Обзор
Корпорации Майкрософт известно о новый класс открытых источниках уязвимостей, которые известны как «стороны канала атак Упреждающее исполнение команд». Эти уязвимости влияют на многих современных процессоров и операционных систем. Это включает в себя наборы микросхем ARM, AMD и Intel.
Мы еще не получала никакой информации для указания использования данных уязвимостей для атак на пользователей. Мы продолжаем работать в тесном сотрудничестве с отраслевыми партнерами по защите пользователей. Сюда входят производители микросхем, изготовители оборудования оборудования и поставщиков приложений. Чтобы получить все доступные защиты, аппаратное или микропрограммное обеспечение и обновления программного обеспечения не требуется. Это включает в себя микрокода из устройства ПВТ и, в некоторых случаях обновления для антивирусного программного обеспечения. Корпорация Майкрософт выпустила несколько обновлений для снижения уязвимости. Можно найти дополнительные сведения об этих уязвимостях в Microsoft ADV180002 рекомендации безопасности. Общие рекомендации также содержатся рекомендации по устранению уязвимости стороны канала Упреждающее исполнение команд. Мы также предприняли меры для защиты облачным службам. Для получения дополнительных сведений см.
Уязвимые версии Exchange Server
Так как атаки на уровне оборудования, предназначенных для систем на базе процессоров x64 и x86, всех поддерживаемых версий Microsoft Exchange Server, подвержены этой проблеме.
Рекомендации
В следующей таблице описываются рекомендуемые действия для клиентов Exchange Server. Отсутствуют конкретные обновления Exchange, необходимые в данный момент. Тем не менее рекомендуется установить клиенты всегда последней версии накопительного обновления для Exchange Server, а также все обновления безопасности. Рекомендуется развертывание исправлений с помощью ususal процедур для проверки новые двоичные файлы до их развертывания в производственной среде.
|
Сценарий |
Описание |
Рекомендации |
|
1 |
Exchange Server выполняется на исходное (не виртуальных машин) и нет других ненадежных логику приложения (уровень приложений) выполняется на том же компьютере bare металла.
|
Примените все системы и обновления Exchange Server после тестирования обычно предварительную проверку. Включение ядра виртуальный адрес затенение (KVAS) не является обязательным (см. связанный подраздел ниже в этой статье). |
|
2 |
Exchange Server выполняется на виртуальную машину в общей среде размещения (облако). |
Для Azure: Корпорация Майкрософт опубликовала сведения о по смягчению рисков для Azure (см. 4073235 КБ подробные сведения). Для других поставщиков облака: ссылки на свои рекомендации. Обратитесь к инструкции далее в этой статье о разрешении KVAS. |
|
3 |
Exchange Server выполняется на виртуальной машине в среде закрытого размещения. |
Обратитесь к документации гипервизор безопасности рекомендации по безопасности. Увидеть KB 4072698 для Windows Server и Hyper-V. Обратитесь к более поздней версии руководств в данной статье о том, следует ли включить KVAS. |
|
4 |
Exchange Server выполняется на физической или виртуальной машине и не изолировано от других логики приложения, на котором выполняется на том же компьютере.
|
Мы рекомендуем установить все обновления операционной системы. Обратитесь к инструкции далее в этой статье в статье о разрешении KVAS. |
Рекомендации по производительности
Мы рекомендуем всем клиентам оценить производительность конкретной среды при применении обновлений.
Решения, которые предоставляются корпорацией Майкрософт для типов уязвимостей, описанных здесь будет использовать механизмы на основе программного обеспечения для защиты от кросс-процесс доступа к данным. Мы рекомендуем всем пользователям установить обновленные версии Exchange Server и Windows. Должен иметь эффект минимальных тестирования Microsoft Exchange рабочих нагрузок.
Измерения эффекта от ядра виртуальный адрес затенение (KVAS) при различных нагрузках. Мы пришли к выводу, что для некоторых рабочих нагрузок наблюдается значительное снижение производительности. Exchange Server является одним из рабочих нагрузок, наблюдается существенное снижение KVAS при включении. Серверы, показывающие высокая загрузка ЦП или высокой интенсивности использования ввода-вывода предполагается показать наибольший эффект. Настоятельно рекомендуется сначала оценить производительность влияет на включение KVAS при выполнении тестов в лаборатории, представляющий потребностей производства перед развертыванием в производственной среде. При слишком высокой производительности влияет на включение KVAS рассмотрим ли изоляции Exchange Server из ненадежного кода, выполняемого на той же системе лучше преодоления последствий для приложения.
В дополнение к KVAS, подробные сведения о влиянии производительности из ветви внедрение по уменьшению аппаратной поддержки (IBC) здесь. Сервер, на котором выполняется Exchange Server и имеющий развернуто решение IBC наблюдается существенное снижение производительности IBC при включении.
Корпорация Майкрософт предполагает, что поставщики оборудования будет предложить установить обновления для своих продуктов в форме обновления микрокода. Наш опыт работы с Exchange показывает, что обновления микрокода увеличит спада производительности. Степени, что это происходит сильно зависит от компонентов и проектирование системы, на которой они применяются. Мы считаем, что нет единого решения программных или аппаратных, достаточно, чтобы этот тип уязвимости только адреса. Мы рекомендуем вам оценить производительность всех обновлений с учетом вариативности в разработке системы и производительности, прежде чем поместить их в производственной среде. Команде разработчиков Exchange не планируется обновлять калькулятор размеров, клиенты используют в настоящее время учитывать разницу в производительности. Вычисления, предоставляемые этой программой будет не учитывать изменения в производительности, относящихся к исправления для устранения этих проблем. Оценить этот инструмент и корректировки, которые мы считаем, может потребоваться, будет продолжаться на основе нашего собственного использования и от клиентов.
В этом разделе будет обновлена при появлении дополнительной информации.
Включение виртуального адреса ядра затенение
Во многих средах, включая физических систем, ВМ в общих и частных облачных сред и операционной системы Windows выполняется Exchange Server. Независимо от среды программа находится на систему физической или виртуальной Машины. Эта среда ли физическими или виртуальными, называется границубезопасности.
Если весь код в пределах границы имеет доступ ко всем данным в эту границу, никаких действий не требуется. Если это не так, границы называется многопользовательскую. С уязвимостями, которые были найдены сделать любой код, который выполняется в любом процессе границах для чтения других данных внутри этой границы. Это верно даже в ограниченных прав. Если любой процесс в границе работает ненадежный код, этот процесс может использовать эти уязвимости для чтения данных из других процессов.
Для защиты от ненадежного кода в многопользовательскую границы, выполните одно из следующих:
-
Удаление кода без доверия.
-
Включите KVAS для защиты от процесса в процесс чтения. Это будет иметь влияние на производительность. В данной статье, Дополнительные сведения см.
Дополнительные сведения о том, как включить KVAS для Windows содержатся в разделе 4072698 КБ.
Примеры сценариев (KVAS настоятельно рекомендуется)
Сценарий 1
Виртуальная машина Azure запускает службу отправки недоверенных пользователей код JavaScript, который запускается ограниченными разрешениями. На одной виртуальной Машине Exchange Server запущен и управления данными, которые не должны быть доступны для недоверенных пользователей. В этом случае KVAS необходим для защиты от утечки между двумя сущностями.
Сценарий 2
Физической системы на предприятии, содержащего Exchange Server можно запустить без доверия сторонних сценарии или исполняемые файлы. Это необходимо, чтобы предоставить KVAS для защиты от раскрытия данных Exchange для сценария или исполняемого файла.
Примечание Только так как используется механизм расширяемости в Exchange Server, не гарантирует автоматически unsafe. Эти механизмы можно было безопасно применять в Exchange Server, при условии, что каждая зависимость понимают и надежные. Кроме того существуют другие продукты, которые построены на основе Exchange Server, может потребоваться механизмы расширения для правильной работы. Вместо этого в качестве первого действия просмотрите каждое использование для определения понятным и доверенного кода. Данное руководство предоставляется, чтобы помочь пользователям определить, имеют ли они возможность KVAS из-за большее влияние на производительность.
Включение поддержки оборудования (IBC) по уменьшению введения целевой ветви
IBC опасность от CVE 2017 г. 5715, также известный как половина «вариант 2» утечке GPZ или Spectre.
Эти инструкции для включения KVAS в Windows можно также включить IBC. Тем не менее IBC также требует обновления микропрограммы от производителя оборудования. В дополнение к инструкциям в KB 4072698 для включения защиты в Windows пользователям нужно установить обновления у производителя оборудования.
Пример сценария (IBC настоятельно рекомендуется)
Сценарий 1
В физической системы на предприятии, где установлен Exchange Server ненадежные пользователи могут загружать и запускать произвольный код JavaScript. В этом случае настоятельно рекомендуется IBC для защиты от раскрытия информации в процесс.
В ситуациях, в которых IBC отсутствует поддержка оборудования рекомендуется разделить непроверенных процессов и доверенном процессе на различных физических компьютерах или виртуальных машинах.
Механизмы расширения Exchange Server без доверия
Exchange Server включает в себя механизмы и возможности расширения. Многие из них основаны на интерфейсы API, которые не позволяют ненадежного кода для запуска на сервере, на котором выполняется Exchange Server. Агенты транспорта и управления Exchange может позволить ненадежного кода для запуска на сервере, на котором выполняется Exchange Server в определенных ситуациях. Во всех случаях, за исключением агенты транспорта возможности расширения требуют проверку подлинности, прежде чем они могут быть использованы. Рекомендуется использовать функции расширяемости, которые ограничены минимальный набор двоичных файлов, везде, где это применимо. Мы также рекомендуем, клиенты ограничить доступ к серверу, чтобы избежать необходимости произвольного кода запуска же системах, как Exchange Server. Мы советуем вам определить, следует ли доверять каждый двоичный файл. Следует отключить или удалить двоичные файлы без доверия. Также следует убедиться в том, что интерфейсы управления недоступны в Интернете.
Продукты независимых производителей, обсуждаемые в данной статье, производятся компаниями, независимыми от корпорации Майкрософт. Корпорация Майкрософт не дает никаких явных или подразумеваемых гарантий относительно производительности или надежности этих продуктов.
