Vodič za Windows klijenta za IT stručnjake za zaštitu od špekulativnih ranjivosti sa Side-kanalom

Primenjuje se na: Windows 10, version 1903, all editionsWindows 10, version 1809, all editionsWindows 10, version 1803, all editions

Rezime


Microsoft je upoznat sa novim javnim brojem ranjivih ranjivosti koje se nazivaju "spekulativni napadi koji se odnose na kanale" i koji utiču na mnoge moderne procesore, uključujući informacije o Intel, AMD, VIA i ARM.

Belešku Ovo pitanje utiče i na druge operativne sisteme, kao što su android, Chrome, iOS i macOS. Zato savetujemo kupcima da traže smernice od tih dobavljača.

Oslobodili smo nekoliko ispravki koje pomažu da se ublaže ove ranjivosti. Takođe smo preduzeli akciju da obezbedimo naše usluge u oblaku. Više detalja potražite u sledećim odeljcima.

Još uvek nismo dobili nikakve informacije koje ukazuju na to da su se ove ranjivosti koristile za napade na klijente. Blisko sarađujemo sa industrijskim partnerima, uključujući proizvođača Chip, hardverske proizvođače i dobavljače aplikacija kako bi zaštitili kupce. Da biste dobili sve dostupne zaštitu, firmver (mikrokôd) i softverske ispravke su neophodni. Ovo uključuje mikrokôd uređaja OEM proizvođača i u nekim slučajevima ispravke antivirusnog programa.

Ovaj članak rešava sledeće ranjivosti:

Windows Update će takođe obezbediti ublažavanje Internet Explorera i ivica. Nastavićemo da unapređujemo ove ublažavanje u odnosu na ovu klasu ranjivosti.

Da biste saznali više o ovoj klasi ranjivosti, pogledajte odeljak

Ažurirano 14. maj 2019 Od 14 maja 2019, Intel je objavio informacije o novoj potklasa spekulativnih ranjivosti sa Side-kanalom poznatim kao Mikroarhitektonsko uzorkovanje podataka. Njima su dodeljeni sledeći covi:

Važnim Ova pitanja će uticati na druge sisteme kao što su android, hrom, iOS i MacOS. Savetujemo klijentima da traže smernice od svojih dobavljača.

Objavili smo ispravke koje pomažu da se ublaže ove ranjivosti. Da biste dobili sve dostupne zaštitu, firmver (mikrokôd) i softverske ispravke su neophodni. Ovo može da sadrži mikrokôd uređaja od OEM proizvođača. U nekim slučajevima, instaliranje ovih ispravki imaće uticaj na performanse. Takođe smo reagovali da obezbedimo naše usluge u oblaku. Preporučujemo primenu ovih ispravki.

Više informacija o ovom problemu potražite u sledećem bezbednosnom savetodavnu i koristite smernice zasnovane na scenariju da biste utvrdili potrebne radnje za ublažavanje pretnje:

Belešku Preporučujemo da instalirate sve najnovije ispravke sa Windows Update pre nego što instalirate bilo kakve ispravke mikrokôda.

Upod 6 avgusta, 2019 , 2019 Intel je objavio detalje o podložnosti otkrivanja informacija o jezgru operativnog sistema Windows. Ova ranjivost je varijanta spektra varijabilnog tipa 1 spekulativni ranjivost i dodjeljena je cve-2019-1125.

9 jula 2019 smo objavili bezbednosne ispravke za operativni sistem Windows da bismo lakše ublažili ovaj problem. Molimo vas da obratite pažnju na to da smo javno održali dokumentovanje ovog ublažavanje sve dok se u utorak ne otkrije koordinirano industrijom, 2019.

Korisnici koji imaju omogućenu Windows Update i primenili bezbednosne ispravke objavljene 9 jula, 2019 su automatski zaštićeni. Nema potrebne konfiguracije.

Imajte na umu da ova ranjivost ne zahteva ažuriranje mikrokôda od proizvođača uređaja (OEM).

Za više informacija o ovoj ranjivosti i primenljivim ispravkama pogledajte Vodič za Microsoft bezbednosne ispravke:

Cve-2019-1125 | Ranjivosti Windows jezgra informacija o jezgru.

Ažurirano November 12, 2019 , 2019, Intel je objavio tehnički savet oko Intel® transakcijski proširenja (Intel® CX) transakcija asinhrono prekidanje ranjivosti koja je dodeljena cve-2019-11135. Microsoft je objavio ispravke da bi pomogao u ublažavanju ove ranjivosti, a zaštita OS je podrazumevano omogućena za izdanja Windows Client OS.

Preporučene radnje


Korisnici bi trebalo da preduzmu sledeće radnje da bi doprineli zaštiti od ranjivosti:

  1. Primenite sve dostupne ispravke za operativni sistem Windows, uključujući i mesečne bezbednosne ispravke za Windows.
  2. Primenite ispravku za primenljive firmver (mikrocode) koju obezbeđuje proizvođač uređaja.
  3. Procenite rizik po životnu sredinu na osnovu informacija koje su obezbeđene u Microsoft bezbednosnim savetima: ADV180002, ADV180012, ADV190013 i informacijama koje su obezbeđene u ovom članku baze znanja.
  4. Preduzeti radnju kao što je potrebno korišćenjem informacija o savjetima i ključu registratora koje su obezbeđene u ovom članku baze znanja.

Belešku Surface klijenti će primati ažuriranje mikrokôda putem usluga Windows Update. Da biste dobili listu najnovijih dostupnog firmvera (mikrocode) uređaja, pogledajte KB 4073065.

Postavke za ublažavanje za Windows klijente


Bezbednosni savetnici ADV180002, ADV180012i ADV190013 pružaju informacije o riziku koji se donose ovim ranjivih tačaka i pomažu vam da identifikujete podrazumevano stanje za ublažavanje sistema Windows Client. U sledećoj tabeli se rezimira potreba CPU mikrokoda i podrazumevani status ubrzanja za Windows klijente.

CVE

Zahteva CPU mikrokôd/firmver?

Podrazumevani status za ublažavanje

CVE-2017-5753

Ne

Podrazumevano omogućena (nema opcije za onemogućavanje)

Pogledajte ADV180002 za dodatne informacije.

CVE-2017-5715

Da

Podrazumevano omogućena. Korisnici sistema zasnovani na AMD procesorima treba da vide najčešća pitanja #15 i korisnici procesora ARM treba da vide najčešća pitanja #20 na ADV180002 za dodatnu radnju i ovaj članak u bazi znanja za primenljive postavke ključa registratora.

Belešku "Retpoline" su podrazumevano omogućeni za uređaje koji rade pod operativnim sistemom Windows 10 1809 ili novije ako je omogućena varijanta spektra 2 (cve-2017-5715). Za više informacija, oko "retpoline", pratite uputstva uvarijanti za olakšavajuće spektar 2 sa retpolinom na Windows blog blogu.

CVE-2017-5754

Ne

Podrazumevano omogućena

Pogledajte ADV180002 za dodatne informacije.

CVE-2018-3639

Intel: da AMD: ne RUKA: da

Intel i AMD: podrazumevano su onemogućeni. Pogledajte ADV180012 za više informacija i ovaj članak u kB za primenljive postavke ključa registratora.

RUKA: omogućena po podrazumevanoj vrednosti bez opcije za onemogućavanje.

CVE-2018-11091 Intel: da

Podrazumevano omogućena.

Pogledajte ADV190013 za više informacija i ovaj članak u kB za primenljive postavke ključa registratora.
CVE-2018-12126 Intel: da

Podrazumevano omogućena.

Pogledajte ADV190013 za više informacija i ovaj članak u kB za primenljive postavke ključa registratora.
CVE-2018-12127 Intel: da

Podrazumevano omogućena.

Pogledajte ADV190013 za više informacija i ovaj članak u kB za primenljive postavke ključa registratora.
CVE-2018-12130 Intel: da

Podrazumevano omogućena.

Pogledajte ADV190013 za više informacija i ovaj članak u kB za primenljive postavke ključa registratora.
CVE-2019-11135 Intel: da

Podrazumevano omogućena.

Pogledajte cve-2019-11135 za više informacija i ovaj članak u bazi znanja za primenljive postavke ključa registratora.

Belešku Omogućavanje ubrzanja koje su isključene po podrazumevanoj vrednosti može da utiče na performanse. Stvarni efekat performansi zavisi od više faktora, kao što su specifični skup čipova u uređaju i radne opterećenja koje su pokrenute.

Postavke registratora


Mi pružamo sledeće informacije o registratoru da bismo omogućili ublažavanje vrednosti koje nisu podrazumevano omogućene, kao što je dokumentovano u bezbednosnim savjetima ADV180002 i ADV180012. Pored toga, obezbeđujemo postavke ključa registratora za korisnike koji žele da onemoguće ublažavanje, koja su povezana sa CVE-2017-5715 i CVE-2017-5754 za klijente operativnog sistema Windows.

Važnim Ovaj odeljak, metod ili zadatak sadrži korake koji vam govore kako da izmenite registrator. Međutim, može doći do ozbiljnih problema ako nepravilno izmenite registrator. Zato se uverite da ste pažljivo sledili ove korake. Za dodatnu zaštitu, napravite rezervnu kopiju registratora pre nego što ga izmenite. U tom slučaju možete da vratite registrator u prethodno stanje ako dođe do problema. Za više informacija o pravljenju rezervne kopije i vraćanju registratora u prethodno stanje pogledajte sledeći članak u Microsoft bazi znanja:

322756 pravljenje rezervne kopije i Vraćanje registratora u prethodno stanje u operativnom sistemu Windows

Upravljanje ublažavanje podataka CVE-2017-5715 (spektra varijanta 2) i CVE-2017-5754 (Kraza)


Važna beleška Retpoline su podrazumevano omogućeni u operativnom sistemu Windows 10, verzija 1809 uređaji ako je moguće da je spektra, varijanta 2 (cve-2017-5715) omogućena. Omogućavanje Retpoline na najnovijoj verziji operativnog sistema Windows 10 može poboljšati performanse na uređajima koji rade pod operativnim sistemom Windows 10, verzija 1809 za spektar varijante 2, posebno na starijim procesorima.

Omogućavanje podrazumevanih ubrzanja za CVE-2017-5715 (spektar varijanti 2) i CVE-2017-5754 (Kraza)

Reg Add "HKEY_LOCAL_MACHINE \System\currentcontrolset\kontrola\upravljanje sesijom"/v FeatureSettingsOverride/t REG_DWORD/d 0/f

Reg Add "HKEY_LOCAL_MACHINE \System\currentcontrolset\kontrola\upravljanje sesijom"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Ponovo pokrenite računar da bi promene stupile na snagu.

Onemogućavanje ubrzanja za CVE-2017-5715 (spektra varijanta 2) i CVE-2017-5754 (Kraza)

Reg Add "HKEY_LOCAL_MACHINE \System\currentcontrolset\kontrola\upravljanje sesijom"/v FeatureSettingsOverride/t REG_DWORD/d 3/f

Reg Add "HKEY_LOCAL_MACHINE \System\currentcontrolset\kontrola\upravljanje sesijom"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Ponovo pokrenite računar da bi promene stupile na snagu.

Belešku Vrednost 3 je tačna za FeatureSettingsOverrideMask za postavke "Omogući" i "Onemogući". (Pogledajte odeljak "FAQ" za više detalja o ključevima registratora.)

Upravljanje ublažavanje za CVE-2017-5715 (spektar varijante 2)


Da biste onemogućili ublažavanje za cve-2017-5715 (spektar varijante 2):

Reg Add "HKEY_LOCAL_MACHINE \System\currentcontrolset\kontrola\upravljanje sesijom"/v FeatureSettingsOverride/t REG_DWORD/d 1/f

Reg Add "HKEY_LOCAL_MACHINE \System\currentcontrolset\kontrola\upravljanje sesijom"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Ponovo pokrenite računar da bi promene stupile na snagu.

Da biste omogućili podrazumevana ubrzanja za cve-2017-5715 (spektar varijanti 2) i cve-2017-5754 (Kras):

Reg Add "HKEY_LOCAL_MACHINE \System\currentcontrolset\kontrola\upravljanje sesijom"/v FeatureSettingsOverride/t REG_DWORD/d 0/f

Reg Add "HKEY_LOCAL_MACHINE \System\currentcontrolset\kontrola\upravljanje sesijom"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Ponovo pokrenite računar da bi promene stupile na snagu.

Samo procesori AMD i ARM: omogući potpunu ublažavanje za CVE-2017-5715 (spektar varijanta 2)


Po podrazumevanoj vrednosti, zaštita od korisnika do jezgra za CVE-2017-5715 je onemogućena za AMD i ARM. Korisnici moraju da omoguće da se ta ublažavanje za dobijanje dodatne zaštite za CVE-2017-5715. Za više informacija pogledajte najčešća pitanja #15 u ADV180002 za AMD procesore i najčešća pitanja #20 ADV180002 za procesore ARM.

Omogućite zaštitu od korisnika do jezgra na PROCESORIMA AMD i ARM zajedno sa drugim zaštitom za CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite računar da bi promene stupile na snagu.

Upravljajte ublažavanje za CVE-2018-3639 (Špekulativni premošćavanja u prodavnici), CVE-2017-5715 (spektra varijanta 2) i CVE-2017-5754 (Kras)


Da biste omogućili ublažavanje za CVE-2018-3639 (Špekulativni premošćavanja u prodavnici), podrazumevana ubrzanja za CVE-2017-5715 (spektra varijanta 2) i CVE-2017-5754 (Kras):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite računar da bi promene stupile na snagu.

Napomena: AMD procesori nisu ranjivi na CVE-2017-5754 (Kraza). Ovaj registarski ključ koristi se u sustavima sa AMD procesorima da bi se omogućilo zadano ublažavanje za CVE-2017-5715 na AMD procesorima i ublažavanje za CVE-2018-3639.

Da biste onemogućili ublažavanje za CVE-2018-3639 (Špekulativni premošćavanja u skladištu) * i * ublažavanje za CVE-2017-5715 (spektra varijanta 2) i CVE-2017-5754 (Kraza)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite računar da bi promene stupile na snagu.

Samo AMD procesori: omogući potpunu ublažavanje za CVE-2017-5715 (spektar varijanta 2) i CVE 2018-3639 (spekulativni premošćavanje u prodavnici)


Po podrazumevanoj vrednosti, zaštita od korisnika do jezgra za CVE-2017-5715 je onemogućena za AMD procesore. Korisnici moraju da omoguće da se ta ublažavanje za dobijanje dodatne zaštite za CVE-2017-5715.  Više informacija potražite u članku najčešća pitanja #15 u ADV180002.

Omogućite zaštitu od korisnika do jezgra na AMD procesorima zajedno sa drugim zaštitom za cve 2017-5715 i zaštitu za cve-2018-3639 (Špekulativni premošćavanja u prodavnici):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite računar da bi promene stupile na snagu.

Upravljanje® Intel informacijama o transakciji (Intel® CX) transakcija asinhrono prekidanje ranjivosti (CVE-2019-11135) i Mikroarhitektonsko uzorkovanje podataka (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) zajedno sa Spektra (CVE-2017-5753 & CVE-2017-5715) i Kraska (CVE-2017-5754) varijanti, uključujući špekulativno zaobilaženje prodavnice onemogućavanje (SSBD) (CVE-2018-3639) kao i L1 Terminal (L1TF) (CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646)


Da biste omogućili ublažavanje informacija za informacije o Intel® transakcijskih proširenja (Intel® CX) transakcija Asinhrona prekid ranjivosti (cve-2019-11135) i mikroarhitektonsko uzorkovanje podataka (cve-2018-11091, cve-2018-12126, cve-2018-12127, cve-2018-12130) zajedno sa spektra (cve-2017-5753 & cve-2017-5715) i krama (cve-2017-5754) varijantama, uključujući špekulativno zaobilaženje prodavnice Onemogući (ssbd) ( CVE-2018-3639) kao i L1 terminalni kvar (L1TF) (CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646) bez onemogućavanja Hyper-one:

Reg Add "HKEY_LOCAL_MACHINE \System\currentcontrolset\kontrola\upravljanje sesijom"/v FeatureSettingsOverride/t REG_DWORD/d 72/f

Reg Add "HKEY_LOCAL_MACHINE \System\currentcontrolset\kontrola\upravljanje sesijom"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Ako je funkcija Hyper-V instalirana, dodajte sledeću postavku registratora:

Reg Add "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows Nt\currentversion\virtuelizacija"/v Minvmversionnasilno Pubasedonacije/t REG_SZ/d "1,0"/f

Ako se radi o Hyper-V domaćinu, a ispravke firmvera su primenjene: Potpuno isključite sve virtuelne mašine. Ovo omogućava da se na domaćinu primeni mogućnost za ublažavanje firmvera pre nego što se pokrene VMs. Zbog toga se VMs ažuriraju i kada se ponovo pokrenu.

Ponovo pokrenite računar da bi promene stupile na snagu.

Da biste omogućili ublažavanje informacija za informacije o Intel® transakcijskih proširenja (Intel® CX) transakcija Asinhrona prekid ranjivosti (cve-2019-11135) i mikroarhitektonsko uzorkovanje podataka (cve-2018-11091, cve-2018-12126, cve-2018-12127, cve-2018-12130) zajedno sa spektra (cve-2017-5753 & cve-2017-5715) i krama (cve-2017-5754) varijantama, uključujući špekulativno zaobilaženje prodavnice Onemogući (ssbd) ( CVE-2018-3639) kao i L1 terminalni kvar (L1TF) (CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646) pomoću Hyper-one onemogućene:

Reg Add "HKEY_LOCAL_MACHINE \System\currentcontrolset\kontrola\upravljanje sesijom"/v FeatureSettingsOverride/t REG_DWORD/d 8264/f

Reg Add "HKEY_LOCAL_MACHINE \System\currentcontrolset\kontrola\upravljanje sesijom"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Ako je funkcija Hyper-V instalirana, dodajte sledeću postavku registratora:

Reg Add "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows Nt\currentversion\virtuelizacija"/v Minvmversionnasilno Pubasedonacije/t REG_SZ/d "1,0"/f

 

Ako se radi o Hyper-V domaćinu, a ispravke firmvera su primenjene: Potpuno isključite sve virtuelne mašine. Ovo omogućava da se na domaćinu primeni mogućnost za ublažavanje firmvera pre nego što se pokrene VMs. Zbog toga se VMs ažuriraju i kada se ponovo pokrenu.

Ponovo pokrenite računar da bi promene stupile na snagu.

Da biste onemogućili ublažavanje informacija za Intel® transakcijske ekstenzije sinhronizacije (Intel® CX) transakcija Asinhrona prekid ranjivosti (cve-2019-11135) i mikroarhitektonsko uzorkovanje podataka (cve-2018-11091, cve-2018-12126, cve-2018-12127, cve-2018-12130) zajedno sa spektra (cve-2017-5753 & cve-2017-5715) i krama (cve-2017-5754) varijantama, uključujući špekulativno zaobilaženje prodavnice Onemogući (ssbd) ( CVE-2018-3639) kao i L1 terminalni kvar (L1TF) (CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646):

Reg Add "HKEY_LOCAL_MACHINE \System\currentcontrolset\kontrola\upravljanje sesijom"/v FeatureSettingsOverride/t REG_DWORD/d 3/f

Reg Add "HKEY_LOCAL_MACHINE \System\currentcontrolset\kontrola\upravljanje sesijom"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Ponovo pokrenite računar da bi promene stupile na snagu.

Potvrđivanje da je zaštita omogućena


Da biste pomogli korisnicima da potvrde da je zaštita omogućena, objavljivali smo skript skripta koju korisnici mogu da pokrenu na svojim sistemima. Instalirajte i pokrenite skriptu pokretanjem sledećih komandi.

Provera funkcije PowerShell korišćenjem galerije PowerShell (Windows Server 2016 ili WMF 5.0/5.1)

Instaliraj modul PowerShell:

PS > Install-kontrola Špekulationcontrol modula

Pokrenite modul PowerShell da biste proverili da li su zaštite omogućene:

PS > # Sačuvaj trenutnu smernicu izvršenja da bi mogla biti vraćena

PS > $SaveExecutionPolicy = get-Izvršenjo politika

PS > set-izvršne smernice RemoteSigned-opseg Currentuser

PS > import-modul Špekulationcontrol

PS > za-Špekulacijakontrolno Podešavanje

PS > # postavi smernice izvršenja na originalno stanje

PS > set-Izvršnipolitika $SaveExecutionPolicy-raspon korisnika opsega

 

Provera funkcije PowerShell pomoću preuzimanja sa lokacije technet (starije verzije operativnog sistema i starije WMF verzije)

Instaliraj modul PowerShell iz technet skripte:

Posetite lokaciju https://aka.MS/SpeculationControlPS

Preuzmite Špekulationcontrol. zip u lokalnu fasciklu.

Izdvojite sadržaj u lokalnu fasciklu, na primer C:\ADV180002

Pokrenite modul PowerShell da biste proverili da li su zaštite omogućene:

Pokrenite PowerShell, a zatim (koristeći prethodni primer), kopirajte i pokrenite sledeće komande:

PS > # Sačuvaj trenutnu smernicu izvršenja da bi mogla biti vraćena

PS > $SaveExecutionPolicy = get-Izvršenjo politika

PS > set-izvršne smernice RemoteSigned-opseg Currentuser

PS > CD C:\adv180002\špekulationcontrol

PS > import-USMJERENJE .\Špekulationkontrolna .Psd1

PS > za-Špekulacijakontrolno Podešavanje

PS > # postavi smernice izvršenja na originalno stanje

PS > set-Izvršnipolitika $SaveExecutionPolicy-raspon korisnika opsega

Za detaljno objašnjenje o izlazu iz skripta PowerShell, pogledajte članak u bazi znanja 4074629.

Najčešće postavljana pitanja