KB4073119: Pokyny pre klientov systému Windows pre profesionálov v oblasti IT na ochranu pred mikroarchitekturálou založenou na kremíku a špekulatívnymi zraniteľnosťami bočného kanála spustenia

14. mája 2019 spoločnosť Intel zverejnila informácie o novej podtriede špekulatívnych chýb na strane kanála spustenia známych ako mikroarchitekturálne vzorkovanie údajov. Tieto zraniteľné miesta sa riešia v nasledujúcich CVE:

• CVE-2019-11091 | Pamäť MDSUM (Microarchitectural Data Sampling Uncacheable Memory)

• CVE-2018-12126 | Vzorkovanie údajov medzipamäte úložiska mikroarchitektúr (MSBDS)

• CVE-2018-12127 | Vzorkovanie údajov medzipamätenej mikroarchitektúrovej výplne (MFBDS)

• CVE-2018-12130 | Vzorkovanie údajov o prenose mikroarchitektúrového zaťaženia (MLPDS)

Vydali sme aktualizácie, ktoré pomáhajú zmierniť tieto chyby. Ak chcete získať všetky dostupné ochrany, vyžadujú sa aktualizácie firmvéru (mikrokódu) a softvéru. Môže to zahŕňať mikrokód z OEM zariadení. V niektorých prípadoch bude mať inštalácia týchto aktualizácií vplyv na výkon. Konali sme aj na zabezpečenie našich cloudových služieb. Dôrazne odporúčame nasadiť tieto aktualizácie.

Ďalšie informácie o tomto probléme nájdete v nasledujúcom upozornení na zabezpečenie a pomocou scenárového sprievodného materiálu na určenie akcií potrebných na zmiernenie hrozby:

• ADV190013 | Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities

• Pokyny systému Windows na ochranu pred špekulatívnymi zraniteľnosťami vedľajšieho kanála spustenia

6. augusta 2019 spoločnosť Intel zverejnila podrobnosti o zraniteľnosti pri zverejňovaní informácií o jadre systému Windows. Toto zraniteľnosť je variant Spectre Variant 1 špekulatívne spustenie side-kanál zraniteľnosti a bol priradený CVE-2019-1125.

9. júla 2019 sme vydali aktualizácie zabezpečenia pre operačný systém Windows, aby sme pomohli zmierniť tento problém. Upozorňujeme, že sme toto zmiernenie verejne zdokumentovali až do koordinovaného zverejnenia v odvetví v utorok 6. augusta 2019.

Zákazníci, ktorí Windows Update povolili a použili aktualizácie zabezpečenia vydané 9. júla 2019, sú automaticky chránení. Nie je potrebná žiadna ďalšia konfigurácia.

Ďalšie informácie o tomto zraniteľnosti a príslušných aktualizáciách nájdete v príručke k aktualizácii zabezpečenia spoločnosti Microsoft:

• CVE-2019-1125 | Nedostatočné zverejnenie informácií o jadre systému Windows

12. novembra 2019 spoločnosť Intel zverejnila technické poradenstvo v oblasti rozšírenia transakcií synchronizácie intel (Intel TSX) Transaction Asynchronous Abort vulnerability, ktoré má priradené CVE-2019-11135. Vydali sme aktualizácie, ktoré pomáhajú zmierniť túto zraniteľnosť. Predvolene sú ochrany operačného systému povolené pre vydania Windows Client OS.

14. júna 2022 sme publikovali ADV220002 | Microsoft Sprievodný materiál k zraniteľnosti údajov MMIO procesora Intel. Zraniteľnosti sú priradené v nasledujúcich CVE:

• CVE-2022-21123 | Čítanie údajov zdieľanej medzipamäte (SBDR)

• CVE-2022-21125 | Vzorkovanie údajov zdieľanej medzipamäte (SBDS)

• CVE-2022-21127 | Aktualizácia vzorkovania údajov medzipamäte špeciálneho registra (aktualizácia SRBDS)

• CVE-2022-21166 | Device Register Partial Write (DRPW)

Odporúčané akcie

Na ochranu pred týmito zraniteľnosťami by ste mali vykonať nasledujúce akcie:

1. Použite všetky dostupné aktualizácie operačného systému Windows vrátane mesačných aktualizácií zabezpečenia Windowsu.

2. Použite príslušnú aktualizáciu firmvéru (mikrokódu), ktorú poskytuje výrobca zariadenia.

3. Vyhodnoťte riziko pre svoje prostredie na základe informácií, ktoré sú k dispozícii v ADV180002,ADV180012, ADV190013 a ADV220002informácií uvedených v tomto článku.

4. Vykonajte akciu podľa potreby pomocou poradenstva a informácií o kľúči databázy Registry, ktoré sú uvedené v tomto článku.

12. júla 2022 sme publikovali CVE-2022-23825 | Zmätok typu vetvy procesora AMD, ktorý popisuje, že aliasy v prediktore vetvy môžu spôsobiť, že určité procesory AMD predpovedajú nesprávny typ vetvy. Tento problém môže potenciálne viesť k zverejneniu informácií.

Na ochranu pred týmto rizikom odporúčame nainštalovať aktualizácie Windowsu, ktoré sú datované v júli 2022 alebo po jeho skončení, a potom vykonať kroky podľa požiadaviek CVE-2022-23825 a kľúčových informácií databázy Registry, ktoré sú uvedené v tomto vedomostná databáza článku.

Ďalšie informácie nájdete v bulletine o zabezpečení AMD-SB-1037 .

8. augusta 2023 sme publikovali CVE-2023-20569 | AMD CPU Return Address Predictor (známy aj ako Inception), ktorý popisuje nový špekulatívny útok bočného kanála, ktorý môže mať za následok špekulatívne vykonanie na adrese kontrolovanej útočníkom. Tento problém sa týka niektorých procesorov AMD a môže potenciálne viesť k zverejneniu informácií.

Na ochranu pred týmto rizikom odporúčame nainštalovať aktualizácie Windowsu, ktoré sú datované v auguste 2023 alebo po jeho skončení, a potom vykonať akcie podľa požiadaviek CVE-2023-20569 a informácií o kľúčoch databázy Registry, ktoré sú uvedené v tomto vedomostná databáza článku.

Ďalšie informácie nájdete v bulletine o zabezpečení AMD-SB-7005 .

9. apríla 2024 sme publikovali CVE-2022-0001 | Intel Branch History Injection , ktorá popisuje vloženie histórie pobočky (BHI), čo je špecifická forma interného BTI. Toto nedostatočné zabezpečenie sa vyskytuje, keď útočník môže manipulovať s históriou vetvy pred prechodom z používateľa do režimu dohľadu (alebo z VMX non-root/hosť do koreňového režimu). Táto manipulácia by mohla spôsobiť, že nepriamy prediktor vetvy vyberie konkrétnu položku prediktora pre nepriamu vetvu a miniaplikácia zverejňovania v predpovedanom cieli sa prechodne spustí. Môže to byť možné, pretože príslušná história vetvy môže obsahovať vetvy v predchádzajúcich kontextoch zabezpečenia, a najmä iné režimy prediktora.

Ochrana od používateľa k jadru pre CVE-2017-5715 je predvolene vypnutá pre procesory AMD a ARM. Ak chcete získať ďalšie ochrany pre CVE-2017-5715, musíte povoliť obmedzenie rizík. Ďalšie informácie nájdete v téme Najčastejšie otázky č. 15 v ADV180002 pre procesory AMD a najčastejšie otázky č. 20 v ADV180002 pre procesory ARM.

Predvolene je ochrana od používateľa k jadru pre CVE-2017-5715 zakázaná pre procesory AMD. Zákazníci musia povoliť zmiernenie, aby získali dodatočnú ochranu pre CVE-2017-5715.  Ďalšie informácie nájdete v téme Najčastejšie otázky č. 15 v ADV180002.

Povolenie zmiernenia pre CVE-2022-23825 v procesoroch AMD :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Ak chcú byť zákazníci plne chránení, možno budú musieť vypnúť aj Hyper-Threading (známe aj ako simultánne viacprocesové (SMT)). Pokyny na ochranu zariadení s Windowsom nájdete v KB4073757. 

Povolenie zmiernenia pre CVE-2023-20569 v procesoroch AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Povolenie zmiernenia pre CVE-2022-0001 v procesoroch Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Podrobné vysvetlenie výstupu skriptu prostredia PowerShell nájdete v téme KB4074629.

Mikrokód sa doručuje prostredníctvom aktualizácie firmvéru. Mali by ste sa so svojím procesorom (čipovou súpravou) a výrobcami zariadení informovať o dostupnosti príslušných aktualizácií zabezpečenia firmvéru pre konkrétne zariadenie vrátane sprievodného materiálu na revíziu mikrokódu Intels.

Riešenie zraniteľnosti hardvéru prostredníctvom aktualizácie softvéru predstavuje významné výzvy. Obmedzenia rizík pre staršie operačné systémy tiež vyžadujú rozsiahle architektonické zmeny. Spolupracujeme s dotknutými výrobcami čipov, aby sme určili najlepší spôsob poskytovania zmiernení, ktoré môžu byť dodané v budúcich aktualizáciách.

Aktualizácie pre zariadenia Microsoft Surface sa zákazníkom doručia prostredníctvom Windows Update spolu s aktualizáciami operačného systému Windows. Zoznam dostupných aktualizácií firmvéru zariadenia Surface (mikrokód) nájdete v téme KB4073065.

Ak vaše zariadenie nie je od spoločnosti Microsoft, použite firmvér od výrobcu zariadenia. Ďalšie informácie získate od výrobcu zariadenia OEM.

Vo februári a marci 2018 vydala spoločnosť Microsoft pridanú ochranu pre niektoré systémy s architektúrou x86. Ďalšie informácie nájdete v téme KB4073757 a ADV180002 Microsoft Security Advisory.

Aktualizácie Windows 10 pre HoloLens sú zákazníkom okuliarov HoloLens k dispozícii prostredníctvom Windows Update.

Po použití aktualizácie Windows Zabezpečenie z februára 2018 zákazníci okuliarov HoloLens nemusia vykonať žiadne ďalšie kroky na aktualizáciu firmvéru zariadenia. Tieto obmedzenia rizík budú zahrnuté aj vo všetkých budúcich vydaniach Windows 10 pre HoloLens.

Nie. Aktualizácie iba zabezpečenia nie sú kumulatívne. V závislosti od verzie operačného systému, ktorú používate, budete musieť nainštalovať každú mesačnú aktualizáciu zabezpečenia, aby ste boli chránení pred týmito zraniteľnosťami. Ak napríklad používate Windows 7 pre 32-bitové systémy v ovplyvnenom procesore Intel, musíte nainštalovať všetky aktualizácie iba zabezpečenia. Odporúčame nainštalovať tieto aktualizácie zabezpečenia iba v poradí od vydania.

Poznámka V staršej verzii týchto najčastejších otázok sa nesprávne uvádza, že aktualizácia zabezpečenia z februára obsahovala opravy zabezpečenia vydané v januári. V skutočnosti to tak nie je.

Nie. Aktualizácia zabezpečenia 4078130 bola špecifická oprava, ktorá zabraňuje nepredvídateľnému správaniu systému, problémom s výkonom a/alebo neočakávaným reštartom po inštalácii mikrokódu. Použitie februárových aktualizácií zabezpečenia v operačných systémoch Windows klienta umožňuje všetky tri obmedzenia rizík.

Spoločnosť Intel nedávno oznámila , že dokončila svoje overovanie a začala vydávať mikrokód pre novšie platformy procesora. Spoločnosť Microsoft sprístupňuje aktualizácie mikrokódov overené spoločnosťou Intel okolo spectre variantu 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 uvádza konkrétne články vedomostnej databázy Knowledge Base podľa verzie Windowsu. Každý konkrétny článok KB obsahuje dostupné aktualizácie mikrokódu Intel rozdelené podľa procesora.

Tento problém bol vyriešený v KB4093118.

AMD nedávno oznámila , že začali vydávať mikrokód pre novšie procesor platformy okolo Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Ďalšie informácie nájdete v technickej dokumentácii amd security Aktualizácie and AMD: Architecture Guidelines around Indirect Branch Control. Sú k dispozícii v kanáli firmvéru OEM.

V okolí Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection ") sprístupňujeme aktualizácie mikrokódov overené spoločnosťou Intel. Ak chcú zákazníci získať najnovšie aktualizácie mikrokódov Intel prostredníctvom Windows Update, pred inováciou na aktualizáciu Windows 10 z apríla 2018 (verzia 1803) musia mať zákazníci nainštalovaný mikrokód Intel v zariadeniach s operačným systémom Windows 10.

Aktualizácia mikrokódu je k dispozícii priamo z katalógu aj vtedy, ak nebol nainštalovaný v zariadení ešte pred inováciou operačného systému. Mikrokód Intel je k dispozícii prostredníctvom Windows Update, WSUS alebo katalógu microsoft update. Ďalšie informácie a pokyny na stiahnutie nájdete v téme KB4100347.

Ďalšie informácie nájdete v týchto zdrojoch:

• ADV180012 | Pokyny spoločnosti Microsoft na obídenie špekulatívneho obchodu pre CVE-2018-3639

• ADV180013 | Microsoft Guidance for Rogue System Register Read for CVE-2018-3640 and KB4073065

• Blog spoločnosti Microsoft o výskume a obrane zabezpečenia spoločnosti Microsoft

• Pokyny pre vývojárov pre špekulatívne obídenie obchodu

Podrobnosti nájdete v častiach Odporúčané akcie a Najčastejšie otázky v ADV180012 | Pokyny spoločnosti Microsoft na špekulatívne obídenie obchodu.

Na overenie stavu SSBD sa aktualizoval skript Get-SpeculationControlSettings PowerShell, aby sa zistili dotknuté procesory, stav aktualizácií operačného systému SSBD a stav mikrokódu procesora, ak je to možné. Ďalšie informácie a informácie o získaní skriptu prostredia PowerShell nájdete v téme KB4074629.

13. júna 2018 bola oznámená ďalšia zraniteľnosť zahŕňajúca špekulatívne spustenie bočného kanála, známe ako lenivé obnovenie stavu FP, a bola mu pridelená funkcia CVE-2018-3665. Na obnovenie protokolu FP lenivej obnovy nie sú potrebné žiadne nastavenia konfigurácie (databázy Registry).

Ďalšie informácie o tomto zraniteľnosti a odporúčaných akciách nájdete v ADV180016 zabezpečenia | Pokyny spoločnosti Microsoft na obnovenie stavu lazy FP.

Bounds Check Bypass Store (BCBS) bol zverejnený 10. júla 2018 a priradený CVE-2018-3693. Domnievame sa, že BCBS patrí do rovnakej triedy zraniteľností ako obídenie kontroly hraníc (Variant 1). V súčasnosti nevieme o žiadnych inštanciách BCBS v našom softvéri, ale pokračujeme vo výskume tejto triedy zraniteľnosti a budeme spolupracovať s partnermi v odvetví, aby sme podľa potreby uvoľnili zmiernenia rizík. Naďalej vyzývame výskumných pracovníkov, aby predložili všetky relevantné zistenia do špekulatívneho programu odmien Side Channel spoločnosti Microsoft vrátane všetkých vykorisťovateľných inštancií BCBS. Softvéroví vývojári by si mali pozrieť pokyny pre vývojárov, ktoré boli aktualizované pre BCBS v https://aka.ms/sescdevguide.

Augusta 14, 2018, L1 Terminal Fault (L1TF) bola oznámená a pridelených viac CVE. Tieto nové špekulatívne spustenie side-kanál zraniteľnosti možno použiť na čítanie obsahu pamäte cez dôveryhodné hranice, a ak je využité, môže viesť k zverejneniu informácií. Útočník môže spustiť zraniteľnosti prostredníctvom viacerých vektorov v závislosti od nakonfigurovaného prostredia. L1TF ovplyvňuje procesory Intel® Core® a procesory Intel® Xeon®.

Ďalšie informácie o tomto zraniteľnosti a podrobnom zobrazení ovplyvnených scenárov vrátane prístupu spoločnosti Microsoft k zmierneniu L1TF nájdete v nasledujúcich zdrojoch:

• ADV180018 | Microsoft Guidance to mitigate L1TF variant

• Blog o výskume zabezpečenia poradenstva v oblasti bezpečnosti

• Pokyny na serveri pre poruchu terminálu L1

Zákazníci používajúci 64-bitové procesory ARM by si mali skontrolovať podporu firmvéru zariadenia OEM, pretože ochrana operačného systému ARM64, ktorá zmierňuje CVE-2017-5715 | Vsunutie cieľovej vetvy (Spectre, Variant 2) vyžaduje, aby sa prejavila najnovšia aktualizácia firmvéru zo zariadení OEM.

Ďalšie informácie nájdete v nasledujúcich bezpečnostných upozorneniach 

• Poradenstvo v oblasti zabezpečenia spoločnosti Intel

• ADV190013 | Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities

Ďalšie informácie nájdete v nasledujúcich bezpečnostných upozorneniach

• Poradenstvo v oblasti zabezpečenia spoločnosti Intel

• ADV190013 | Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities

Ďalšie pokyny nájdete v pokynoch systému Windows na ochranu pred špekulatívnym spustením chýb bočného kanála

Pozrite si pokyny v pokynoch systému Windows na ochranu pred špekulatívnym spustením chýb bočného kanála

Sprievodný materiál k službe Azure nájdete v tomto článku: Pokyny na zmiernenie špekulatívnych chýb na strane kanála spustenia v službe Azure.  

Ďalšie informácie o povolení Retpoline nájdete v našom blogovom príspevku: Mitigating Spectre variant 2 with Retpoline on Windows. 

Podrobnosti o tomto zraniteľnosti nájdete v Príručke zabezpečenia spoločnosti Microsoft: CVE-2019-1125 | Nedostatočné zverejnenie informácií o jadre systému Windows.

Nie sme si vedomí žiadnej inštancie tejto zraniteľnosti pri zverejňovaní informácií, ktorá by ovplyvnila našu infraštruktúru cloudových služieb.

Hneď ako sme sa dozvedeli o tomto probléme, rýchlo sme pracovali na jeho vyriešení a vydaní aktualizácie. Pevne veríme v úzke partnerstvá s výskumnými pracovníkmi a partnermi v odvetví, aby sa zákazníci bezpečnejšie, a nezverejnil podrobnosti až do utorka 6.srpna, v súlade s koordinovanými postupmi zraniteľnosti zverejňovanie.

Ďalšie pokyny nájdete v pokynoch systému Windows na ochranu pred špekulatívnym spustením chýb bočného kanála.

Ďalšie pokyny nájdete v pokynoch systému Windows na ochranu pred špekulatívnym spustením chýb bočného kanála.

Ďalšie pokyny nájdete v pokynoch na vypnutie® funkcie intel transactional synchronization Extensions (Intel® TSX).

Poskytujeme kontaktné informácie tretích strán, ktoré vám pomôžu nájsť technickú podporu. Tieto kontaktné informácie môžu zmeniť bez predchádzajúceho upozornenia. Nezaručujeme presnosť týchto kontaktných informácií tretích strán.