновления.

Дополнительные сведения об этой проблеме см. в следующих рекомендациях по безопасности и в руководстве по использованию сценариев для определения действий, необходимых для устранения угрозы:

• ADV190013 | Руководство Майкрософт по устранению уязвимостей выборки микроархитектурных данных

• Руководство Windows по защите от уязвимостей спекулятивного выполнения по боковому каналу

6 августа 2019 г. корпорация Intel опубликовала сведения об уязвимости раскрытия информации в ядре Windows. Эта уязвимость является вариантом уязвимости spectre Variant 1 спекулятивного выполнения по боковому каналу и назначена CVE-2019-1125.

9 июля 2019 г. мы выпустили обновления для системы безопасности для операционной системы Windows, которые помогут устранить эту проблему. Обратите внимание, что мы сдержим публичное документирование этой меры до скоординированного раскрытия информации о отрасли во вторник, 6 августа 2019 года.

Клиенты, которые клиентский компонент Центра обновления Windows включили и применили обновления для системы безопасности, выпущенные 9 июля 2019 г., защищаются автоматически. Дальнейшая настройка не требуется.

Дополнительные сведения об этой уязвимости и применимых обновлениях см. в руководстве по обновлению системы безопасности Майкрософт:

• CVE-2019-1125 | Уязвимость ядра Windows, связанная с раскрытием информации

12 ноября 2019 г. корпорация Intel опубликовала технические рекомендации по уязвимости асинхронного прерывания транзакций Intel Transactional Synchronization Extensions (Intel TSX), которой назначена cve-2019-11135. Мы выпустили обновления, которые помогут устранить эту уязвимость. По умолчанию защита ОС включена для клиентских выпусков ОС Windows.

14 июня 2022 г. мы опубликовали ADV220002 | Руководство Майкрософт по уязвимостям устаревших данных процессоров Intel MMIO. Уязвимости thes назначаются в следующих CVEs:

• CVE-2022-21123 | Чтение данных общего буфера (SBDR)

• CVE-2022-21125 | Выборка данных общего буфера (SBD)

• CVE-2022-21127 | Специальное обновление выборки данных буфера регистра (обновление SRBDS)

• CVE-2022-21166 | Частичная запись регистра устройства (DRPW)

Рекомендуемые действия

Чтобы защититься от этих уязвимостей, необходимо выполнить следующие действия:

1. Примените все доступные обновления операционной системы Windows, включая ежемесячные обновления системы безопасности Windows.

2. Примените применимое обновление встроенного ПО (микрокода), предоставленное производителем устройства.

3. Оцените риск для вашей среды на основе информации, предоставленной в microsoft Security Advisories ADV180002, ADV180012, ADV190013 и ADV220002,в дополнение к сведениям, приведенным в этой статье.

4. Выполните необходимые действия, используя рекомендации и сведения о разделе реестра, приведенные в этой статье.

12 июля 2022 г. мы опубликовали CVE-2022-23825 | Ошибка типа ветви ЦП AMD, которая описывает, что псевдонимы в предикторе ветви могут привести к тому, что некоторые процессоры AMD прогнозируют неправильный тип ветви. Эта проблема может привести к раскрытию информации.

Чтобы защититься от этой уязвимости, рекомендуется установить обновления Windows, датированные июлем 2022 г. или позже, а затем принять меры в соответствии с требованиями CVE-2022-23825 и сведениями раздела реестра, приведенными в этой база знаний статье.

Дополнительные сведения см. в бюллетене по безопасности AMD-SB-1037 .

8 августа 2023 г. мы опубликовали CVE-2023-20569 | Предиктор возвращаемого адреса ЦП AMD (также известный как Начало), который описывает новую спекулятивную атаку на стороне канала, которая может привести к спекулятивному выполнению по адресу, контролируемому злоумышленником. Эта проблема затрагивает некоторые процессоры AMD и может привести к раскрытию информации.

Чтобы защититься от этой уязвимости, рекомендуется установить обновления Windows, датируемые августом 2023 г. или позже, а затем принять меры в соответствии с требованиями CVE-2023-20569 и разделов реестра, приведенными в этой база знаний статье.

Дополнительные сведения см. в бюллетене по безопасности AMD-SB-7005 .

9 апреля 2024 г. мы опубликовали CVE-2022-0001 | Внедрение журнала ветвей Intel , описывающее внедрение журнала ветвей (BHI), которое является определенной формой внутрисемейной BTI. Эта уязвимость возникает, когда злоумышленник может управлять журналом ветви перед переходом из режима пользователя в режим супервизора (или из режима VMX, не корневого или гостевого, в корневой режим). Это может привести к тому, что прогностиктор непрямой ветви выберет определенную запись прогностика для непрямой ветви, и гаджет раскрытия информации в прогнозируемом целевом объекте будет выполняться временно. Это может быть возможно, так как соответствующий журнал ветви может содержать ветви, принятые в предыдущих контекстах безопасности, и, в частности, в других режимах прогнозирования.

По умолчанию защита от пользователя до ядра для CVE-2017-5715 отключена для процессоров AMD и ARM. Необходимо включить защиту, чтобы получить дополнительные средства защиты для CVE-2017-5715. Дополнительные сведения см. в разделе Вопросы и ответы No 15 в ADV180002 для процессоров AMD и Вопросы и ответы 20 в ADV180002 для процессоров ARM.

По умолчанию защита от взаимодействия пользователя с ядром для CVE-2017-5715 отключена для процессоров AMD. Клиенты должны включить устранение рисков, чтобы получить дополнительную защиту для CVE-2017-5715.  Дополнительные сведения см. в разделе Вопросы и ответы No 15 в ADV180002.

Чтобы включить устранение рисков для CVE-2022-23825 на процессорах AMD , выполните следующие действия.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Чтобы обеспечить полную защиту, клиентам также может потребоваться отключить Hyper-Threading (также известное как одновременная многопотооковая (SMT)). Рекомендации по защите устройств Windows см. в KB4073757. 

Чтобы включить устранение рисков для CVE-2023-20569 на процессорах AMD, выполните следующие действия:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Чтобы включить устранение рисков для CVE-2022-0001 на процессорах Intel, выполните следующие действия:

reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Подробное описание выходных данных скрипта PowerShell см. в разделе KB4074629.

Микрокод доставляется через обновление встроенного ПО. Вы должны проверка с ЦП (набором микросхем) и производителями устройств о доступности применимых обновлений для системы безопасности встроенного ПО для конкретного устройства, включая Руководство по редакции микрокодов Intels.

Устранение уязвимости оборудования с помощью обновления программного обеспечения представляет собой значительные проблемы. Кроме того, для устранения рисков для старых операционных систем требуются значительные изменения архитектуры. Мы работаем с затронутыми производителями микросхем, чтобы определить лучший способ обеспечения мер по устранению рисков, которые могут быть поставлены в будущих обновлениях.

Обновления для устройств Microsoft Surface будут предоставляться клиентам через клиентский компонент Центра обновления Windows вместе с обновлениями для операционной системы Windows. Список доступных обновлений встроенного ПО устройства Surface (микрокодов) см. в KB4073065.

Если ваше устройство не было произведено корпорацией Microsoft, примените встроенного ПО от изготовителя устройства. За дополнительными сведениями обратитесь к изготовителю oem-устройства.

В феврале и марте 2018 г. корпорация Майкрософт выпустила дополнительную защиту для некоторых систем на базе x86. Дополнительные сведения см . в KB4073757 и ADV180002 рекомендаций по безопасности Майкрософт.

Обновления Windows 10 для HoloLens доступны клиентам HoloLens через клиентский компонент Центра обновления Windows.

После применения обновления Безопасность Windows за февраль 2018 г. пользователям HoloLens не нужно предпринимать никаких дополнительных действий для обновления встроенного ПО устройства. Эти меры по устранению рисков также будут включены во все будущие выпуски Windows 10 для HoloLens.

Нет. Обновления только для системы безопасности не являются накопительными. В зависимости от используемой версии операционной системы вам придется устанавливать ежемесячные обновления только для системы безопасности, чтобы защититься от этих уязвимостей. Например, если вы используете Windows 7 для 32-разрядных систем на затронутом ЦП Intel, необходимо установить все обновления только для системы безопасности. Рекомендуется устанавливать эти обновления только для системы безопасности в порядке выпуска.

Примечание В более ранней версии этого часто задаваемых вопросов неправильно говорилось, что февральское обновление системы безопасности включало исправления безопасности, выпущенные в январе. На самом деле, это не так.

Нет. Обновление системы безопасности 4078130 — это специальное исправление, чтобы предотвратить непредсказуемое поведение системы, проблемы с производительностью и (или) непредвиденные перезагрузки после установки микрокода. Применение обновлений для системы безопасности за февраль в клиентских операционных системах Windows позволяет устранить все три проблемы.

Intel недавно объявила о завершении проверок и начала выпускать микрокоды для новых платформ ЦП. Корпорация Майкрософт предоставляет проверенные Intel обновления микрокодов для Spectre Variant 2 (CVE-2017-5715 "Внедрение цели ветви"). KB4093836 перечислены определенные статьи базы знаний по версии Windows. Каждая конкретная статья базы знаний содержит доступные обновления микрокода Intel для разных ЦП.

Эта проблема устранена в KB4093118.

AMD недавно объявила, что они начали выпускать микрокоды для новых платформ ЦП вокруг Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Дополнительные сведения см. в техническом документе AMD Security Обновления и документе AMD: Рекомендации по архитектуре по управлению непрямой ветвью. Они доступны в канале встроенного ПО OEM.

Мы делаем доступными проверенные Intel обновления микрокодов вокруг Spectre Variant 2 (CVE-2017-5715 "Внедрение цели ветви "). Чтобы получить последние обновления микрокодов Intel через клиентский компонент Центра обновления Windows, клиенты должны установить микрокод Intel на устройствах с операционной системой Windows 10 перед обновлением до обновления Windows 10 апреля 2018 г. (версия 1803).

Также обновление микрокода можно получить непосредственно из каталога, если оно не было установлено на устройстве до обновления ОС. Микрокод Intel доступен через клиентский компонент Центра обновления Windows, WSUS или в каталоге Центра обновления Майкрософт. Дополнительные сведения и инструкции по скачиванию см. в KB4100347.

Дополнительные сведения см. в следующих ресурсах:

• ADV180012 | Руководство Майкрософт по обходу спекулятивного хранилища для CVE-2018-3639

• ADV180013 | Руководство Майкрософт по чтению мошеннической системной регистрации для CVE-2018-3640 и KB4073065

• Блог по исследованиям и обороне в области безопасности Майкрософт

• Руководство разработчика по обходу спекулятивного хранилища

Дополнительные сведения см. в разделах "Рекомендуемые действия" и "Вопросы и ответы" в ADV180012 | Руководство Майкрософт по обходу спекулятивного хранилища.

Чтобы проверить состояние SSBD, скрипт PowerShell Get-SpeculationControlSettings был обновлен для обнаружения затронутых процессоров, состояния обновлений операционной системы SSBD и состояния микрокода процессора , если применимо. Дополнительные сведения и сведения о получении скрипта PowerShell см. в разделе KB4074629.

13 июня 2018 г. было объявлено о дополнительной уязвимости, связанной с спекулятивным выполнением по боковому каналу, известной как восстановление состояния Ленивый FP, и была назначена функция CVE-2018-3665. Параметры конфигурации (реестра) не нужны для восстановления FP с отложенным восстановлением.

Дополнительные сведения об этой уязвимости и рекомендуемые действия см. в рекомендациях по безопасности ADV180016 | Руководство Майкрософт по восстановлению состояния ленивого FP.

Хранилище обхода границ (BCBS) было раскрыто 10 июля 2018 г. и присвоено значение CVE-2018-3693. Мы считаем, что BCBS принадлежит к тому же классу уязвимостей, что и обход проверки границ (вариант 1). В настоящее время мы не знаем о каких-либо экземплярах BCBS в нашем программном обеспечении, но мы продолжаем исследовать этот класс уязвимостей и будем работать с отраслевыми партнерами над выпуском мер по устранению рисков по мере необходимости. Мы по-прежнему призываем исследователей представить любые соответствующие результаты в программу microsoft Speculative Execution Side Channel bounty, включая любые эксплуатируемые экземпляры BCBS. Разработчикам программного обеспечения следует ознакомиться с рекомендациями для разработчиков, которые были обновлены для BCBS на https://aka.ms/sescdevguide.

14 августа 2018 г. было объявлено о сбое терминала L1 (L1TF) и назначено несколько cves. Эти новые спекулятивные уязвимости бокового канала могут использоваться для считывания содержимого памяти через доверенные границы и в случае их использования могут привести к раскрытию информации. Злоумышленник может активировать уязвимости через несколько векторов в зависимости от настроенной среды. L1TF влияет на процессоры Intel® Core® и Intel® Xeon®.

Дополнительные сведения об этой уязвимости и подробное представление затронутых сценариев, включая подход Корпорации Майкрософт к устранению рисков L1TF, см. в следующих ресурсах:

• ADV180018 | Руководство Майкрософт по устранению проблемы с вариантом L1TF

• Блог о рекомендациях по безопасности по безопасности

• Руководство по серверу для сбоя терминала L1

Клиенты, использующие 64-разрядные процессоры ARM, должны проверка с OEM устройства для поддержки встроенного ПО, так как защита операционной системы ARM64, которая снижает уязвимость CVE-2017-5715 | Внедрение целевых ветвей (Spectre, Variant 2) требуется последнее обновление встроенного ПО от изготовителей оборудования устройств.

Дополнительные сведения см. в следующих рекомендациях по безопасности. 

• Рекомендации intel по безопасности

• ADV190013 | Руководство Майкрософт по устранению уязвимостей выборки микроархитектурных данных

Дополнительные сведения см. в следующих рекомендациях по безопасности.

• Рекомендации intel по безопасности

• ADV190013 | Руководство Майкрософт по устранению уязвимостей выборки микроархитектурных данных

Дополнительные рекомендации можно найти в руководстве Windows по защите от уязвимостей спекулятивного выполнения по боковому каналу.

Ознакомьтесь с рекомендациями в руководстве по Windows, чтобы защититься от уязвимостей спекулятивного выполнения по боковому каналу.

Рекомендации по Azure см. в этой статье : Руководство по устранению уязвимостей спекулятивного выполнения в Azure.  

Дополнительные сведения о включении Retpoline см. в записи блога: Устранение рисков spectre версии 2 с помощью Retpoline в Windows. 

Дополнительные сведения об этой уязвимости см. в руководстве по безопасности Майкрософт : CVE-2019-1125 | Уязвимость ядра Windows, связанная с раскрытием информации.

Мы не знаем о каких-либо случаях этой уязвимости раскрытия информации, затрагивающей нашу инфраструктуру облачных служб.

Как только нам стало известно об этой проблеме, мы быстро поработали над ее решением и выпуском обновления. Мы твердо верим в тесные партнерские отношения как с исследователями, так и с отраслевыми партнерами, чтобы сделать клиентов более безопасными, и не публиковали подробности до вторника, 6 августа, в соответствии с скоординированной практикой раскрытия уязвимостей.

Дополнительные рекомендации см. в руководстве по защите windows от уязвимостей спекулятивного выполнения по боковому каналу.

Дополнительные рекомендации см. в руководстве по защите windows от уязвимостей спекулятивного выполнения по боковому каналу.

Дополнительные рекомендации см. в статье Руководство по отключению возможностей расширения синхронизации транзакций Intel® (Intel® TSX).

Мы предоставляем сторонние контактные данные, чтобы помочь вам найти техническую поддержку. Эти контактные данные могут меняться без уведомления. Мы не гарантируем точность этих контактных данных сторонних поставщиков.