KB4072698: Windows Server i Azure Stack HCI smernice za zaštitu od mikroarhitektonskih i spekulativnih ranjivosti bočnih kanala zasnovanih na silicijumu

Primenjuje se na
Azure Local Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012
Evidencija promena
Promena datuma Opisivanje promene
20 aprila, 2023
  • Dodate su informacije MMIO registratora
8 avgusta, 2023
  • Uklonjen sadržaj o CVE-2022-23816 jer CVE broj nije iskorišćen
  • Dodato je "Branch Type Confusion" u odeljku "Ranjivosti"
  • Dodate su dodatne informacije u "CVE-2022-23825 | AMD CPU Branch Tip Confusion (BTC)" odeljak registra
9 avgusta, 2023
  • Ažurirano "CVE-2022-23825 | AMD CPU Branch Tip Confusion (BTC)" odeljak registra
  • Dodato "CVE-2023-20569 | AMD CPU Return Address Predictor" u odeljak "Rezime"
  • Dodat je "CVE-2023-20569 | Odeljak registratora AMD CPU Return Address Predictor"
9 aprila, 2024
  • Dodato CVE-2022-0001 | Intel Branch Istorija injekcija
16 aprila, 2024
  • Dodat je odeljak "Omogućavanje višestrukih mitigacija"

Rezime

Ovaj članak pruža uputstva za novu klasu ranjivosti bočnih kanala zasnovanih na silicijumu i koje utiču na mnoge moderne procesore i operativne sisteme. Ovo uključuje Intel, AMD i ARM. Određene detalje o ovim ranjivostima zasnovanim na silicijumu možete pronaći u sledećim ADV-ovima (savetima za bezbednost) i CVE-ovima (uobičajenim ranjivostima i izloženostima):

Važno

Ovi problemi utiču i na druge operativne sisteme, kao što su Android, Chrome, iOS i MacOS. Klijentima savetujemo da traže pomoć od tih prodavaca.

Objavili smo nekoliko ispravki koje pomažu u ublažavanju ovih ranjivosti. Preduzeli smo i radnju za obezbeđivanje usluga u oblaku. Više detalja potražite u sledećim odeljcima.

Još uvek nismo dobili nikakve informacije koje ukazuju na to da su ove ranjivosti korišćene za napad na klijente. Blisko sarađujemo sa industrijskim partnerima, uključujući proizvođače čipova, OEM hardvera i prodavce aplikacija kako bismo zaštitili kupce. Da biste dobili sve dostupne zaštite, potrebne su ispravke firmvera (mikrokoda) i softvera. To uključuje mikrokodove OEM proizvođača uređaja i, u nekim slučajevima, ispravke antivirusnog softvera.

Ranjivosti

Spekulativno izvršavanje

Ovaj članak se bavi sledećim ranjivostima spekulativnog izvršavanja:

Windows Update će takođe obezbediti ublažavanja programa Internet Explorer i Edge. Nastavićemo da poboljšavamo ova ublažavanja ove klase ranjivosti.

Da biste saznali više o ovoj klasi ranjivosti, pogledajte

Ranjivost u vidu mikroarhitektonskog uzorkovanja podataka

Dana 14. maja 2019. godine, Intel je objavio informacije o novoj podklasi ranjivosti bočnih kanala spekulativnog izvršenja poznatih kao Uzorkovanje mikroarhitektonskih podataka i dokumentovanih u ADV190013 | Uzorkovanje mikroarhitektonskih podataka. Njima su dodeljeni sledeći CVE-ovi:

Važno

Ovi problemi će uticati na druge sisteme kao što su Android, Chrome, iOS i MacOS. Klijentima savetujemo da traže pomoć od tih prodavaca.

Microsoft je objavio ispravke za ublažavanje ovih ranjivosti. Da biste dobili sve dostupne zaštite, potrebne su ispravke firmvera (mikrokoda) i softvera. Ovo može da uključuje mikrokodove OEM proizvođača. U nekim slučajevima, instaliranje ovih ispravki će uticati na performanse. Takođe smo postupali da bismo obezbedili naše usluge u oblaku. Preporučujemo da primenite te ispravke.

Više informacija o ovom problemu potražite u sledećem bezbednosnom savetu i koristite uputstva zasnovana na scenariju da biste odredili radnje neophodne za smanjenje pretnje:

Napomena

Preporučujemo da instalirate sve najnovije ispravke iz usluge Windows Update pre nego što instalirate bilo kakve ispravke mikrokoda.

Spectre, Variant 1 ranjivost

Intel je 6. avgusta 2019. objavio detalje o ranjivosti u vezi sa otkrivanjem informacija o Windows jezgru. Ova ranjivost je varijanta ranjivosti bočnog kanala Spectre, Variant 1 spekulativnog izvršavanja i dodeljena joj je CVE-2019-1125.

9. jula 2019. objavili smo bezbednosne ispravke za operativni sistem Windows kako bismo ublažili ovaj problem. Imajte na umu da smo se suzdržali od dokumentovanja ovog ublažavanja javno do koordiniranog otkrivanja industrije u utorak, avgusta KSNUMKS, KSNUMKS.

Klijenti koji imaju omogućen Windows Update i primenili su bezbednosne ispravke objavljene 9. jula 2019. automatski su zaštićeni. Nije potrebna dodatna konfiguracija.

Napomena

Ova ranjivost ne zahteva ažuriranje mikrokoda od proizvođača uređaja (OEM).

Više informacija o ovoj ranjivosti i primenljive ispravke potražite u vodiču za Microsoft bezbednosne ispravke:

Ranjivost u vezi sa asinhronim prekidom transakcije

U novembru KSNUMKS, KSNUMKS, Intel je objavio tehnički savet o ranjivosti Intel® Transactional Synchronization Ektensions (Intel TSKS) Transaction Asinhroni prekid koji je dodeljen CVE-2019-11135. Microsoft je objavio ispravke za ublažavanje ove ranjivosti, a zaštite operativnog sistema su podrazumevano omogućene za Windows Server 2019, ali onemogućene podrazumevano za Windows Server 2016 i starija izdanja operativnog sistema Windows Server.

Ranjivost MMIO uzorkovanja zastarelih podataka

14. juna 2022. objavili smo ADV220002 | Microsoft vodič za Intel procesor MMIO zastarele ranjivosti podataka i dodeljene ove CVE-ove:

Preporučene radnje

Trebalo bi da preduzmete sledeće radnje da biste se lakše zaštitili od ranjivosti:

  1. Primenite sve dostupne ispravke operativnog sistema Windows, uključujući i mesečne bezbednosne ispravke za Windows.
  2. Primenite primenljivu ispravku firmvera (mikrokoda) koju ste dobili od proizvođača uređaja.
  3. Procenite rizik po okruženje na osnovu informacija iz Microsoft bezbednosnih saveta: ADV180002, ADV180012, ADV190013 i ADV220002, pored informacija navedenih u ovom baza znanja članku.
  4. Preduzmite odgovarajuću radnju tako što ćete koristiti savete i informacije o ključevima registratora koje su pružene u ovom članku baza znanja.

Napomena

Surface klijenti će dobiti ažuriranje mikrokoda putem usluge Windows Update. Listu najnovijih ispravki firmvera Surface uređaja (mikrokod) potražite u članku KB4073065.

Branch Type Confusion

12. jula 2022. objavili smo CVE-2022-23825 | Tip grane AMD procesora Mešanje , koje opisuje da pseudonimi u prediktoru grana mogu da dovedu do toga da određeni AMD procesori predvide pogrešan tip grane. Ovaj problem može potencijalno dovesti do otkrivanja informacija.

Da biste se zaštitili od ove ranjivosti, preporučujemo da instalirate Ispravke za Windows koje datiraju jul 2022. ili kasniji, a zatim da preduzmete radnju u skladu sa zahtevima CVE-2022-23825 i informacije o ključu registra koje su pružene u ovom članku baza znanja.

Više informacija potražite u bezbednosnom biltenu AMD-SB-1037 .

Predviđanje povratne adrese

8. avgusta 2023. objavili smo CVE-2023-20569 | Predviđanje povratne adrese (poznat i kao Početak) koji opisuje novi spekulativni napad bočnog kanala koji može rezultirati spekulativnim izvršenjem na adresi koju kontroliše napadač. Ovaj problem utiče na određene AMD procesore i potencijalno može dovesti do otkrivanja informacija.

Da biste se zaštitili od ove ranjivosti, preporučujemo da instalirate Ispravke za Windows koje datiraju posle avgusta 2023. i da zatim preduzmete radnje u skladu sa zahtevima CVE-2023-20569 i informacije o ključu registra koje su pružene u ovom članku baza znanja.

Više informacija potražite u bezbednosnom biltenu AMD-SB-7005 .

Istorija grane Injekcija

9. aprila 2024. objavili smo CVE-2022-0001 | Intel Branch Histori Injection koji opisuje Branch Histori Injection (BHI) koji je specifičan oblik unutar režima BTI. Ova ranjivost se javlja kada napadač može da manipuliše istorijom grane pre prelaska iz režima korisnika u supervizor (ili iz VMKS ne-root/gosta u root režim). Ova manipulacija može da dovede do toga da indirektni prediktor grane izabere određeni unos prediktora za indirektnu granu, a gadžet otkrivanja na predviđenom cilju će se privremeno izvršiti. To može biti moguće zato što relevantna istorija grane može da sadrži grane preuzete u prethodnim bezbednosnim kontekstima, a naročito druge prediktorske režime.

Postavke ublažavanja za Windows Server i Azure Stack HCI

Bezbednosni saveti (ADV) i CVE-ovi pružaju informacije, pružaju informacije o riziku koji predstavljaju ove ranjivosti. One vam takođe pomažu da identifikujete ranjivosti i podrazumevano stanje ublažavanja za sisteme Windows Server. Tabela ispod rezimira zahteve za mikrokodom CPU i podrazumevani status ublažavanja na Windows Server.

CVE Zahteva mikrokod/firmver procesora? Ublažavanje podrazumevanog statusa
CVE-2017-5753 Ne Podrazumevano omogućeno (nema opcije za onemogućavanje)
Dodatne informacije potražite u ADV180002
CVE-2017-5715 Da Podrazumevano onemogućeno.
Pogledajte ADV180002 za dodatne informacije i ovaj članak baze znanja da biste dobili primenljive postavke ključeva registratora.
Napomena "Retpoline" je podrazumevano omogućen na uređajima koji rade pod operativnim sistemom Windows 10, verzija 1809 i novije ako je omogućena Spectre Variant 2 (CVE-2017-5715). Za više informacija o "Retpoline", pratite Mitigating Spectre varijanta 2 sa Retpoline na Windows blog postu.
CVE-2017-5754 Ne Windows Server 2019, Windows Server 2022 i Azure Stack HCI: Podrazumevano omogućeno.
Windows Server 2016 i starije verzije: Podrazumevano onemogućeno.
Dodatne informacije potražite u ADV180002 .
CVE-2018-3639 Intel: Da
AMD: Ne
Podrazumevano onemogućeno. Pogledajte ADV180012 za više informacija i ovaj članak za primenljive postavke ključeva registratora.
CVE-2018-11091 Intel: Da Windows Server 2019, Windows Server 2022 i Azure Stack HCI: Podrazumevano omogućeno.
Windows Server 2016 i starije verzije: Podrazumevano onemogućeno.
Pogledajte ADV190013 za više informacija i ovaj članak za primenljive postavke ključa registratora.
CVE-2018-12126 Intel: Da Windows Server 2019, Windows Server 2022 i Azure Stack HCI: Podrazumevano omogućeno.
Windows Server 2016 i starije verzije: Podrazumevano onemogućeno.
Pogledajte ADV190013 za više informacija i ovaj članak za primenljive postavke ključa registratora.
CVE-2018-12127 Intel: Da Windows Server 2019, Windows Server 2022 i Azure Stack HCI: Podrazumevano omogućeno.
Windows Server 2016 i starije verzije: Podrazumevano onemogućeno.
Pogledajte ADV190013 za više informacija i ovaj članak za primenljive postavke ključa registratora.
CVE-2018-12130 Intel: Da Windows Server 2019, Windows Server 2022 i Azure Stack HCI: Podrazumevano omogućeno.
Windows Server 2016 i starije verzije: Podrazumevano onemogućeno.
Pogledajte ADV190013 za više informacija i ovaj članak za primenljive postavke ključa registratora.
CVE-2019-11135 Intel: Da Windows Server 2019, Windows Server 2022 i Azure Stack HCI: Podrazumevano omogućeno.
Windows Server 2016 i starije verzije: Podrazumevano onemogućeno.
Pogledajte CVE-2019-11135 za više informacija i ovaj članak za primenljive postavke ključeva registratora.
CVE-2022-21123 (deo MMIO ADV220002) Intel: Da Windows Server 2019, Windows Server 2022 i Azure Stack HCI: Podrazumevano omogućeno.
Windows Server 2016 i starije verzije: Podrazumevano onemogućeno.*
Pogledajte CVE-2022-21123 za više informacija, a ovaj članak za primenljive postavke ključeva registratora.
CVE-2022-21125 (deo MMIO ADV220002) Intel: Da Windows Server 2019, Windows Server 2022 i Azure Stack HCI: Podrazumevano omogućeno.
Windows Server 2016 i starije verzije: Podrazumevano onemogućeno.*
Pogledajte CVE-2022-21125 za više informacija i ovaj članak za primenljive postavke ključeva registratora.
CVE-2022-21127 (deo MMIO ADV220002) Intel: Da Windows Server 2019, Windows Server 2022 i Azure Stack HCI: Podrazumevano omogućeno.
Windows Server 2016 i starije verzije: Podrazumevano onemogućeno.*
Pogledajte CVE-2022-21127 za više informacija i ovaj članak za primenljive postavke ključeva registratora.
CVE-2022-21166 (deo MMIO ADV220002) Intel: Da Windows Server 2019, Windows Server 2022 i Azure Stack HCI: Podrazumevano omogućeno.
Windows Server 2016 i starije verzije: Podrazumevano onemogućeno.*
Pogledajte CVE-2022-21166 za više informacija i ovaj članak za primenljive postavke ključeva registratora.
CVE-2022-23825 (zabuna u tipu AMD CPU grane) AMD: Ne Pogledajte CVE-2022-23825 za više informacija i ovaj članak za primenljive postavke ključeva registratora.
CVE-2023-20569
(Predviđanje povratne adrese AMD CPU)
AMD: Da Pogledajte CVE-2023-20569 za više informacija, a ovaj članak za primenljive postavke ključeva registratora.
CVE-2022-0001 Intel: Ne Podrazumevano onemogućeno
Pogledajte CVE-2022-0001 za više informacija i ovaj članak za primenljive postavke ključeva registratora.

Napomena

* Pratite uputstva za ublažavanje za Meltdovn ispod.

Ako želite da dobijete sve dostupne zaštite od ovih ranjivosti, morate da izvršite promene ključa registratora da biste omogućili ova rešenja koja su podrazumevano onemogućena.

Omogućavanje ovih rešenja može uticati na performanse. Skala efekata performansi zavisi od više faktora, kao što su određeni skup čipova u fizičkom hostu i radna opterećenja koja rade. Preporučujemo da procenite efekte performansi na okruženje i izvršite sva neophodna prilagođavanja.

Server je izložen povećanom riziku ako spada u jednu od sledećih kategorija:

  • Hiper-V hostovi: Zahteva zaštitu za VM-to-VM i VM-to-host napade.
  • Hostovi usluga udaljene radne površine (RDSH): Zahteva zaštitu od jedne sesije do druge ili od napada sesije na host.
  • Fizički hostovi ili virtuelne mašine koje koriste nepouzdani kôd, kao što su kontejneri ili nepouzdana proširenja za baze podataka, nepouzdani veb sadržaj ili radna opterećenja koja pokreću kôd iz spoljnih izvora. Oni zahtevaju zaštitu od napada nepouzdanog procesa ka drugom procesu ili od nepouzdanog procesa do jezgra.

Koristite sledeće postavke ključa registratora da biste omogućili rešenja na serveru i ponovo pokrenite uređaj da bi promene stupile na snagu.

Napomena

Omogućavanje isključenih rešenja podrazumevano može da utiče na performanse. Stvarni efekat performansi zavisi od više faktora, kao što su određeni čipset na uređaju i radna opterećenja koja rade.

Postavke registratora

Pružamo sledeće informacije iz registratora kako bismo omogućili rešenja koja nisu podrazumevano omogućena, kao što je dokumentovano u bezbednosnim savetima (ADV) i CVE-ovima. Pored toga, obezbeđujemo postavke ključa registratora za korisnike koji žele da onemoguće ublažavanja kada je primenljivo na Windows klijente.

Napomena

  • VAŽNO Ovaj odeljak, metoda ili zadatak sadrži korake koji vam pokazuju kako se menja registrator. Međutim, može doći do ozbiljnih problema ako neispravno izmenite registrator. Zbog toga obavezno pažljivo pratite ove korake. Radi dodatne zaštite, napravite rezervnu kopiju registratora pre nego što ga izmenite. Tako možete da vratite registrator u prethodno stanje ako dođe do problema. Više informacija o tome kako da napravite rezervne kopije i vratite registrator u prethodno stanje potražite u sledećem članku Microsoft baze znanja:
  • KB322756 Kako da napravite rezervnu kopiju i vratite registrator u prethodno stanje u operativnom sistemu Windows

Upravljanje ublažavanjima za CVE-2017-5715 (Spectre varijanta 2), CVE-2017-5754 (Topljenje) i CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

Napomena

  • VAŽNO Retpoline je podrazumevano konfigurisan na sledeći način ako je Spectre, omogućeno ublažavanje varijante 2 (CVE-2017-5715):
    • Retpoline ublažavanje je omogućeno u operativnom sistemu Windows 10, verziji 1809 i novijim verzijama operativnog sistema Windows.
    • Retpoline ublažavanje je onemogućeno na Windows Server 2019 i novijim verzijama Windows Server.
  • Više informacija o konfiguraciji Retpoline potražite u članku Mitigating Spectre variant 2 pomoću Retpoline u operativnom sistemu Windows.
  • Da biste omogućili ublažavanja za CVE-2017-5715 (Spectre varijanta 2), CVE-2017-5754 (topljenje) i CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    Ako je funkcija Hyper-V instalirana, dodajte sledeću postavku registratora:
    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
    Ako je ovo Hyper-V host i primenjene su ispravke firmvera: Potpuno isključite sve virtuelne mašine. Ovo omogućava da se ublažavanje vezano za firmver primeni na host pre pokretanja VM-ova. Zbog toga se VM-ovi ažuriraju i prilikom ponovnog pokretanja.
    Ponovo pokrenite uređaj da bi promene stupile na snagu.
  • Da biste onemogućili ublažavanja za CVE-2017-5715 (Spectre varijanta 2), CVE-2017-5754 (Topljenje) i CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    Ponovo pokrenite uređaj da bi promene stupile na snagu.

Napomena

Postavljanje postavke FeatureSettingsOverrideMask na 3 je tačno i za postavke "omogući" i za "onemogućavanje". (Dodatne informacije o ključevima registratora potražite u odeljku "Najčešća pitanja ".)

Upravljajte ublažavanjem za CVE-2017-5715 (Spectre varijanta 2)
Da biste onemogućili varijantu 2: (CVE-2017-5715 | Branch Target Injection) ublažavanje:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Ponovo pokrenite uređaj da bi promene stupile na snagu.
Da biste omogućili varijantu 2: (CVE-2017-5715 | Branch Target Injection) ublažavanje:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Ponovo pokrenite uređaj da bi promene stupile na snagu.
Samo AMD procesori: Omogućite potpuno ublažavanje za CVE-2017-5715 (Spectre varijanta 2)

Zaštita od korisnika do jezgra za CVE-2017-5715 podrazumevano je onemogućena za AMD procesore. Klijenti moraju da omoguće ublažavanje da bi dobili dodatnu zaštitu za CVE-2017-5715.  Više informacija potražite u odeljku #15 o najčešćim pitanjima u programu ADV180002.

Omogućite zaštitu od korisnika do jezgra na AMD procesorima zajedno sa drugim zaštitama za CVE 2017-5715:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Ako je funkcija Hyper-V instalirana, dodajte sledeću postavku registratora:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Ako je ovo Hyper-V host i primenjene su ispravke firmvera: Potpuno isključite sve virtuelne mašine. Ovo omogućava da se ublažavanje vezano za firmver primeni na host pre pokretanja VM-ova. Zbog toga se VM-ovi ažuriraju i prilikom ponovnog pokretanja.
Ponovo pokrenite uređaj da bi promene stupile na snagu.
Upravljanje ublažavanjima za CVE-2018-3639 (zaobilaznica spekulativne prodavnice), CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (topljenje)
Da biste omogućili ublažavanja za CVE-2018-3639 (zaobilaznica spekulativne prodavnice), CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (topljenje):
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Ako je funkcija Hyper-V instalirana, dodajte sledeću postavku registratora:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Ako je ovo Hyper-V host i primenjene su ispravke firmvera: Potpuno isključite sve virtuelne mašine. Ovo omogućava da se ublažavanje vezano za firmver primeni na host pre pokretanja VM-ova. Zbog toga se VM-ovi ažuriraju i prilikom ponovnog pokretanja.
Ponovo pokrenite uređaj da bi promene stupile na snagu.
Onemogućavanje ublažavanja za CVE-2018-3639 (zaobilaznica spekulativne prodavnice) I ublažavanja za CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (topljenje)
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Ponovo pokrenite uređaj da bi promene stupile na snagu.
Samo AMD procesori: Omogućite potpuno ublažavanje za CVE-2017-5715 (Spectre varijanta 2) i CVE 2018-3639 (zaobilaznica spekulativne prodavnice)

Zaštita od korisnika do jezgra za CVE-2017-5715 podrazumevano je onemogućena za AMD procesore. Klijenti moraju da omoguće ublažavanje da bi dobili dodatnu zaštitu za CVE-2017-5715.  Više informacija potražite u odeljku #15 najčešćih pitanja u ADV180002.

Omogućavanje zaštite od korisnika do jezgra na AMD procesorima zajedno sa drugim zaštitama za CVE 2017-5715 i zaštitama za CVE-2018-3639 (zaobilaženje spekulativne prodavnice):
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Ako je funkcija Hyper-V instalirana, dodajte sledeću postavku registratora:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Ako je ovo Hyper-V host i primenjene su ispravke firmvera: Potpuno isključite sve virtuelne mašine. Ovo omogućava da se ublažavanje vezano za firmver primeni na host pre pokretanja VM-ova. Zbog toga se VM-ovi ažuriraju i prilikom ponovnog pokretanja.
Ponovo pokrenite uređaj da bi promene stupile na snagu.
Upravljanje transakcijom Ranjivost asinhrona prekid, uzorkovanje mikroarhitektonskih podataka, spektra, topljenja, MMIO, onemogućavanje spekulativnog zaobilaženja prodavnice (SSBD) i greška L1 terminala (L1TF)
Da biste omogućili ublažavanja za Intel proširenja za sinhronizaciju transakcija (Intel TSX), ranjivost u vezi sa asinhronim prekidom transakcija (CVE-2019-11135) i mikroarhitektonskim uzorkovanjem podataka ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) zajedno sa Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] varijantama, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, i CVE-2022-21166) uključujući onemogućavanje spekulativnog zaobilazaka prodavnice (SSBD) [CVE-2018-3639 ], kao i grešku L1 terminala (L1TF) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646] bez onemogućavanja hiper-threadinga:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Ako je funkcija Hyper-V instalirana, dodajte sledeću postavku registratora:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Ako je ovo Hyper-V host i primenjene su ispravke firmvera: Potpuno isključite sve virtuelne mašine. Ovo omogućava da se ublažavanje vezano za firmver primeni na host pre pokretanja VM-ova. Zbog toga se VM-ovi ažuriraju i prilikom ponovnog pokretanja.
Ponovo pokrenite uređaj da bi promene stupile na snagu.
Da biste omogućili ublažavanja za Intel proširenja za sinhronizaciju transakcija (Intel TSX), ranjivost u vezi sa asinhronim prekidom transakcija (CVE-2019-11135) i mikroarhitektonsko uzorkovanje podataka ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130), kao i Spectre [CVE-2017-5753 & CVE-2017-5715] i Meltdown [CVE-2017-5754] varijante, uključujući Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] kao i L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620, i CVE-2018-3646] sa Hyper-Threading onemogućenim:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Ako je funkcija Hyper-V instalirana, dodajte sledeću postavku registratora:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Ako je ovo Hyper-V host i primenjene su ispravke firmvera: Potpuno isključite sve virtuelne mašine. Ovo omogućava da se ublažavanje vezano za firmver primeni na host pre pokretanja VM-ova. Zbog toga se VM-ovi ažuriraju i prilikom ponovnog pokretanja.
Ponovo pokrenite uređaj da bi promene stupile na snagu.
Da biste onemogućili ublažavanja za Intel proširenja za sinhronizaciju transakcija (Intel TSX), ranjivost u vezi sa asinhronim prekidom transakcija (CVE-2019-11135) i mikroarhitektonsko uzorkovanje podataka ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130), kao i Spectre [CVE-2017-5753 & CVE-2017-5715] i Meltdown [CVE-2017-5754] varijante, uključujući Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] kao i L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620, i CVE-2018-3646]:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Ponovo pokrenite uređaj da bi promene stupile na snagu.
CVE-2022-23825 \| AMD CPU Branch Tip konfuzije (BTC)

Da biste omogućili ublažavanje za CVE-2022-23825 na AMD procesorima:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Da bi bili potpuno zaštićeni, korisnici će možda morati da onemoguće Hyper-Threading (poznato i kao Simultaneously Multi Threading (SMT)). Smernice za zaštitu Windows uređaja potražite u KB4073757 .

CVE-2023-20569 \| Predviđanje povratne adrese AMD CPU-a

Da biste omogućili ublažavanje za CVE-2023-20569 na AMD procesorima:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

CVE-2022-0001 \| Intel Branch Istorija injekcija

Da biste omogućili ublažavanje za CVE-2022-0001 na Intel procesorima:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Omogućavanje višestrukih mitigacija

Da biste omogućili više rešenja, morate da saberete vrednost REG_DWORD svakog ublažavanja zajedno.

Na primer:


Ublažavanje ranjivosti asinhronog prekida transakcije, uzorkovanja mikroarhitektonskih podataka, spektra, topljenja, MMIO, onemogućavanja spekulativnog zaobilaženja prodavnice (SSBD) i kvara L1 terminala (L1TF) sa onemogućenim Hyper-Threading reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f
NAPOMENA 8264 (u decimalnom broju) = 0x2048 (u heksadecimalnom formatu)
Da biste omogućili BHI zajedno sa drugim postojećim postavkama, moraćete da koristite bitwise OR trenutne vrednosti sa 8,388,608 (0x800000).
0x800000 OR 0x2048(8264 u decimalnom formatu) i postaće 8.396.872(0x802048). Isto važi i za FeatureSettingsOverrideMask.
Ublažavanje za CVE-2022-0001 na Intel procesorima reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
Kombinovano ublažavanje reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Provera da li su zaštite omogućene

Da bismo potvrdili da su zaštite omogućene, objavili smo PowerShell skriptu koju možete da pokrenete na uređajima. Instalirajte i pokrenite skriptu koristeći jedan od sledećih metoda.

Metod 1: PowerShell verifikacija pomoću PowerShell galerije (Windows Server 2016 ili WMF 5.0/5.1)
Instaliranje PowerShell modula:
PS> Install-Module SpeculationControl
Pokrenite PowerShell modul da biste proverili da li su zaštite omogućene:
PS> # Save the current execution policy so it can be reset
PS> $SaveExecutionPolicy = Get-ExecutionPolicy
PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser
PS> Import-Module SpeculationControl
PS> Get-SpeculationControlSettings
PS> # Reset the execution policy to the original state
PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser
Metod 2: PowerShell verifikacija pomoću preuzimanja sa sajta Techet (starije verzije operativnog sistema i ranije verzije WMF-a)
Instalirajte PowerShell modul sa sajta Technet ScriptCenter:

  1. Idite na https://aka.ms/SpeculationControlPS .
  2. Preuzmite SpeculationControl.zip u lokalnu fasciklu.
  3. Izdvojite sadržaj u lokalnu fasciklu. Na primer: C:\ADV180002
Pokrenite PowerShell modul da biste proverili da li su zaštite omogućene:

Pokrenite PowerShell i zatim koristite prethodni primer da biste kopirali i pokrenuli sledeće komande:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Detaljno objašnjenje izlaza PowerShell skripte potražite u članku KB4074629 .

Najčešća pitanja

Nisu mi ponuđene bezbednosne ispravke za Windows koje su objavljene u januaru i februaru 2018. Šta da radim?

Da bi se izbeglo nepovoljno dejstvo na uređaje korisnika, bezbednosne ispravke za Windows koje su objavljene u januaru i februaru 2018. nisu ponuđene svim klijentima. Detalje potražite u članku KB407269 .

Kako da znam da li imam ispravnu verziju mikrokoda CPU?

Mikrokod se isporučuje putem ažuriranja firmvera. Posavetujte se sa OEM proizvođačem za verziju firmvera koji ima odgovarajuću ispravku za vaš računar.

Koji su efekti performansi ublažavanja?

Postoji više promenljivih koje utiču na performanse, u opsegu od verzije sistema do radnih opterećenja koja rade. Za neke sisteme efekat performansi će biti zanemarljiv. Za druge, to će biti značajno.

Preporučujemo da procenite efekte performansi na sistemima i izvršite prilagođavanja po potrebi.

Koristim Windows Server u okruženju ili oblaku koji hostuje nezavisni proizvođač. Šta da radim?

Pored uputstava koja se odnose na virtuelne mašine iz ovog članka, trebalo bi da se obratite dobavljaču usluga da biste se uverili da su hostovi koji koriste vaše virtuelne mašine adekvatno zaštićeni.

Za Windows Server virtuelne mašine koje rade u usluzi Azure, pogledajte Uputstva za ublažavanje ranjivosti bočnog kanala spekulativnog izvršavanja u usluzi Azure. Uputstva za korišćenje funkcije Azure Update Management za umanjivanje ovog problema na virtuelnim mašinama sa statusom gosta potražite u KB4077467.

Da li postoje smernice specifične za kontejner za Windows Server?

Ispravke koje su objavljene za slike kontejnera Windows Server za Windows Server 2016 i Windows 10, verzija 1709 uključuju ublažavanja za ovaj skup ranjivosti. Nije potrebna dodatna konfiguracija.

Napomena I dalje morate da proverite da li je host na kom su ti kontejneri pokrenuti konfigurisan da omogući odgovarajuće ublažavanja.

Da li ispravke softvera i hardvera treba instalirati određenim redosledom?

Ne, redosled instalacije nije bitan.

Da li će biti više ponovnih pokretanja?

Da, morate ponovo da pokrenete nakon ažuriranja firmvera (mikrokoda), a zatim ponovo nakon ažuriranja sistema.

Možete li da pružite više detalja o ključevima registratora?

Evo detalja o ključevima registratora:

FeatureSettingsOverride predstavlja rastersku sliku koja zamenjuje podrazumevanu postavku i kontroliše koja će smanjenja rizika biti onemogućena. Bit 0 kontroliše ublažavanje koje odgovara CVE-2017-5715. Bit 1 kontroliše ublažavanje koje odgovara CVE-2017-5754. Bitovi su podešeni na 0 da bi se omogućilo ublažavanje i na 1 da biste onemogućili ublažavanje.

FeatureSettingsOverrideMask predstavlja rastersku masku koja se koristi zajedno sa postavkom FeatureSettingsOverride. U ovoj situaciji koristimo vrednost 3 (predstavljenu kao 11 u binarnom brojevnom sistemu ili brojčkom sistemu sa osnovom 2) da bismo ukazali na prva dva bita koja odgovaraju dostupnim ublažavanjima. Ovaj ključ registratora je podešen na vrednost 3 da bi se omogućila i onemogućila ublažavanja.

MinVmVersionForCpuBasedMitigations je za Hyper-V hostove. Ovaj ključ registratora definiše minimalnu verziju VM-a koja je potrebna za korišćenje ažuriranih mogućnosti firmvera (CVE-2017-5715). Podesite ovu opciju na 1.0 da biste pokrili sve verzije VM-a. Obratite pažnju na to da će ova vrednost registratora biti zanemarena (benigna) na hostovima koji nisu Hyper-V. Više detalja potražite u članku "Zaštita virtuelnih mašina sa statusom gosta od CVE-2017-5715 (ubacivanje cilja grane).

Mogu li da podesim ključeve registratora pre nego što instaliram ispravku, a zatim instaliram ispravku i ponovo pokrenem da bi promene stupile na snagu?

Da, nema nuspojava ako se ove postavke registratora primene pre instaliranja ispravki povezanih sa januarom 2018.

Možete li da pružite više detalja o izlazu PowerShell skripte za verifikaciju?

Pogledajte detaljan opis izlaza skripte na KB4074629: Razumevanje rezultata PowerShell skripte SpeculationControl .

Ako ažuriranje firmvera (mikrokoda) još uvek nije dostupno od mog OEM proizvođača, da li još uvek postoji način da zaštitim svoj Hyper-V host?

Da, za Windows Server KSNUMKS Hyper-V hostove koji još uvek nemaju dostupnu ispravku firmvera, objavili smo alternativna uputstva koja mogu pomoći u ublažavanju napada VM-a na VM ili VM na host. Pogledajte Alternativne zaštite za Windows Server 2016 Hyper-V hostove protiv ranjivosti bočnog kanala spekulativnog izvršavanja.

Ako sam na grani samo bezbednost, koje ispravke samo bezbednosti moram da instaliram da bih se zaštitio od ovih ranjivosti?

Ispravke samo bezbednost nisu kumulativne. U zavisnosti od verzije operativnog sistema, možda ćete morati da instalirate nekoliko bezbednosnih ispravki radi pune zaštite. Uopšteno, korisnici će morati da instaliraju ispravke za januar, februar, mart i april 2018. Sistemi koji imaju AMD procesore zahtevaju dodatnu ispravku, kao što je prikazano u sledećoj tabeli:

Verzije operativnog sistema Bezbednosna ispravka
Windows 8.1, Windows Server 2012 R2 KB4338815 – mesečna zbirna ispravka
KB4338824– Samo bezbednost
Windows 7 SP1, Windows Server 2008 R2 SP1 ili Windows Server 2008 R2 SP1 (Server Core instalacija) KB4284826 – mesečna zbirna ispravka
KB4284867 – samo bezbednost
Windows Server 2008 SP2 KB4340583 – bezbednosna ispravka

Preporučujemo da instalirate samo bezbednosne ispravke po redosledu izdavanja.

Napomena

U starijoj verziji ovih najčešćih pitanja netačno je navedeno da bezbednosna ispravka samo za februar sadrži bezbednosne ispravke koje su objavljene u januaru. U stvari, to ne čini.

Ako primenim bilo koju od primenljivih bezbednosnih ispravki, da li će one onemogućiti zaštitu za CVE-2017-5715 na isti način kao što je to učinila bezbednosna ispravka KB4078130?

Ne. Bezbednosna ispravka KB4078130 je bila specijalna ispravka za sprečavanje nepredvidivih ponašanja sistema, problema sa performansama i neočekivanih ponovnih pokretanja nakon instalacije mikrokoda. Primena bezbednosnih ispravki na Windows klijentske operativne sisteme omogućava sva tri ublažavanja. U operativnim sistemima Windows Server i dalje morate da omogućite ublažavanja nakon što izvršite odgovarajuće testiranje. Više informacija potražite u članku KB4072698.

Poznati problem: Neki korisnici mogu imati problema sa mrežnim povezivanjem ili izgubiti postavke IP adrese nakon instaliranja bezbednosne ispravke (KB 4088875) od 13. marta 2018.

Ovaj problem je rešen u KB4093118.

Intel je identifikovao probleme ponovnog pokretanja koji uključuju mikrokod na nekim starijim procesorima. Šta da radim?

U februaru 2018. godine, Intel je objavio da su završili svoje validacije i počeli da objavljuju mikrokod za novije CPU platforme. Microsoft stavlja na raspolaganje ažuriranja mikrokoda koja je proverena Intel koja se odnose na Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection).  KB4093836 navodi određene baza znanja članke po verziji operativnog sistema Windows. Svaki određeni članak u bazi znanja sadrži dostupne ispravke Intel mikrokodova po CPU-u.

Dana 11. januara 2018. godine, Intel je prijavio probleme u nedavno objavljenom mikrokodu koji je trebalo da se pozabavi Spectre varijantom 2 (CVE-2017-5715 | Branch Target Injection). Konkretno, Intel je napomenuo da ovaj mikrokod može izazvati "veće od očekivanih ponovnih pokretanja i drugo nepredvidivo ponašanje sistema" i da ovi scenariji mogu izazvati "gubitak ili oštećenje podataka". Prema našem iskustvu nestabilnost sistema u nekim okolnostima može da dovede do gubitka ili oštećenja podataka. 22. januara, Intel je preporučio korisnicima da prestanu sa primenom trenutne verzije mikrokoda na pogođenim procesorima dok Intel ne izvrši dodatno testiranje na ažuriranom rešenju. Razumemo da Intel nastavlja da istražuje potencijalni efekat trenutne verzije mikrokoda. Podstičemo korisnike da tokom neprekidno pregledaju uputstva kako bi donosili donošenje odluka.

Dok Intel testira, ažurira i primenjuje novi mikrokod, mi stavljamo na raspolaganje out-of-band (OOB) ispravku, KB4078130, koja posebno onemogućava samo ublažavanje protiv CVE-2017-5715. U testiranju je utvrđeno da ova ispravka sprečava opisano ponašanje. Za kompletnu listu uređaja, pogledajte uputstva za reviziju mikrokoda preduzeća Intel. Ova ispravka pokriva Windows 7 servisni paket 1 (SP1), Windows 8.1 i sve verzije Windows 10, klijentske i serverske. Ako koristite uređaj na koji ovo utiče, ovu ispravku možete da primenite tako što ćete je preuzeti sa veb lokacije Katalog Microsoft Update. Primena ovog korisnog tereta posebno onemogućava samo ublažavanje u odnosu na CVE-2017-5715.

Od ovog trenutka, nema poznatih izveštaja koji ukazuju na to da je ovaj Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection) je korišćen za napad na kupce. Preporučujemo da, kada je to prikladno, korisnici operativnog sistema Windows ponovo omoguće ublažavanje za CVE-2017-5715 kada Intel prijavi da je ovo nepredvidivo ponašanje sistema rešeno za vaš uređaj.

Čuo sam da je Intel objavio ažuriranja mikrokoda. Gde mogu da ih pronađem?

U februaru 2018. godine, Intel je objavio da su završili validacije i počeli da objavljuju mikrokod za novije CPU platforme. Microsoft stavlja na raspolaganje ažuriranja mikrokoda validirana Intel tehnologijom koja se odnose na Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 navodi određene baza znanja članke po verziji operativnog sistema Windows. Dostupna su lista KB-ova Intel ažuriranja mikrokodova po CPU-u.

Više informacija potražite u članku AMD bezbednosne Novosti i AMD bela knjiga: Uputstva za arhitekturu oko indirektne kontrole grana. Oni su dostupni na OEM kanalu firmvera.

Koristim ispravku za Windows 10 iz aprila 2018. (verzija 1803). Da li je Intel mikrokod dostupan za moj uređaj? Gde mogu da ga pronađem?

Stavljamo na raspolaganje ažuriranja mikrokoda validirana Intel koja se odnose na Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). Da bi dobili najnovije ispravke Intel mikrokoda putem usluge Windows Update, korisnici moraju da instaliraju Intel mikrokod na uređajima koji rade pod operativnim sistemom Windows 10 pre nadogradnje na Windows 10 ispravku iz aprila 2018. (verzija 1803).

Ispravka mikrokoda je dostupna i direktno iz Microsoft Update kataloga ako nije instalirana na uređaju pre nadogradnje sistema. Intel mikrokod je dostupan putem usluga Windows Update, Windows Server Update Services (WSUS) ili Microsoft Update kataloga. Dodatne informacije i uputstva za preuzimanje potražite na KB4100347.

Gde mogu da pronađem informacije o novim ranjivostima bočnih kanala spekulativnog izvršavanja (Speculative Store Bypass - CVE-2018-3639 i Rogue System Register Read - CVE-2018-3640)?

Više informacija potražite u sledećim resursima:

Gde mogu da pronađem više informacija o podršci za Vindovs za spekulativnu prodavnicu zaobilazak onemogućavanje (SSBD) u Intel procesorima?

Pogledajte odeljke "Preporučene radnje" i "Najčešća pitanja" u ADV180012 | Microsoft smernice za spekulativno zaobilaženje prodavnica.

Kako da odredim da li je SSBD omogućen ili onemogućen?

Da bi se proverio status SSBD-a, PowerShell skripta Get-SpeculationControlSettings je ažurirana da otkrije ugrožene procesore, status ispravki SSBD operativnog sistema i stanje mikrokoda procesora, ako je primenljivo. Za dodatne informacije i za dobijanje PowerShell skripte pogledajte KB4074629.

Čuo sam za "Lazi FP State Restore" (CVE-2018-3665). Da li će Microsoft objaviti ublažavanja za nju?

Dana 13. juna 2018. godine, najavljena je dodatna ranjivost koja uključuje spekulativno izvršenje bočnog kanala, poznata kao Lazi FP State Restore, koja je dodeljena CVE-2018-3665 . Informacije o ovoj ranjivosti i preporučenim radnjama potražite u bezbednosnom savetu ADV180016 | Microsoft vodič za vraćanje stanja Lazy FP .

Napomena Nema potrebnih konfiguracija (registratora) postavke za Lazi Restore FP Restore.

Čuo sam da je CVE-2018-3693 (Bounds Check Bypass Store) povezan sa Spectre-om. Da li će Microsoft objaviti ublažavanja za nju?

Bounds Check Bypass Store (BCBS) objavljen je 10. jula 2018. godine i dodeljen CVE-2018-3693. Smatramo da BCBS pripada istoj klasi ranjivosti kao i zaobilazak za proveru granica (varijanta 1). Trenutno ne znamo za bilo koju instancu BCBS-a u našem softveru. Međutim, nastavljamo da istražujemo ovu klasu ranjivosti i sarađivaćemo sa industrijskim partnerima na objavljivanju ublažavanja po potrebi. Podstičemo istraživače da proslede sve relevantne nalaze programu nagrada Microsoft Speculative Execution Side Channel, uključujući sve instance BCBS-a koje se mogu iskoristiti. Projektanti softvera bi trebalo da pregledaju uputstva za projektante koja su ažurirana za BCBS na lokaciji C++ Vodič za programere za bočne kanale spekulativnog izvršavanja

Čuo sam da je otkrivena greška LKSNUMKS terminala (LKSNUMKSTF). Gde mogu da pronađem više informacija o njoj i Windows podršci za nju?

U avgustu KSNUMKS, KSNUMKS, najavljen je LKSNUMKS Terminal Fault (LKSNUMKSTF) i dodeljen je više CVE-ova. Ove nove ranjivosti bočnih kanala spekulativnog izvršavanja mogu se koristiti za čitanje sadržaja memorije preko pouzdane granice i, ako se iskoriste, mogu dovesti do otkrivanja informacija. Postoji više vektora pomoću kojih napadač može da pokrene ranjivosti, u zavisnosti od konfigurisanog okruženja. LKSNUMKSTF utiče na Intel® Core® procesore i Intel® Kseon® procesore.

Više informacija o ovoj ranjivosti i detaljan prikaz pogođenih scenarija, uključujući pristup korporacije Microsoft ublažavanju L1TF-a, potražite u sledećim resursima:

Kako da onemogućim Hyper-Threading za L1TF na svom uređaju?

Koraci za onemogućavanje Hyper-Threading se razlikuju od OEM do OEM proizvođača, ali su obično deo alatki za podešavanje i konfiguraciju BIOS-a ili firmvera.

Gde mogu da nabavim ARM64 firmver koji ublažava CVE-2017-5715 \| Grana meta injekcija (Spectre Varijanta 2)?

Korisnici koji koriste 64-bitne ARM procesore treba da kontaktiraju OEM uređaja radi podrške za firmver jer zaštite operativnog sistema ARM64 koje ublažavaju CVE-2017-5715 | Ubrizgavanje cilja grane (Spectre, Variant KSNUMKS) zahteva najnovije ažuriranje firmvera od OEM proizvođača uređaja da bi stupilo na snagu.

Gde mogu da pronađem informacije o Intelovom otkrivanju u vezi sa uzorkovanjem mikroarhitektonskih podataka (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130)

Više informacija potražite u sledećim bezbednosnim savetima

Gde mogu da pronađem uputstva zasnovana na scenariju kako bih odredila radnje neophodne za ublažavanje ranjivosti uzorkovanja mikroarhitekturnih podataka?

Dodatna uputstva možete da pronađete u Windows vodičima za zaštitu od ranjivosti bočnih kanala spekulativnog izvršavanja

Kako da onemogućim Hyper-Threading za MDS na svom uređaju?

Pogledajte uputstva u uputstvima za Windows da biste se zaštitili od ranjivosti bočnih kanala spekulativnog izvršavanja

Gde mogu da pronađem uputstva za Azure?

Uputstva za Azure potražite u ovom članku: Uputstva za ublažavanje ranjivosti bočnih kanala spekulativnog izvršavanja u usluzi Azure.

Gde mogu da saznam više o omogućavanju funkcije Retpoline u operativnom sistemu Windows 10, verzija 1809?

Za više informacija o omogućavanju Retpolina, pogledajte naš blog post: Mitigating Spectre varijanta 2 sa Retpoline na Vindovs-u .

Čuo sam da postoji varijanta ranjivosti bočnog kanala Spectre Variant 1 spekulativnog izvršenja. Gde mogu da saznam više?

Detalje o ovoj ranjivosti potražite u Microsoft bezbednosnom vodiču: CVE-2019-1125 | Ranjivost u vezi sa otkrivanjem informacija o jezgru sistema Windows.

Da li CVE-2019-1125 \| Windows Kernel Information Disclosure ranjivost utiču na Microsoft usluge u oblaku?

Nismo svesni ni jedne instance ranjivosti otkrivanja informacija koja utiče na infrastrukturu usluga u oblaku.

Ako su ispravke za CVE-2019-1125 \| Ranjivost otkrivanja informacija o Windows jezgru objavljena je 9. jula 2019. godine, zašto su detalji objavljeni 6. avgusta 2019. godine?

Čim smo saznali za ovaj problem, brzo smo radili na njegovom rešavanju i objavljivanju ispravke. Čvrsto verujemo u blisko partnerstvo sa istraživačima i industrijskim partnerima kako bismo učinili klijente sigurnijima, i nismo objavili detalje do utorka, 6. avgusta, u skladu sa koordiniranom praksom otkrivanja ranjivosti.

Gde mogu da pronađem uputstva zasnovana na scenariju kako bih odredila radnje neophodne za ublažavanje ranjivosti Intel Transactional Synchronization Extensions (Intel TSX) asinhronog prekida transakcije (CVE-2019-11135)?

Dodatna uputstva možete da pronađete u Windows vodičima za zaštitu od ranjivosti bočnog kanala spekulativnog izvršavanja.

Da li treba da onemogućim ranjivost Hyper-Threading za Intel Transactional Synchronization Extensions (Intel TSX) koja izaziva asinhrono prekidanje transakcija (CVE-2019-11135) na uređaju?

Dodatna uputstva možete da pronađete u Windows vodičima za zaštitu od ranjivosti bočnog kanala spekulativnog izvršavanja.

Da li postoji način da se onemogući Intel Transactional Sinhronization Ektensions (Intel TSKS) mogućnost?

Dodatna uputstva možete da pronađete u uputstvima za onemogućavanje Intel Transactional Synchronization Extensions (Intel TSX) mogućnosti.

Reference

Odricanje odgovornosti za informacije nezavisnih proizvođača

Proizvodi nezavisnih proizvođača opisani u ovom članku proizveli su proizvođači nezavisni od korporacije Microsoft. Ne pružamo nikakvu garanciju, impliciranu ili neku drugu, u vezi sa performansama ili pouzdanošću ovih proizvoda.

Obezbeđujemo kontakt informacije nezavisnog proizvođača kako bismo vam pomogli da pronađete tehničku podršku. Ove kontakt informacije mogu da se promene bez obaveštenja. Ne garantujemo tačnost ove kontakt informacije nezavisnog proizvođača.