Poznámka: Tento článok sa aktualizuje, keď budú k dispozícii ďalšie informácie. Pravidelne sem vracajte aktualizácie a nové najčastejšie otázky.

Zraniteľnosti

Tento článok sa zaoberá nasledujúcimi špekulatívnymi chybami spustenia:

Windows Update bude poskytovať aj obmedzenia rizík pre Internet Explorer a Edge. Tieto obmedzenia rizík budeme naďalej vylepšovať v porovnaní s touto triedou zraniteľných miest.

Ďalšie informácie o tejto triede chýb nájdete v téme

14. mája 2019 spoločnosť Intel zverejnila informácie o novej podtriede špekulatívnych chýb na strane kanála vykonávania známych ako mikroarchitekturálne vzorkovanie údajov a zdokumentovaných v ADV190013 | Vzorkovanie mikroarchitekturálnych údajov. Boli im priradené nasledujúce CVE:

Dôležité: Tieto problémy sa prejavia v iných systémoch, ako sú napríklad Android, Chrome, iOS a MacOS. Odporúčame zákazníkom, aby hľadali pomoc od týchto dodávateľov.

Spoločnosť Microsoft vydala aktualizácie, ktoré pomáhajú zmierniť tieto zraniteľné miesta. Ak chcete získať všetky dostupné ochrany, vyžadujú sa aktualizácie firmvéru (mikrokódu) a softvéru. Môže to zahŕňať mikrokód z OEM zariadení. V niektorých prípadoch bude mať inštalácia týchto aktualizácií vplyv na výkon. Konali sme aj na zabezpečenie našich cloudových služieb. Dôrazne odporúčame nasadiť tieto aktualizácie.

Ďalšie informácie o tomto probléme nájdete v nasledujúcom upozornení na zabezpečenie a pomocou scenárových pokynov na určenie akcií potrebných na zmiernenie hrozby:

Poznámka: Pred inštaláciou aktualizácií mikrokódu odporúčame nainštalovať všetky najnovšie aktualizácie z Windows Update.

6. augusta 2019 spoločnosť Intel zverejnila podrobnosti o zraniteľnosti zverejnenia informácií o jadre Windows. Toto zraniteľnosť je variant Spectre Variant 1 špekulatívne spustenie side-kanál zraniteľnosti a bol priradený CVE-2019-1125.

9. júla 2019 sme vydali aktualizácie zabezpečenia pre operačný systém Windows, ktoré pomáhajú zmierniť tento problém. Upozorňujeme, že sme toto zmiernenie verejne zdokumentovali až do koordinovaného zverejnenia v odvetví v utorok 6. augusta 2019.

Zákazníci, ktorí Windows Update povolili a použili aktualizácie zabezpečenia vydané 9. júla 2019, sú automaticky chránení. Nie je potrebná žiadna ďalšia konfigurácia.

Poznámka: Toto nedostatočné zabezpečenie nevyžaduje aktualizáciu mikrokódov od výrobcu zariadenia (OEM).

Ďalšie informácie o tomto zraniteľnosti a príslušných aktualizáciách nájdete v príručke k aktualizácii zabezpečenia spoločnosti Microsoft:

12. novembra 2019 spoločnosť Intel zverejnila technické poradenstvo v oblasti® rozšírenia transakcií synchronizácie intel (Intel TSX) Transaction Asynchronous Abort vulnerability, ktoré má priradené CVE-2019-11135. Spoločnosť Microsoft vydala aktualizácie, ktoré pomáhajú zmierniť túto zraniteľnosť a ochrany operačného systému sú predvolene povolené pre Windows Server 2019, ale predvolene vypnuté pre vydania Windows Server 2016 a staršie vydania Windows Server OS.

14. júna 2022 sme publikovali ADV220002 | Sprievodný materiál spoločnosti Microsoft k zraniteľnosti úsečiek údajov MMIO Procesora Intel a priradení týchto CVE: 

Odporúčané akcie

Na ochranu pred zraniteľnosťami by ste mali vykonať nasledujúce akcie:

  1. Použite všetky dostupné aktualizácie Windows operačného systému vrátane mesačných aktualizácií zabezpečenia Windows.

  2. Použite príslušnú aktualizáciu firmvéru (mikrokódu), ktorú poskytuje výrobca zariadenia.

  3. Okrem informácií uvedených v tomto vedomostná databáza článku vyhodnoťte riziko pre vaše prostredie na základe informácií poskytnutých na lokalite Microsoft Security Advisories: ADV180002, ADV180012, ADV180002 a ADV220002.

  4. Vykonajte akciu podľa potreby pomocou poradenstva a informácií o kľúči databázy Registry, ktoré sú uvedené v tomto vedomostná databáza článku.

Poznámka: Zákazníci zariadenia Surface dostanú aktualizáciu mikrokódu prostredníctvom Windows Update. Zoznam najnovších aktualizácií firmvéru zariadenia Surface (mikrokód) nájdete v článku KB4073065.

Nastavenia obmedzenia rizík pre Windows Server a Azure Stack HCI

Bezpečnostné poradenstvo ADV180002, ADV180012, ADV190013 a ADV220002 poskytujú informácie o riziku, ktoré predstavujú tieto zraniteľné miesta. Pomáhajú vám tiež identifikovať zraniteľné miesta a identifikovať predvolený stav zmiernení rizík pre systémy Windows Server. Nasledujúca tabuľka obsahuje súhrn požiadaviek mikrokódu procesora a predvolený stav zmiernení rizík na Windows Serveri.

CVE

Vyžaduje sa mikrokód procesora/firmvér procesora?

Stav predvoleného obmedzenia rizík

CVE-2017-5753

Nie

Predvolene povolené (bez možnosti vypnutia)

Ďalšie informácie nájdete v ADV180002

CVE 5715 2017

Áno

Predvolene vypnuté.

Ďalšie informácie nájdete v ADV180002 a v tomto článku databázy KB nájdete príslušné nastavenia kľúča databázy Registry.

Poznámka "Retpoline" je predvolene povolená pre zariadenia so systémom Windows 10 1809 alebo novším, ak je povolené Spectre Variant 2 (CVE-2017-5715). Pre viac informácií o "Retpoline", postupujte po zmierňujúce Spectre variant 2 s Retpoline na Windows blog post.

CVE-2017-5754

Nie

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené.
Windows Server 2016 a staršie verzie: Predvolene vypnuté.

Ďalšie informácie nájdete v ADV180002 .

CVE-2018-3639

Intel: Áno

AMD: Nie

Predvolene vypnuté. Ďalšie informácie nájdete v téme ADV180012 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2018-11091

Intel: Áno

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené.
Windows Server 2016 a staršie verzie: Predvolene vypnuté.

Ďalšie informácie nájdete v téme ADV190013 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2018-12126

Intel: Áno

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené.
Windows Server 2016 a staršie verzie: Predvolene vypnuté.

Ďalšie informácie nájdete v téme ADV190013 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2018-12127

Intel: Áno

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené.
Windows Server 2016 a staršie verzie: Predvolene vypnuté.

Ďalšie informácie nájdete v téme ADV190013 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2018-12130

Intel: Áno

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené.
Windows Server 2016 a staršie verzie: Predvolene vypnuté.

Ďalšie informácie nájdete v téme ADV190013 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2019-11135

Intel: Áno

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené.
Windows Server 2016 a staršie verzie: Predvolene vypnuté.

Ďalšie informácie nájdete v CVE-2019-11135 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2022-21123 (súčasť MMIO ADV220002)

Intel: Áno

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené. 
Windows Server 2016 a staršie verzie: Predvolene vypnuté.* 

Ďalšie informácie nájdete v CVE-2022-21123 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2022-21125 (súčasť MMIO ADV220002)

Intel: Áno

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené. 
Windows Server 2016 a staršie verzie: Predvolene vypnuté.* 

Ďalšie informácie nájdete v téme CVE-2022-21125 .

CVE-2022-21127 (súčasť MMIO ADV220002)

Intel: Áno

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené. 
Windows Server 2016 a staršie verzie: Predvolene vypnuté.* 

Ďalšie informácie nájdete v cve-2022-21127 .

CVE-2022-21166 (súčasť MMIO ADV220002)

Intel: Áno

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené. 
Windows Server 2016 a staršie verzie: Predvolene vypnuté.* 

Ďalšie informácie nájdete v cve-2022-21166 .

*Postupujte podľa pokynov na obmedzenie rizík pre zrútenie nižšie.

Ak chcete získať všetky dostupné ochrany proti týmto rizikám, musíte vykonať kľúčové zmeny databázy Registry, aby ste povolili tieto obmedzenia rizík, ktoré sú predvolene zakázané.

Povolenie týchto zmiernení môže ovplyvniť výkon. Rozsah vplyvov výkonu závisí od viacerých faktorov, ako je napríklad špecifická čipová súprava vo fyzickom hostiteľskom systéme a spustené vyťaženia. Odporúčame vyhodnotiť vplyvy na výkon vášho prostredia a vykonať potrebné úpravy.

Váš server je ohrozený zvýšeným rizikom, ak je v niektorej z nasledujúcich kategórií:

  • Hyper-V hostitelia: Vyžaduje ochranu pre VM-to-VM a VM-to-host útoky.

  • Remote Desktop Services Hosts (RDSH): Vyžaduje ochranu z jednej relácie do inej relácie alebo z relácie-k-hostiteľ útoky.

  • Fyzickí hostitelia alebo virtuálne počítače s nedôveryhodným kódom, ako sú napríklad kontajnery alebo nedôveryhodné rozšírenia pre databázu, nedôveryhodný webový obsah alebo vyťaženia s kódom, ktorý pochádza z externých zdrojov. Tieto vyžadujú ochranu pred nedôveryhodným procesom-k-inému procesu alebo nedôveryhodným útokom procesu k jadru.

Pomocou nasledujúcich nastavení kľúča databázy Registry povoľte zmiernenia rizík na serveri a reštartujte zariadenie, aby sa zmeny prejavili.

Poznámka: Predvolene môže zapnutie vypnutých zmiernení ovplyvniť výkon. Efekt skutočného výkonu závisí od viacerých faktorov, ako je napríklad konkrétna čipová súprava v zariadení a spustené vyťaženia.

Nastavenie databázy Registry

Dôležité: Poskytujeme nasledujúce informácie databázy Registry na povolenie zmiernení rizík, ktoré nie sú predvolene povolené, ako je to zdokumentované v témach Security Advisories ADV180002, ADV180012, ADV190013 a ADV220002.

Okrem toho poskytujeme nastavenia kľúča databázy Registry, ak chcete pre Windows klientov vypnúť obmedzenia rizík, ktoré súvisia s CVE-2017-5715 a CVE-2017-5754.

Dôležité: Táto časť, postup alebo úloha obsahuje kroky na vykonanie úprav v databáze Registry. Ak však databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Preto dávajte pozor a postupujte presne podľa týchto krokov. Na dosiahnutie lepšej ochrany je vhodné pred úpravou databázu Registry zálohovať. To vám umožní obnoviť databázu Registry, ak sa vyskytnú problémy. Ďalšie informácie o zálohovaní a obnovení databázy Registry nájdete kliknutím na nasledujúce číslo článku v téme Microsoft vedomostná databáza:

322756 Ako zálohovať a obnoviť databázu Registry v Windows

Dôležité: Predvolene je Retpoline povolená na Windows 10, verzia 1809 servery, ak je povolené Spectre, Variant 2 (CVE-2017-5715). Povolenie Retpoline na najnovšiu verziu Windows 10 môže zvýšiť výkon na serveroch so systémom Windows 10, verzia 1809 pre Spectre variant 2, najmä na starších procesoroch.

Povolenie zmiernení pre CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní.

Reštartujte zariadenie, aby sa zmeny prejavili.

Vypnutie zmiernení pre CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte zariadenie, aby sa zmeny prejavili.

Poznámka: Nastavenie vlastnosti FeatureSettingsOverrideMask na hodnotu 3 je presné pre nastavenia "enable" aj "disable". (Ďalšie podrobnosti o kľúčoch databázy Registry nájdete v časti Najčastejšie otázky .)

Vypnutie variantu 2: (CVE-2017-5715  "Branch Target Injection") zmiernenie:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte zariadenie, aby sa zmeny prejavili.

Povolenie variantu 2: (CVE-2017-5715  "Branch Target Injection") zmiernenie:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte zariadenie, aby sa zmeny prejavili.

Predvolene je pre procesory AMD zakázaná ochrana od používateľa k jadru pre CVE-2017-5715. Zákazníci musia povoliť zmiernenie, aby získali dodatočnú ochranu pre CVE-2017-5715.  Ďalšie informácie nájdete v téme Najčastejšie otázky č. 15 v ADV180002.

Povoľte ochranu procesorov AMD od používateľa k jadru spolu s ďalšími ochranami pre CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní.

Reštartujte zariadenie, aby sa zmeny prejavili.

Povolenie zmiernení pre CVE-2018-3639 (špekulatívne obídenie obchodu), CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní.

Reštartujte zariadenie, aby sa zmeny prejavili.

Vypnutie zmiernení rizík pre CVE-2018-3639 (špekulatívne obídenie obchodu) AND zmiernenia pre CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte zariadenie, aby sa zmeny prejavili.

Predvolene je ochrana od používateľa k jadru pre CVE-2017-5715 zakázaná pre procesory AMD. Zákazníci musia povoliť zmiernenie, aby získali dodatočnú ochranu pre CVE-2017-5715.  Ďalšie informácie nájdete v téme Najčastejšie otázky č. 15 v ADV180002.

Povoľte ochranu procesorov AMD od používateľa k jadru spolu s inými ochranami pre CVE 2017-5715 a ochranou pre CVE-2018-3639 (špekulatívne obídenie obchodu):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní.

Reštartujte zariadenie, aby sa zmeny prejavili.

Povolenie zmiernení rizík pre rozšírenia synchronizácie transakcií intel (Intel TSX) Transaction Asynchrónne prerušenie zraniteľnosti (CVE-2019-11135) a mikroarchitekturálne vzorkovanie údajov ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) spolu s Spectre [CVE-2017-5753 & CVE-2017-5715] a meltdown [CVE-2017-5754] varianty, vrátane špekulatívneho obídenia obchodu Disable (SSBD) [CVE-2018-3639 ] ako a L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646] bez vypnutia hyperprocesie:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní.

Reštartujte zariadenie, aby sa zmeny prejavili.

Povolenie zmiernení rizík pre rozšírenia synchronizácie transakcií intel (Intel TSX) Transaction Asynchrónne prerušenie zraniteľnosti (CVE-2019-11135) a mikroarchitekturálne vzorkovanie údajov ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) spolu s Spectre [ CVE-2017-5753 & CVE-2017-5715 ] a Meltdown [ CVE-2017-5754 ] varianty, vrátane špekulatívneho obídenia obchodu Disable (SSBD) [ CVE-2018-3639 ] ako aj L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646 ] s vypnutým Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní.

Reštartujte zariadenie, aby sa zmeny prejavili.

Vypnutie zmiernení rizík pre rozšírenia synchronizácie transakcií Intel (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) a Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) spolu s Spectre [ CVE-2017-5753 & CVE-2017-5715 ] a meltdown [ CVE-2017-5754 ] varianty, vrátane špekulatívneho obídenia obchodu Disable (SSBD) [ CVE-2018-3639 ] ako aj L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646 ]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte zariadenie, aby sa zmeny prejavili.

Overenie, či sú povolené ochrany

Na overenie, či sú povolené ochrany, sme publikovali skript prostredia PowerShell, ktorý môžete spustiť vo svojich zariadeniach. Nainštalujte a spustite skript pomocou niektorej z nasledujúcich metód.

Nainštalujte modul prostredia PowerShell:

PS> Install-Module SpeculationControl

Spustením modulu PowerShell overte, či sú povolené ochrany:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Nainštalujte modul prostredia PowerShell z technet ScriptCenter:

  1. Prejdite na https://aka.ms/SpeculationControlPS .

  2. Stiahnite SpeculationControl.zip do lokálneho priečinka.

  3. Extrahujte obsah do lokálneho priečinka. Príklad: C:\ADV180002

Spustením modulu PowerShell overte, či sú povolené ochrany:

Spustite prostredie PowerShell a potom pomocou predchádzajúceho príkladu skopírujte a spustite nasledujúce príkazy:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Podrobné vysvetlenie výstupu skriptu prostredia PowerShell nájdete v článku KB4074629

Najčastejšie otázky

Aby sa zabránilo nepriaznivému vplyvu na zariadenia zákazníkov, Windows aktualizácie zabezpečenia, ktoré boli vydané v januári a februári 2018, neboli ponúkané všetkým zákazníkom. Podrobnosti nájdete v článku KB407269 .

Mikrokód sa doručuje prostredníctvom aktualizácie firmvéru. Informácie o verzii firmvéru, ktorá obsahuje príslušnú aktualizáciu pre váš počítač, získate od svojho OEM.

Výkon ovplyvňuje viacero premenných od verzie systému až po spustené vyťaženia. V prípade niektorých systémov bude účinok výkonu zanedbateľný. Pre ostatných to bude značné.

Odporúčame vyhodnotiť vplyvy na výkon vašich systémov a podľa potreby vykonať úpravy.

Okrem sprievodného materiálu, ktorý je v tomto článku o virtuálnych počítačoch, by ste sa mali obrátiť na svojho poskytovateľa služieb, aby ste sa uistili, že hostitelia, ktorí používajú vaše virtuálne počítače, sú primerane chránení.

Informácie o virtuálnych počítačoch Windows Server, ktoré sú spustené v azure, nájdete v téme Pokyny na zmiernenie špekulatívnych chýb na strane kanála spustenia v azure. Pokyny na používanie služby Azure Update Management na zmiernenie tohto problému s virtuálnymi počítačmi hostí nájdete v článku KB4077467.

Aktualizácie vydané pre obrázky kontajnera Windows Server pre Windows Server 2016 a Windows 10 verzie 1709 zahŕňajú obmedzenia rizík pre túto množinu chýb. Nevyžaduje sa žiadna ďalšia konfigurácia.

Poznámka Stále musíte skontrolovať, či je hostiteľ, v ktorom sú tieto kontajnery spustené, nakonfigurovaný tak, aby povoľoval príslušné obmedzenia rizík.

Nie, na inštalačnej objednávke nezáleží.

Áno, musíte reštartovať po aktualizácii firmvéru (mikrokódu) a potom znova po aktualizácii systému.

Tu sú podrobnosti o kľúčoch databázy Registry:

FeatureSettingsOverride predstavuje bitovú mapu, ktorá prepíše predvolené nastavenie a určuje, ktoré obmedzenia rizík budú zakázané. Bit 0 riadi obmedzenie rizík, ktoré zodpovedá CVE-2017-5715. Bit 1 určuje obmedzenie rizík, ktoré zodpovedá CVE-2017-5754. Bity sú nastavené na hodnotu 0 , čím sa povolí obmedzenie rizík, a na hodnotu 1 na vypnutie zmiernenia.

FeatureSettingsOverrideMask predstavuje masku bitovej mapy, ktorá sa používa spolu s funkciou FeatureSettingsOverride.  V takomto prípade použijeme hodnotu 3 (vyjadrenú ako 11 v systéme binárnych číslic alebo základných čísel 2) na označenie prvých dvoch bitov, ktoré zodpovedajú dostupným obmedzeniam rizík. Tento kľúč databázy Registry je nastavený na hodnotu 3 na povolenie alebo zakázanie zmiernení rizík.

MinVmVersionForCpuBasedMitigations je určený pre hostiteľov Hyper-V. Tento kľúč databázy Registry definuje minimálnu verziu virtuálneho počítača, ktorá je potrebná na používanie aktualizovaných možností firmvéru (CVE-2017-5715). Nastavte túto možnosť na hodnotu 1.0 , aby sa vzťahovala na všetky verzie virtuálneho počítaču. Všimnite si, že táto hodnota databázy Registry sa bude ignorovať (benígna) v hostiteľoch iných ako Hyper-V. Ďalšie podrobnosti nájdete v téme Ochrana virtuálnych počítačov hostí z CVE-2017-5715 (cieľová injekcia vetvy).

Áno, ak sa tieto nastavenia databázy Registry použijú pred inštaláciou opráv súvisiacich s januárom 2018, neexistujú žiadne vedľajšie účinky.

Áno, pre hostiteľov hyper-V servera Windows Server 2016, ktorí ešte nemajú aktualizáciu firmvéru k dispozícii, sme publikovali alternatívne pokyny, ktoré môžu pomôcť zmierniť VM na virtuálny počítač alebo virtuálny počítač pri hosťovaní útokov. Pozrite si alternatívne ochrany pre Windows Server 2016 Hyper-V Hosts proti špekulatívne spustenie strane kanála zraniteľnosti .

Aktualizácie iba so zabezpečením nie sú kumulatívne. V závislosti od verzie operačného systému bude možno potrebné nainštalovať niekoľko aktualizácií zabezpečenia, aby ste mali úplnú ochranu. Vo všeobecnosti si zákazníci budú musieť nainštalovať aktualizácie z januára, februára, marca a apríla 2018. Systémy, ktoré majú procesory AMD, potrebujú ďalšiu aktualizáciu, ako je to znázornené v nasledujúcej tabuľke:

Verzia operačného systému

Aktualizácia zabezpečenia

Windows 8.1, Windows Server 2012 R2

KB4338815 – mesačná súhrnná aktualizácia

KB4338824 – iba zabezpečenie

Windows 7 SP1, Windows Server 2008 R2 SP1 alebo Windows Server 2008 R2 SP1 (inštalácia servera Core)

KB4284826 – mesačná súhrnná aktualizácia

KB4284867 – iba zabezpečenie

Windows Server 2008 SP2

KB4340583 – aktualizácia zabezpečenia

Odporúčame, aby ste si nainštalovali aktualizácie iba pre zabezpečenie v poradí od vydania.

Poznámka: V staršej verzii týchto najčastejších otázok sa nesprávne uvádzalo, že februárová aktualizácia zabezpečenia obsahovala opravy zabezpečenia, ktoré boli vydané v januári. V skutočnosti to tak nie je.

Nie. Aktualizácia zabezpečenia KB4078130 bola špecifickou opravou, ktorá zabraňuje nepredvídateľnému správaniu systému, problémom s výkonom a neočakávaným reštartom po inštalácii mikrokódu. Použitie aktualizácií zabezpečenia v Windows operačných systémoch klienta umožňuje všetky tri obmedzenia rizík. V operačných systémoch Windows Server je potrebné povoliť obmedzenia rizík aj po vykonaní správneho testovania. Ďalšie informácie nájdete v článku KB4072698.

Tento problém bol vyriešený v KB4093118.

Vo februári 2018 spoločnosť Intel oznámila , že dokončila overovanie a začala vydávať mikrokód pre novšie platformy procesora. Spoločnosť Microsoft sprístupňuje aktualizácie mikrokódov overené spoločnosťou Intel, ktoré sa týkajú Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Injekcia cieľa vetvy). Kb4093836 uvádza konkrétne články vedomostná databáza podľa Windows verzie. Každý konkrétny článok vedomostnej databázy Knowledge Base obsahuje dostupné aktualizácie mikrokódu Intel podľa procesora.

11. januára 2018  spoločnosť Intel hlásila problémy v nedávno vydanom mikrokóde, ktorý mal riešiť spectre variant 2 (CVE-2017-5715 | Injekcia cieľa vetvy). Spoločnosť Intel konkrétne poznamenala, že tento mikrokód môže spôsobiť "vyššie než očakávané reštarty a iné nepredvídateľné správanie systému" a že tieto scenáre môžu spôsobiť "stratu údajov alebo poškodenie." Naša skúsenosť je, že nestabilita systému môže za určitých okolností spôsobiť stratu údajov alebo korupciu. 22. januára spoločnosť Intel odporučila, aby zákazníci prestali nasadzovať aktuálnu verziu mikrokódu na ovplyvnených procesoroch, zatiaľ čo intel vykonáva ďalšie testovanie aktualizovaného riešenia. Chápeme, že spoločnosť Intel naďalej skúma potenciálny účinok aktuálnej verzie mikrokódu. Odporúčame zákazníkom, aby priebežne kontrolovali svoje pokyny na informovanie o svojich rozhodnutiach.

Zatiaľ čo Intel testuje, aktualizuje a nasadzuje nový mikrokód, sprístupňujeme neviazanú aktualizáciu (OOB) KB4078130, ktorá špecificky vypína iba obmedzenie rizík voči CVE-2017-5715. Pri testovaní sa táto aktualizácia zistila, aby sa zabránilo popísanému správaniu. Úplný zoznam zariadení nájdete v pokynoch na revíziu mikrokódu od spoločnosti Intel. Táto aktualizácia sa týka balíka Windows 7 Service Pack 1 (SP1), Windows 8.1 a všetkých verzií Windows 10 klient aj server. Ak používate dotknuté zariadenie, túto aktualizáciu možno použiť tak, že ju stiahnete z webovej lokality katalógu služby Microsoft Update. Použitie tejto údajovej časti špecificky zakáže iba obmedzenie pre CVE-2017-5715.

Od tejto doby neexistujú žiadne známe správy, ktoré by naznačovali, že tento spectre variant 2 (CVE-2017-5715 – "Branch Target Injection") bol použitý na útok na zákazníkov. Odporúčame, aby v prípade potreby Windows používateľom opätovne povolili zmiernenie rizík voči CVE-2017-5715, keď spoločnosť Intel hlási, že toto nepredvídateľné správanie systému bolo vyriešené pre vaše zariadenie.

Vo februári 2018 spoločnosť Inteloznámila , že dokončila overovanie a začala vydávať mikrokód pre novšie platformy procesora. Spoločnosť Microsoft sprístupňuje aktualizácie mikrokódov overené spoločnosťou Intel, ktoré súvisia s prízrakom Variant 2 Spectre Variant 2 (CVE-2017-5715 | Injekcia cieľa vetvy). Kb4093836 uvádza konkrétne články vedomostná databáza podľa Windows verzie. Zoznam KBS dostupných aktualizácií mikrokódov Intel podľa procesora.

Ďalšie informácie nájdete v témach Aktualizácie zabezpečenia AMD a technická dokumentácia AMD: Pokyny architektúry týkajúce sa nepriameho riadenia vetvy . Sú k dispozícii v kanáli firmvéru OEM.

Sprístupňujeme aktualizácie mikrokódov overené spoločnosťou Intel, ktoré sa týkajú Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection "). Ak chcú zákazníci získať najnovšie aktualizácie mikrokódov Intel prostredníctvom Windows Update, pred inováciou na aktualizáciu Windows 10 z apríla 2018 (verzia 1803) musia mať zákazníci nainštalovaný mikrokód Intel v zariadeniach s operačným systémom Windows 10.

Aktualizácia mikrokódu je k dispozícii aj priamo z katalógu služby Microsoft Update, ak nebola nainštalovaná v zariadení pred inováciou systému. Mikrokód Intel je k dispozícii prostredníctvom služieb Windows Update, Windows Server Update Services (WSUS) alebo Microsoft Update Catalog. Ďalšie informácie a pokyny na stiahnutie nájdete v článku KB4100347.

Pozrite si časti Odporúčané akcie a Najčastejšie otázky   v |Pokyny spoločnosti Microsoft na špekulatívne obídenie obchodu.

Na overenie stavu SSBD sa aktualizoval skript Prostredia PowerShell Get-SpeculationControlSettings , aby sa zistili dotknuté procesory, stav aktualizácií operačného systému SSBD a stav mikrokódu procesora, ak je to možné. Ďalšie informácie a informácie o získaní skriptu prostredia PowerShell nájdete v článku KB4074629.

Júna 13, 2018, ďalšie zraniteľnosť, ktorá zahŕňa side-channel špekulatívne vykonanie, známy ako Lazy FP Stav Obnovenie, bol oznámený a priradený CVE-2018-3665 . Informácie o tomto zraniteľnosti a odporúčaných akciách nájdete v | Security Advisory ADV180016 Pokyny spoločnosti Microsoft na obnovenie stavu lazy FP .

Poznámka: Neexistujú žiadne požadované nastavenia konfigurácie (databázy Registry) pre obnovenie FP lenivej obnovy.

Bounds Check Bypass Store (BCBS) bol zverejnený 10. júla 2018 a priradený cve-2018-3693. Domnievame sa, že BCBS patrí do rovnakej triedy zraniteľností ako obídenie kontroly hraníc (Variant 1). Momentálne nevieme o žiadnych inštanciách BCBS v našom softvéri. Naďalej však skúmame túto triedu zraniteľnosti a budeme spolupracovať s partnermi v odvetví, aby sa podľa potreby uvoľnili zmiernenia. Odporúčame výskumníkom, aby predložili všetky relevantné zistenia do programu odmien Microsoft Speculative Execution Side Channel vrátane všetkých vykorisťovateľných inštancií BCBS. Softvéroví vývojári by si mali prezrieť pokyny pre vývojárov, ktoré boli aktualizované pre BCBS, na lokalite C++ Pokyny pre vývojárov pre špekulatívne vedľajšie kanály spustenia 

Augusta 14, 2018, L1 Terminal Fault (L1TF) bol oznámený a pridelený viac CVE. Tieto nové špekulatívne spustenie side-kanál zraniteľnosti možno použiť na čítanie obsahu pamäte cez dôveryhodné hranice, a ak je využitá, môže viesť k zverejneniu informácií. Existuje viacero vektorov, pomocou ktorých útočník môže spustiť chyby v závislosti od nakonfigurovaného prostredia. L1TF ovplyvňuje procesory Intel® Core® a procesory Intel® Xeon®.

Ďalšie informácie o tomto zraniteľnosti a podrobnom zobrazení ovplyvnených scenárov vrátane prístupu spoločnosti Microsoft k zmierneniu L1TF nájdete v nasledujúcich zdrojoch:

Kroky na vypnutie Hyper-Threading sa líšia od OEM po OEM, ale vo všeobecnosti sú súčasťou systému BIOS alebo nástrojov na nastavenie a konfiguráciu firmvéru.

Zákazníci, ktorí používajú 64-bitové procesory ARM, by sa mali obrátiť na zariadenie OEM a požiadať o podporu firmvéru, pretože ochrana operačného systému ARM64, ktorá zmierňuje CVE-2017-5715 | Vsunutie cieľovej vetvy (Spectre, Variant 2) vyžaduje, aby sa prejavila najnovšia aktualizácia firmvéru zo zariadení OEM.

Sprievodný materiál k službe Azure nájdete v tomto článku: Pokyny na zmiernenie špekulatívnych chýb na strane kanála spustenia v službe Azure.

Ďalšie informácie o povolení Retpoline nájdete v našom blogovom príspevku: Mitigating Spectre variant 2 with Retpoline on Windows .

Podrobnosti o tomto zraniteľnosti nájdete v Príručke zabezpečenia spoločnosti Microsoft: CVE-2019-1125 | Windows zraniteľnosť pri zverejňovaní informácií o jadre.

Nie sme si vedomí žiadnej inštancie tejto zraniteľnosti pri zverejňovaní informácií, ktorá by ovplyvnila našu infraštruktúru cloudových služieb.

Hneď ako sme sa dozvedeli o tomto probléme, rýchlo sme pracovali na jeho vyriešení a vydaní aktualizácie. Pevne veríme v úzke partnerstvá s výskumnými pracovníkmi a partnermi v odvetví, aby sa zákazníci bezpečnejšie, a nezverejnil podrobnosti až do utorka 6.srpna, v súlade s koordinovanými postupmi zraniteľnosti zverejňovanie.

Odkazy

Poskytujeme kontaktné informácie tretích strán, ktoré vám pomôžu nájsť technickú podporu. Tieto kontaktné informácie sa môžu zmeniť bez predchádzajúceho upozornenia. Nezaručujeme presnosť týchto kontaktných informácií tretích strán.

Potrebujete ďalšiu pomoc?

Rozšírte svoje zručnosti
Preskúmať školenie
Buďte medzi prvými, ktorí získajú nové funkcie
Pripojiť k Microsoft insiderov chcú

Boli tieto informácie užitočné?

Aká je podľa vás jazyková kvalita textu?
Čo sa vám páčilo, prípadne čo nie?

Ďakujeme za vaše pripomienky!

×