Дата изменения |
Декрипция изменений |
---|---|
20 апреля 2023 г. |
|
8 августа 2023 г. |
|
9 августа 2023 г. |
|
9 апреля 2024 г. |
|
16 апреля 2024 г. |
|
Сводка
В этой статье приведены рекомендации по новому классу микроархитектурных микроархитектурных и спекулятивных уязвимостей на основе кремниевого выполнения, которые влияют на многие современные процессоры и операционные системы. Сюда входят Intel, AMD и ARM. Конкретные сведения об этих уязвимостях на основе кремния можно найти в следующих adv (рекомендации по безопасности) и CVEs (распространенные уязвимости и экспозиции):
-
ADV180002 | Руководство по устранению уязвимостей спекулятивного выполнения в боковом канале
-
ADV180012 | Руководство Майкрософт по обходу спекулятивного хранилища
-
ADV180013 | Руководство Майкрософт по чтению мошеннических системных регистров
-
ADV180016 | Руководство Майкрософт по восстановлению состояния ленивого FP
-
ADV180018 | Руководство Майкрософт по устранению проблемы с вариантом L1TF
-
ADV190013 | Руководство Майкрософт по устранению уязвимостей выборки микроархитектурных данных
-
ADV220002 | Руководство Майкрософт по уязвимостям устаревших данных для процессора Intel MMIO
: Эти проблемы также влияют на другие операционные системы, такие как Android, Chrome, iOS и MacOS. Мы советуем клиентам обращаться за рекомендациями этих поставщиков.
Мы выпустили несколько обновлений для устранения этих уязвимостей. Мы также приняли меры по защите наших облачных служб. Дополнительные сведения см. в следующих разделах.
Мы еще не получили никакой информации о том, что эти уязвимости использовались для атак на клиентов. Мы тесно сотрудничаем с отраслевыми партнерами, включая производителей микросхем, изготовителей оборудования и поставщиков приложений для защиты клиентов. Чтобы получить все доступные средства защиты, требуются обновления встроенного ПО (микрокода) и программного обеспечения. Сюда входят микрокоды от изготовителей оборудования устройств и, в некоторых случаях, обновления антивирусного программного обеспечения.
Уязвимости
В этой статье рассматриваются следующие уязвимости спекулятивного выполнения:
клиентский компонент Центра обновления Windows также предоставят средства защиты от Обозреватель в Интернете и Edge. Мы будем продолжать совершенствовать эти способы устранения уязвимостей этого класса.
Дополнительные сведения об этом классе уязвимостей см. в разделе
14 мая 2019 г. корпорация Intel опубликовала информацию о новом подклассе уязвимостей спекулятивного выполнения по боковому каналу, известном как выборка данных микроархитектуры и описанной в ADV190013 | Выборка микроархитектурных данных. Им назначены следующие cves:
-
CVE-2019-11091 | Микроархитектурные данные выборки неподключаемой памяти (MDSUM)
-
CVE-2018-12126 | Выборка данных буфера микроархитектурного хранилища (MSBDS)
-
CVE-2018-12127 | Выборка данных буфера микроархитектурной заполнения (MFBDS)
-
CVE-2018-12130 | Выборка данных порта микроархитектурной загрузки (MLPDS)
: Эти проблемы повлияют на другие системы, такие как Android, Chrome, iOS и MacOS. Мы советуем клиентам обращаться за рекомендациями этих поставщиков.
Корпорация Майкрософт выпустила обновления, которые помогут устранить эти уязвимости. Чтобы получить все доступные средства защиты, требуются обновления встроенного ПО (микрокода) и программного обеспечения. Это может быть микрокод от изготовителей оборудования устройств. В некоторых случаях установка этих обновлений влияет на производительность. Мы также приняли меры для защиты наших облачных служб. Настоятельно рекомендуется развернуть эти обновления.
Дополнительные сведения об этой проблеме см. в следующих рекомендациях по безопасности и в руководстве по использованию сценариев для определения действий, необходимых для устранения угрозы:
-
ADV190013 | Руководство Майкрософт по устранению уязвимостей выборки микроархитектурных данных
-
Руководство Windows по защите от уязвимостей спекулятивного выполнения по боковому каналу
: Мы рекомендуем установить все последние обновления с клиентский компонент Центра обновления Windows перед установкой обновлений микрокодов.
6 августа 2019 г. корпорация Intel опубликовала сведения об уязвимости раскрытия информации в ядре Windows. Эта уязвимость является вариантом уязвимости Spectre, Variant 1 спекулятивного выполнения бокового канала и назначена CVE-2019-1125.
9 июля 2019 г. мы выпустили обновления для системы безопасности для операционной системы Windows, которые помогут устранить эту проблему. Обратите внимание, что мы сдержим публичное документирование этой меры до скоординированного раскрытия информации о отрасли во вторник, 6 августа 2019 года.
Клиенты, которые клиентский компонент Центра обновления Windows включили и применили обновления для системы безопасности, выпущенные 9 июля 2019 г., защищаются автоматически. Дальнейшая настройка не требуется.
: Для этой уязвимости не требуется обновление микрокода от производителя устройства (OEM).
Дополнительные сведения об этой уязвимости и применимых обновлениях см. в руководстве по обновлению системы безопасности Майкрософт:
12 ноября 2019 г. корпорация Intel опубликовала технические рекомендации по уязвимости асинхронного прерывания транзакций Intel® Transactional Synchronization Extensions (Intel TSX), которой назначена cve-2019-11135. Корпорация Майкрософт выпустила обновления, которые помогут устранить эту уязвимость, и защита ОС включена по умолчанию для Windows Server 2019, но отключена по умолчанию для Windows Server 2016 и более ранних выпусков ОС Windows Server.
14 июня 2022 г. мы опубликовали ADV220002 | Руководство Майкрософт по уязвимостям устаревших данных процессоров Intel MMIO и назначены следующие cvEs:
-
CVE-2022-21127 | Специальное обновление выборки данных буфера регистра (обновление SRBDS)
-
CVE-2022-21166 | Частичная запись регистра устройства (DRPW)
Рекомендуемые действия
Чтобы защититься от уязвимостей, необходимо выполнить следующие действия:
-
Примените все доступные обновления операционной системы Windows, включая ежемесячные обновления системы безопасности Windows.
-
Примените применимое обновление встроенного ПО (микрокода), предоставленное производителем устройства.
-
Оцените риск для вашей среды на основе информации, предоставленной в рекомендациях по безопасности Майкрософт: ADV180002, ADV180012, ADV190013 и ADV220002, в дополнение к сведениям, приведенным в этой статье база знаний.
-
Выполните необходимые действия, используя рекомендации и сведения раздела реестра, указанные в этой база знаний статье.
: Клиенты Surface получат обновление микрокода через клиентский компонент Центра обновления Windows. Список последних обновлений встроенного ПО устройства Surface (микрокода) см. в разделе KB4073065.
12 июля 2022 г. мы опубликовали CVE-2022-23825 | Ошибка типа ветви ЦП AMD , которая описывает, что псевдонимы в предикторе ветви могут привести к тому, что некоторые процессоры AMD прогнозируют неправильный тип ветви. Эта проблема может привести к раскрытию информации.
Чтобы защититься от этой уязвимости, рекомендуется установить обновления Windows, датированные июлем 2022 г. или позже, а затем принять меры в соответствии с требованиями CVE-2022-23825 и разделом реестра, приведенными в этой база знаний статье.
Дополнительные сведения см. в бюллетене по безопасности AMD-SB-1037 .
8 августа 2023 г. мы опубликовали CVE-2023-20569 | Предиктор возвращаемых адресов (также известный как Начало), описывающий новую спекулятивную атаку на стороне канала, которая может привести к спекулятивному выполнению по адресу, контролируемому злоумышленником. Эта проблема затрагивает некоторые процессоры AMD и может привести к раскрытию информации.
Чтобы защититься от этой уязвимости, рекомендуется установить обновления Windows, датируемые августом 2023 г. или позже, а затем принять меры в соответствии с требованиями CVE-2023-20569 и разделов реестра, приведенными в этой база знаний статье.
Дополнительные сведения см. в бюллетене по безопасности AMD-SB-7005 .
9 апреля 2024 г. мы опубликовали CVE-2022-0001 | Внедрение журнала ветвей Intel, описывающее внедрение журнала ветвей (BHI), которое является определенной формой внутрисемейной BTI. Эта уязвимость возникает, когда злоумышленник может управлять журналом ветви перед переходом из режима пользователя в режим супервизора (или из режима VMX, не корневого или гостевого, в корневой режим). Это может привести к тому, что прогностиктор непрямой ветви выберет определенную запись прогностика для непрямой ветви, и гаджет раскрытия информации в прогнозируемом целевом объекте будет выполняться временно. Это может быть возможно, так как соответствующий журнал ветви может содержать ветви, принятые в предыдущих контекстах безопасности, и, в частности, в других режимах прогнозирования.
Параметры устранения рисков для Windows Server и Azure Stack HCI
Рекомендации по безопасности (ADV) и CVEs предоставляют сведения о риске, который представляют эти уязвимости. Они также помогают выявить уязвимости и определить состояние по умолчанию для устранения рисков для систем Windows Server. В приведенной ниже таблице приведены требования к микрокоду ЦП и состояние по умолчанию для устранения рисков в Windows Server.
CVE |
Требуется микрокод ЦП или встроенное ПО? |
Состояние устранения рисков по умолчанию |
---|---|---|
Нет |
Включено по умолчанию (нет параметра для отключения) Дополнительные сведения см. в ADV180002 . |
|
Да |
Отключено по умолчанию. Дополнительные сведения см. в ADV180002 и в этой статье базы знаний о соответствующих параметрах реестра. Примечание Функция "Retpoline" включена по умолчанию для устройств под управлением Windows 10, версия 1809 и более поздних версий, если включен параметр Spectre Variant 2 (CVE-2017-5715). Дополнительные сведения о "Retpoline" см. в записи блога о смягчении рисков spectre версии 2 с помощью Retpoline в Windows . |
|
Нет |
Windows Server 2019, Windows Server 2022 и Azure Stack HCI: включено по умолчанию. Windows Server 2016 и более ранних версий: по умолчанию отключено.Дополнительные сведения см. в ADV180002 . |
|
Intel: Да AMD: Нет |
Отключено по умолчанию. Дополнительные сведения см. в ADV180012 и в этой статье о применимых параметрах раздела реестра. |
|
Intel: Да |
Windows Server 2019, Windows Server 2022 и Azure Stack HCI: включено по умолчанию. Windows Server 2016 и более ранних версий: по умолчанию отключено.Дополнительные сведения см. в ADV190013 и в этой статье о применимых параметрах раздела реестра. |
|
Intel: Да |
Windows Server 2019, Windows Server 2022 и Azure Stack HCI: включено по умолчанию. Windows Server 2016 и более ранних версий: по умолчанию отключено.Дополнительные сведения см. в ADV190013 и в этой статье о применимых параметрах раздела реестра. |
|
Intel: Да |
Windows Server 2019, Windows Server 2022 и Azure Stack HCI: включено по умолчанию. Windows Server 2016 и более ранних версий: по умолчанию отключено.Дополнительные сведения см. в ADV190013 и в этой статье о применимых параметрах раздела реестра. |
|
Intel: Да |
Windows Server 2019, Windows Server 2022 и Azure Stack HCI: включено по умолчанию. Windows Server 2016 и более ранних версий: по умолчанию отключено.Дополнительные сведения см. в ADV190013 и в этой статье о применимых параметрах раздела реестра. |
|
Intel: Да |
Windows Server 2019, Windows Server 2022 и Azure Stack HCI: включено по умолчанию. Windows Server 2016 и более ранних версий: по умолчанию отключено.Дополнительные сведения см. в статье CVE-2019-11135 и в этой статье о применимых параметрах раздела реестра. |
|
CVE-2022-21123 (часть MMIO ADV220002) |
Intel: Да |
Windows Server 2019, Windows Server 2022 и Azure Stack HCI: включено по умолчанию. Windows Server 2016 и более ранних версий: по умолчанию отключено.*Дополнительные сведения см. в разделе CVE-2022-21123 и в этой статье о применимых параметрах раздела реестра. |
CVE-2022-21125 (часть ADV220002 MMIO) |
Intel: Да |
Windows Server 2019, Windows Server 2022 и Azure Stack HCI: включено по умолчанию. Windows Server 2016 и более ранних версий: по умолчанию отключено.*Дополнительные сведения см. в статье CVE-2022-21125 и в этой статье о применимых параметрах раздела реестра. |
CVE-2022-21127 (часть MMIO ADV220002) |
Intel: Да |
Windows Server 2019, Windows Server 2022 и Azure Stack HCI: включено по умолчанию. Windows Server 2016 и более ранних версий: по умолчанию отключено.*Дополнительные сведения см. в статье CVE-2022-21127 и в этой статье о применимых параметрах раздела реестра. |
CVE-2022-21166 (часть MMIO ADV220002) |
Intel: Да |
Windows Server 2019, Windows Server 2022 и Azure Stack HCI: включено по умолчанию. Windows Server 2016 и более ранних версий: по умолчанию отключено.*Дополнительные сведения см. в документе CVE-2022-21166 и в этой статье о применимых параметрах раздела реестра. |
CVE-2022-23825 (путаница с типом ветви ЦП AMD) |
AMD: Нет |
Дополнительные сведения см. в разделе CVE-2022-23825 и в этой статье о применимых параметрах раздела реестра. |
CVE-2023-20569 (Прогнозатор возвращаемого адреса ЦП AMD) |
AMD: Да |
Дополнительные сведения см. в статье CVE-2023-20569 и в этой статье о применимых параметрах раздела реестра. |
Intel: Нет |
Отключено по умолчанию Дополнительные сведения см. в разделе CVE-2022-0001 и в этой статье о применимых параметрах реестра. |
* Следуйте приведенным ниже рекомендациям по устранению рисков для Meltdown.
Если вы хотите получить все доступные средства защиты от этих уязвимостей, необходимо внести изменения в раздел реестра, чтобы включить эти способы устранения рисков, которые отключены по умолчанию.
Включение этих мер защиты может повлиять на производительность. Масштаб влияния на производительность зависит от нескольких факторов, таких как конкретный набор микросхем в физическом узле и выполняемые рабочие нагрузки. Мы рекомендуем оценить влияние на производительность среды и внести необходимые корректировки.
Ваш сервер находится под повышенным риском, если он находится в одной из следующих категорий:
-
Узлы Hyper-V. Требуется защита от атак между виртуальными машинами и между виртуальными машинами.
-
Узлы служб удаленных рабочих столов (RDSH). Требуется защита от одного сеанса к другому сеансу или от атак между сеансами на узел.
-
Физические узлы или виртуальные машины, на которых выполняется ненадежный код, например контейнеры или недоверенные расширения для базы данных, ненадежный веб-контент или рабочие нагрузки, выполняющие код из внешних источников. Для этого требуется защита от ненадежных атак между процессами и другими процессами или ненадежными атаками между процессами и ядрами.
Используйте следующие параметры раздела реестра, чтобы включить устранение рисков на сервере и перезапустить устройство, чтобы изменения вступили в силу.
: По умолчанию включение отключенных мер по устранению рисков может повлиять на производительность. Фактическое влияние на производительность зависит от нескольких факторов, таких как конкретный набор микросхем на устройстве и выполняемые рабочие нагрузки.
Параметры реестра
Мы предоставляем следующие сведения о реестре, чтобы включить устранение рисков, которые не включены по умолчанию, как описано в разделах Рекомендации по безопасности (ADV) и CVEs. Кроме того, мы предоставляем параметры раздела реестра для пользователей, которые хотят отключить устранение рисков, если это применимо для клиентов Windows.
ВАЖНО В этом разделе, методе или задаче содержатся инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы тщательно выполняете эти действия. Чтобы добавить защиту, создайте резервную копию реестра перед его изменением. Затем можно восстановить реестр в случае возникновения проблемы. Дополнительные сведения о резервном копировании и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
KB322756 Резервное копирование и восстановление реестра в Windows
ВАЖНОПо умолчанию Retpoline настраивается следующим образом, если включена защита от spectre, variant 2 (CVE-2017-5715):
— Защита от повторных попыток включена в Windows 10, версия 1809 и более поздних версиях Windows.
— В Windows Server 2019 и более поздних версиях Windows Server защита отключается.
Дополнительные сведения о конфигурации Retpoline см. в статье Устранение рисков Spectre версии 2 с помощью Retpoline в Windows.
|
: Установка параметра FeatureSettingsOverrideMask в значение 3 является точной для параметров "включить" и "отключить". (Дополнительные сведения о разделах реестра см. в разделе часто задаваемых вопросов .)
Отключение варианта 2: (CVE-2017-5715 | Устранение рисков для внедрения целевых ветвей: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. Включение варианта 2: (CVE-2017-5715 | Устранение рисков для внедрения целевых ветвей: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. |
По умолчанию защита от взаимодействия пользователя с ядром для CVE-2017-5715 отключена для процессоров AMD. Клиенты должны включить устранение рисков, чтобы получить дополнительную защиту для CVE-2017-5715. Дополнительные сведения см. в разделе Вопросы и ответы No 15 в ADV180002.
Включите защиту от взаимодействия пользователя с ядром на процессорах AMD вместе с другими средствами защиты для CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Если компонент Hyper-V установлен, добавьте следующий параметр реестра: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Если это узел Hyper-V и применены обновления встроенного ПО: Полностью завершите работу всех Виртуальные машины. Это позволяет применить к узлу устранение рисков, связанных с встроенным ПО, перед запуском виртуальных машин. Поэтому при перезапуске виртуальные машины также обновляются. Перезапустите устройство, чтобы изменения вступили в силу. |
Чтобы включить устранение рисков для CVE-2018-3639 (обход спекулятивного хранилища), CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Если компонент Hyper-V установлен, добавьте следующий параметр реестра: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Если это узел Hyper-V и применены обновления встроенного ПО: Полностью завершите работу всех Виртуальные машины. Это позволяет применить к узлу устранение рисков, связанных с встроенным ПО, перед запуском виртуальных машин. Поэтому при перезапуске виртуальные машины также обновляются. Перезапустите устройство, чтобы изменения вступили в силу. Отключение мер по устранению рисков для CVE-2018-3639 (обход спекулятивного хранилища) и устранения рисков для CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. |
По умолчанию защита от взаимодействия пользователя с ядром для CVE-2017-5715 отключена для процессоров AMD. Клиенты должны включить устранение рисков, чтобы получить дополнительную защиту для CVE-2017-5715. Дополнительные сведения см. в разделе Вопросы и ответы No 15 в ADV180002.
Включите защиту от взаимодействия пользователя с ядром на процессорах AMD вместе с другими средствами защиты для CVE 2017-5715 и защитой для CVE-2018-3639 (спекулятивный обход хранилища): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Если компонент Hyper-V установлен, добавьте следующий параметр реестра: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Если это узел Hyper-V и применены обновления встроенного ПО: Полностью завершите работу всех Виртуальные машины. Это позволяет применить к узлу устранение рисков, связанных с встроенным ПО, перед запуском виртуальных машин. Поэтому при перезапуске виртуальные машины также обновляются. Перезапустите устройство, чтобы изменения вступили в силу. |
Включение мер по устранению рисков для уязвимостей асинхронного прерывания транзакций Intel (CVE-2019-11135) и микроархитектурной выборки данных ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12126 , CVE-2018 8-12127 , CVE-2018-12130 ) вместе с вариантами Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754], MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 и CVE-2022-21166), включая спекулятивное отключение обхода хранилища (SSBD) [CVE-2018-3639 ], а также ошибку терминала L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646] без отключения Hyper-Threading: reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Если компонент Hyper-V установлен, добавьте следующий параметр реестра: reg добавляет "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Если это узел Hyper-V и применены обновления встроенного ПО: Полностью завершите работу всех Виртуальные машины. Это позволяет применить к узлу устранение рисков, связанных с встроенным ПО, перед запуском виртуальных машин. Поэтому при перезапуске виртуальные машины также обновляются. Перезапустите устройство, чтобы изменения вступили в силу. Чтобы включить устранение рисков для уязвимостей асинхронного прерывания транзакций Intel TSX (CVE-2019-11135) и микроархитектурной выборки данных ( CVE-2018-11091), CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) вместе с вариантами Spectre [CVE-2017-5753 & CVE-2017-5715] и Meltdown [CVE-2017-5754], включая отключение обхода спекулятивного хранилища (SSBD) [CVE-2018-3639] а также ошибка терминала L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646] с Hyper-Threading отключена: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Если компонент Hyper-V установлен, добавьте следующий параметр реестра: reg добавляет "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Если это узел Hyper-V и применены обновления встроенного ПО: Полностью завершите работу всех Виртуальные машины. Это позволяет применить к узлу устранение рисков, связанных с встроенным ПО, перед запуском виртуальных машин. Поэтому при перезапуске виртуальные машины также обновляются. Перезапустите устройство, чтобы изменения вступили в силу. Чтобы отключить устранение рисков для уязвимостей асинхронного прерывания транзакций Intel (Intel TSX) (CVE-2019-11135) и микроархитектурной выборки данных ( CVE-2018-11091), CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) вместе с вариантами Spectre [CVE-2017-5753 & CVE-2017-5715] и Meltdown [CVE-2017-5754], включая отключение обхода спекулятивного хранилища (SSBD) [CVE-2018-3639] а также ошибка терминала L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646]: reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. |
Чтобы включить устранение рисков для CVE-2022-23825 на процессорах AMD, выполните следующие действия.
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Чтобы обеспечить полную защиту, клиентам также может потребоваться отключить Hyper-Threading (также известное как одновременная многопотооковая (SMT)). Рекомендации по защите устройств Windows см. в KB4073757.
Чтобы включить устранение рисков для CVE-2023-20569 на процессорах AMD, выполните следующие действия:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Чтобы включить устранение рисков для CVE-2022-0001 на процессорах Intel, выполните следующие действия:
reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Включение нескольких мер по устранению рисков
Чтобы включить несколько мер по устранению рисков, необходимо добавить REG_DWORD значение каждой из них вместе.
Например:
Устранение уязвимостей асинхронного прерывания транзакций, выборки микроархитектурных данных, Spectre, Meltdown, MMIO, спекулятивного обхода хранилища (SSBD) и сбоя терминала L1 (L1TF) с Hyper-Threading отключены |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
ПРИМЕЧАНИЕ 8264 (в десятичном формате) = 0x2048 (в шестнадцатеричном формате) Чтобы включить BHI вместе с другими существующими параметрами, необходимо использовать битовую или с текущим значением с 8 388 608 (0x800000). 0x800000 OR 0x2048(8264 в десятичном разряде) и станет 8 396 872 (0x802048). То же самое и с FeatureSettingsOverrideMask. |
|
Устранение рисков для CVE-2022-0001 на процессорах Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Комбинированное устранение рисков |
reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Устранение уязвимостей асинхронного прерывания транзакций, выборки микроархитектурных данных, Spectre, Meltdown, MMIO, спекулятивного обхода хранилища (SSBD) и сбоя терминала L1 (L1TF) с Hyper-Threading отключены |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Устранение рисков для CVE-2022-0001 на процессорах Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Комбинированное устранение рисков |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Проверка включения защиты
Чтобы убедиться, что защита включена, мы опубликовали сценарий PowerShell, который можно запустить на ваших устройствах. Установите и запустите скрипт с помощью одного из следующих методов.
Установите модуль PowerShell: PS> Install-Module SpeculationControl Запустите модуль PowerShell, чтобы убедиться, что защита включена: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Установите модуль PowerShell из Technet ScriptCenter:
Запустите модуль PowerShell, чтобы убедиться, что защита включена: Запустите PowerShell, а затем используйте предыдущий пример, чтобы скопировать и выполнить следующие команды: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Подробное описание выходных данных скрипта PowerShell см . в разделе KB4074629 .
Вопросы и ответы
Чтобы избежать негативного влияния на устройства клиентов, обновления для системы безопасности Windows, выпущенные в январе и феврале 2018 г., были предложены не всем клиентам. Дополнительные сведения см . в разделе KB407269 .
Микрокод доставляется через обновление встроенного ПО. Обратитесь к изготовителю оборудования о версии встроенного ПО с соответствующим обновлением для вашего компьютера.
Существует несколько переменных, влияющих на производительность, от версии системы до выполняемых рабочих нагрузок. Для некоторых систем эффект производительности будет незначительным. Для других он будет значительным.
Рекомендуется оценить влияние производительности на системы и внести необходимые изменения.
В дополнение к рекомендациям, приведенным в этой статье о виртуальных машинах, обратитесь к поставщику услуг, чтобы убедиться, что узлы, на которых работают виртуальные машины, должным образом защищены.статье Руководство по устранению уязвимостей спекулятивного выполнения в azure . Инструкции по использованию службы "Управление обновлениями Azure" для устранения этой проблемы на гостевых виртуальных машинах см. в разделе KB4077467.
Сведения о виртуальных машинах Windows Server, работающих в Azure, см. вОбновления, выпущенные для образов контейнеров Windows Server для Windows Server 2016 и Windows 10 версии 1709, включают устранение уязвимостей. Дополнительная настройка не требуется.
Примечание По-прежнему необходимо убедиться, что узел, на котором выполняются эти контейнеры, настроен для включения соответствующих мер по устранению рисков.Нет, порядок установки не имеет значения.
Да, необходимо перезапустить после обновления встроенного ПО (микрокода), а затем снова после обновления системы.
Ниже приведены сведения о разделах реестра.
FeatureSettingsOverride представляет растровое изображение, которое переопределяет параметр по умолчанию и определяет, какие средства устранения рисков будут отключены. Бит 0 управляет устранением рисков, соответствующим CVE-2017-5715. Бит 1 управляет устранением рисков, соответствующим CVE-2017-5754. Биты имеют значение 0 , чтобы включить устранение рисков, и значение 1 , чтобы отключить эту меру.
FeatureSettingsOverrideMask представляет маску растрового изображения, которая используется вместе с FeatureSettingsOverride. В этой ситуации мы используем значение 3 (представленное как 11 в двоичной числовой системе или числовой системе base-2) для обозначения первых двух битов, соответствующих доступным способам устранения рисков. Для этого раздела реестра задано значение 3 для включения или отключения мер по устранению рисков.
MinVmVersionForCpuBasedMitigations предназначен для узлов Hyper-V. Этот раздел реестра определяет минимальную версию виртуальной машины, необходимую для использования обновленных возможностей встроенного ПО (CVE-2017-5715). Установите значение 1.0 , чтобы охватить все версии виртуальных машин. Обратите внимание, что это значение реестра будет игнорироваться (не является безопасным) на узлах, отличных от Hyper-V. Дополнительные сведения см. в статье Защита гостевых виртуальных машин от CVE-2017-5715 (внедрение целевой ветви).
Да, если эти параметры реестра применяются до установки исправлений, связанных с январем 2018 г., побочные эффекты отсутствуют.
Подробное описание выходных данных скрипта см. в статье KB4074629: Общие сведения о выходных данных скрипта PowerShell Для управления спекуляциями.
Да, для Windows Server 2016 узлов Hyper-V, для которых еще не доступно обновление встроенного ПО, мы опубликовали альтернативное руководство, которое поможет устранить атаки на виртуальную машину или виртуальную машину для размещения. См. статью Альтернативные средства защиты для Windows Server 2016 узлов Hyper-V от уязвимостей спекулятивного выполнения бокового канала.
Обновления только для системы безопасности не являются накопительными. В зависимости от версии операционной системы может потребоваться установить несколько обновлений для системы безопасности для полной защиты. Как правило, клиентам потребуется установить обновления за январь, февраль, март и апрель 2018 г. Системам с процессорами AMD требуется дополнительное обновление, как показано в следующей таблице:
Версия операционной системы |
Обновление безопасности |
Windows 8.1, Windows Server 2012 R2 |
KB4338815 — ежемесячный накопительный пакет |
KB4338824 — только безопасность |
|
Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2 с пакетом обновления 1 (SP1) или Windows Server 2008 R2 с пакетом обновления 1 (SP1) (установка основных серверных компонентов) |
KB4284826 — ежемесячный накопительный пакет |
KB4284867 — только безопасность |
|
Windows Server 2008 с пакетом обновления 2 (SP2) |
KB4340583 — обновление для системы безопасности |
Мы рекомендуем установить обновления только для системы безопасности в порядке выпуска.
: В более ранней версии этого часто задаваемых вопросов неправильно говорилось, что февральское обновление для системы безопасности включало исправления безопасности, выпущенные в январе. На самом деле, это не так.
Нет. Обновление системы безопасности KB4078130 было особым исправлением, чтобы предотвратить непредсказуемое поведение системы, проблемы с производительностью и непредвиденные перезапуски после установки микрокода. Применение обновлений для системы безопасности в клиентских операционных системах Windows позволяет устранить все три проблемы. В операционных системах Windows Server необходимо по-прежнему включать меры по устранению рисков после правильного тестирования. Дополнительные сведения см. в разделе KB4072698.
Эта проблема устранена в KB4093118.
В феврале 2018 года intel объявила о завершении проверок и начала выпускать микрокоды для новых платформ ЦП. Корпорация Майкрософт предоставляет проверенные обновления микрокодов Intel, касающиеся Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Внедрение целевых ветвей). KB4093836 перечислены конкретные база знаний статьи по версии Windows. Каждая конкретная статья базы знаний содержит доступные обновления микрокодов Intel по ЦП.
11 января 2018 г. корпорация Intel сообщила о проблемах в недавно выпущенном микрокоде, предназначенном для решения spectre варианта 2 (CVE-2017-5715 | Внедрение целевых ветвей). В частности, корпорация Intel отметила, что этот микрокод может привести к "более высоким, чем ожидалось, перезагрузкам и другим непредсказуемым поведению системы" и что эти сценарии могут привести к "потере или повреждению данных"."Наш опыт заключается в том, что нестабильность системы может привести к потере данных или повреждению в некоторых обстоятельствах. 22 января корпорация Intel рекомендовала клиентам прекратить развертывание текущей версии микрокода на затронутых процессорах, пока Intel выполнит дополнительное тестирование обновленного решения. Мы понимаем, что корпорация Intel продолжает изучать потенциальное влияние текущей версии микрокода. Мы рекомендуем клиентам постоянно просматривать свои рекомендации, чтобы информировать их о своих решениях.
Пока Intel тестирует, обновляет и развертывает новые микрокоды, мы делаем доступным обновление вне диапазона (OOB) KB4078130, которое, в частности, отключает только защиту от CVE-2017-5715. В нашем тестировании было обнаружено, что это обновление предотвращает описанное поведение. Полный список устройств см. в руководстве intel по редакции микрокодов . Это обновление охватывает Windows 7 с пакетом обновления 1 (SP1), Windows 8.1 и все версии Windows 10, как клиентские, так и серверные. Если вы используете затронутое устройство, это обновление можно применить, скачав его с веб-сайта каталога Центра обновления Майкрософт. Применение этих полезных данных специально отключает только защиту от CVE-2017-5715.
По состоянию на этот раз нет известных отчетов, указывающих на то, что этот спектр вариант 2 (CVE-2017-5715 | Внедрение целевых ветвей) используется для атак на клиентов. Мы рекомендуем, чтобы при необходимости пользователи Windows повторно включили защиту от CVE-2017-5715, когда Intel сообщает, что это непредсказуемое поведение системы было разрешено для вашего устройства.
В феврале 2018 года корпорация Intelобъявила о завершении проверок и приступила к выпуску микрокода для новых платформ ЦП. Корпорация Майкрософт предоставляет проверенные Intel обновления микрокодов, связанные с Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Внедрение целевых ветвей). KB4093836 перечислены конкретные база знаний статьи по версии Windows. Список доступных обновлений микрокода Intel по ЦП.
Дополнительные сведения см. в статье Amd Security Обновления и технический документ AMD: Рекомендации по архитектуре для управления непрямой ветвью. Они доступны в канале встроенного ПО OEM.
Мы делаем доступными проверенные Intel обновления микрокодов, касающиеся Spectre Variant 2 (CVE-2017-5715 | Внедрение целевых ветвей). Чтобы получить последние обновления микрокодов Intel через клиентский компонент Центра обновления Windows, клиенты должны установить микрокод Intel на устройствах с операционной системой Windows 10 перед обновлением до обновления Windows 10 апреля 2018 г. (версия 1803).
Обновление микрокода также доступно непосредственно из каталога Центра обновления Майкрософт, если оно не было установлено на устройстве перед обновлением системы. Микрокод Intel доступен в клиентский компонент Центра обновления Windows, Windows Server Update Services (WSUS) или в каталоге Центра обновления Майкрософт. Дополнительные сведения и инструкции по скачиванию см. в KB4100347.
Дополнительные сведения см. в следующих ресурсах:
-
ADV180012 | Руководство Майкрософт по обходу спекулятивного хранилища для CVE-2018-3639
-
ADV180013 | Руководство Майкрософт по чтению мошеннической системной регистрации для CVE-2018-3640 и базы знаний 4073065 | Руководство для клиентов Surface
-
Блог по исследованиям и обороне в области безопасности Майкрософт
См. разделы "Рекомендуемые действия" и "Вопросы и ответы " ADV180012 | Руководство Майкрософт по обходу спекулятивного хранилища.
Чтобы проверить состояние SSBD, был обновлен скрипт PowerShell Get-SpeculationControlSettings для обнаружения затронутых процессоров, состояния обновлений операционной системы SSBD и состояния микрокода процессора, если применимо. Дополнительные сведения и сведения о получении скрипта PowerShell см. в разделе KB4074629.
13 июня 2018 г. было объявлено о дополнительной уязвимости, которая включает в себя спекулятивное выполнение по боковому каналу, известное как Восстановление состояния Ленивый ПП, было объявлено и назначено CVE-2018-3665 . Сведения об этой уязвимости и рекомендуемых действиях см. в разделе Рекомендации по безопасности ADV180016 | Руководство Майкрософт по восстановлению состояния ленивого FP .
Примечание Для восстановления FP с отложенным восстановлением отсутствуют необходимые параметры конфигурации (реестра).
Хранилище обхода обхода границ (BCBS) было раскрыто 10 июля 2018 г. И присвоено значение CVE-2018-3693. Мы считаем, что BCBS принадлежит к тому же классу уязвимостей, что и обход проверки границ (вариант 1). В настоящее время мы не знаем о каких-либо экземплярах BCBS в нашем программном обеспечении. Тем не менее, мы продолжаем исследовать этот класс уязвимостей и будем работать с отраслевыми партнерами для выпуска мер по устранению рисков по мере необходимости. Мы призываем исследователей представить любые соответствующие результаты в программу поощрения стороннего канала спекулятивного выполнения Майкрософт, включая любые эксплуатируемые экземпляры BCBS. Разработчики программного обеспечения должны ознакомиться с руководством для разработчиков, которое было обновлено для BCBS, в руководстве разработчика C++ для спекулятивного выполнения боковых каналов
14 августа 2018 г. было объявлено о сбое терминала L1 (L1TF) и назначено несколько cves. Эти новые уязвимости спекулятивного выполнения по боковому каналу можно использовать для чтения содержимого памяти через доверенную границу и в случае их использования может привести к раскрытию информации. Существует несколько векторов, с помощью которых злоумышленник может активировать уязвимости в зависимости от настроенной среды. L1TF влияет на процессоры Intel® Core® и Intel® Xeon®.
Дополнительные сведения об этой уязвимости и подробное представление затронутых сценариев, включая подход Корпорации Майкрософт к устранению рисков L1TF, см. в следующих ресурсах:
Действия по отключению Hyper-Threading отличаются от OEM к OEM, но обычно являются частью средств настройки и настройки BIOS или встроенного ПО.
Клиенты, использующие 64-разрядные процессоры ARM, должны обратиться к изготовителю оборудования для получения поддержки встроенного ПО, так как защита операционной системы ARM64 снижает уязвимость CVE-2017-5715 | Внедрение целевых ветвей (Spectre, Variant 2) требуется последнее обновление встроенного ПО от изготовителей оборудования устройств.
Дополнительные сведения см. в следующих рекомендациях по безопасности.
Дополнительные рекомендации можно найти в руководстве Windows по защите от уязвимостей спекулятивного выполнения по боковому каналу.
Ознакомьтесь с рекомендациями в руководстве по Windows, чтобы защититься от уязвимостей спекулятивного выполнения на стороне канала.
Рекомендации по Azure см. в этой статье : Руководство по устранению уязвимостей спекулятивного выполнения в Azure.
Дополнительные сведения о включении Retpoline см. в записи блога: Устранение рисков spectre версии 2 с помощью Retpoline в Windows .
Дополнительные сведения об этой уязвимости см. в руководстве по безопасности Майкрософт : CVE-2019-1125 | Уязвимость ядра Windows, связанная с раскрытием информации.
Мы не знаем о каких-либо случаях этой уязвимости раскрытия информации, затрагивающей нашу инфраструктуру облачных служб.
Как только нам стало известно об этой проблеме, мы быстро поработали над ее решением и выпуском обновления. Мы твердо верим в тесные партнерские отношения как с исследователями, так и с отраслевыми партнерами, чтобы сделать клиентов более безопасными, и не публиковали подробности до вторника, 6 августа, в соответствии с скоординированной практикой раскрытия уязвимостей.
Дополнительные рекомендации см. в руководстве по защите windows от уязвимостей спекулятивного выполнения по боковому каналу.
Дополнительные рекомендации см. в руководстве по защите windows от уязвимостей спекулятивного выполнения по боковому каналу.
Дополнительные рекомендации см. в статье Руководство по отключению возможностей расширения синхронизации транзакций Intel (Intel TSX).
Ссылки
Сторонние продукты, которые рассматриваются в этой статье, производятся компаниями, которые не зависят от Майкрософт. Мы не предоставляем никаких гарантий,подразумеваемых или иных, в отношении производительности или надежности этих продуктов.
Мы предоставляем сторонние контактные данные, чтобы помочь вам найти техническую поддержку. Эти контактные данные могут меняться без уведомления. Мы не гарантируем точность этих контактных данных сторонних поставщиков.