KB4073119: Vodič za Windows klijente za IT stručnjake za zaštitu od mikroarhitekturalnih objekata zasnovanih na silikonskom sistemu i spekulativnih ranjivosti bočnog kanala izvršavanja

Promeni datum	Promeni opis
19. jul 2023.	Ispravljene su MMIO informacije u odeljku "Postavke umanjivanja za Windows klijente"
8. avgust 2023.	Sadržaj o CVE-2022-23816 je uklonjen jer se ne koristi CVE broj
9. avgust 2023.	Dodata je "Zabuna tipa grane" u odeljku "Ranjivosti" Ažurirano je "CVE-2022-23825 \| Odeljak registratora tipa AMD CPU (BTC)" Dodato "CVE-2023-20569 \| AmD CPU Birač povratne adrese" u odeljak "Rezime" Dodato je "CVE-2023-20569 \| Odeljak registratora AMD CPU povratne adrese"
9. april 2024.	Dodato CVE-2022-0001 \| Umetanja istorije Intel grana
16. april 2024.	Dodat je odeljak "Omogućavanje više ublažavanja"

Rezime

Ovaj članak pruža uputstva za novu klasu mikroarhitekturalnih objekata zasnovanih na silikonima i spekulativne ranjivosti bočnog kanala koji utiču na mnoge moderne procesore i operativne sisteme. To obuhvata Intel, AMD i ARM. Određene detalje o ranjivosti zasnovanim na silikonima mogu se pronaći u sledećim ADV-ovima (bezbednosni saveti) i CV-ovima (uobičajene ranjivosti i izloženosti):

Važno: Ovaj problem utiče i na druge operativne sisteme kao što su Android, Chrome, iOS i macOS. Zbog toga savetujemo klijentima da traže uputstva od tih prodavaca.

Objavili smo nekoliko ispravki koje će vam pomoći da umanjite ove ranjivosti. Takođe smo preduzeli radnju da bismo obezbedili usluge u oblaku. Više detalja potražite u sledećim odeljcima.

Još uvek nismo dobili informacije koje ukazuju na to da su te ranjivosti korišćene za napade klijenata. Blisko radimo sa industrijskim partnerima, uključujući proizvođače čipova, proizvođače hardvera i prodavce aplikacija da bismo zaštitili klijente. Da biste dobili sve dostupne zaštite, potrebne su firmver (mikrokod) i softverske ispravke. To uključuje mikro kôd sa OEM-ova uređaja i, u nekim slučajevima, ispravke antivirusnog softvera.

Ovaj članak se odnosi na sledeće ranjivosti:

Windows Update će takođe obezbediti umanjivanja za Internet Explorer i Edge. Nastavićemo da poboljšavamo ove umanjivanja u odnosu na ovu klasu ranjivosti.

Da biste saznali više o ovoj klasi ranjivosti, pogledajte sledeće članke:

Ranjivosti

Intel je 14. maja 2019. objavio informacije o novoj potklasi spekulativnih ranjivosti bočnog kanala izvršavanja poznatog kao Microarchitectural Data Uzorkovanje. Ove ranjivosti su rešene u sledećim CV-ovima:

Važno: Ovi problemi će uticati na druge operativne sisteme kao što su Android, Chrome, iOS i MacOS. Preporučujemo vam da potražite uputstva od ovih odgovarajućih prodavaca.

Objavili smo ispravke koje će vam pomoći da umanjite ove ranjivosti. Da biste dobili sve dostupne zaštite, potrebne su firmver (mikrokod) i softverske ispravke. Ovo može da uključuje mikro kôd od OEM-ova uređaja. U nekim slučajevima, instaliranje tih ispravki imaće uticaj na performanse. Takođe smo reagovali da obezbedimo usluge u oblaku. Preporučujemo da primenite ove ispravke.

Više informacija o ovom problemu potražite u sledećim bezbednosnim savetima i koristite uputstva zasnovana na scenariju da biste utvrdili radnje potrebne za umanjivanje pretnje:

Napomena: Preporučujemo da instalirate sve najnovije ispravke iz usluge Windows Update pre nego što instalirate ispravke mikro koda.

6. avgusta 2019. Intel je objavio detalje o ranjivosti otkrivanja Windows informacija o jezgru. Ova ranjivost je varijanta spektra varijante 1 spekulativne ranjivosti bočnog kanala izvršavanja i dodeljena mu je FUNKCIJA-2019-1125.

9. jula 2019. objavili smo bezbednosne ispravke za operativni sistem Windows da bismo umanjili ovaj problem. Imajte na umu da smo zadržali dokumentovanje ovog umanjivanja javno do objavljivanja koordinisane industrije u utorak, 6. avgusta 2019.

Klijenti koji su Windows Update i primenili bezbednosne ispravke objavljene 9. jula 2019. automatski su zaštićeni. Nije potrebna dalja konfiguracija.

Napomena: Ova ranjivost ne zahteva ažuriranje mikrokoda od proizvođača uređaja (OEM).

Više informacija o ovoj ranjivosti i primenljivim ispravkama potražite u vodiču za Microsoft bezbednosne ispravke:

CVE-2019-1125 | Ranjivost otkrivanja informacija o windows međuslovnim razmakima

12. novembra 2019. Intel je objavio tehnički savet o Asinhronoj ranjivosti transakcije Intel transakcije (Intel TSX) koji se dodeljuje CVE-2019-11135. Objavili smo ispravke koje će vam pomoći da umanjite ovu ranjivost. Zaštite operativnog sistema Windows su podrazumevano omogućene za izdanja operativnog sistema Windows Client OS.

14. juna 2022. objavili smo ADV220002 | Microsoft smernice o ranjivosti intel procesora MMIO zauslenih podataka. Ranjivosti su dodeljene na sledećim CV-ovima:

Preporučene radnje

Trebalo bi da preduzmete sledeće radnje da biste se zaštitili od ovih ranjivosti:

Primenite sve dostupne ispravke operativnog sistema Windows, uključujući mesečne bezbednosne ispravke za Windows.
Primenite primenljivu ispravku firmvera (mikrokod) koju obezbeđuje proizvođač uređaja.
Procenite rizik po okruženje na osnovu informacija pruženih u Microsoft savetima za bezbednost ADV180002, ADV180012, ADV190013 i ADV220002, pored informacija pruženih u ovom članku.
Izvršite radnju po potrefi koristeći savete i ključne informacije registratora koje su navedene u ovom članku.

Napomena: Surface klijenti će primiti ispravku mikrokodom putem windows ispravke. Listu najnovijih dostupnih ispravki firmvera Surface uređaja (mikrokod) potražite u KB4073065.

12. jula 2022. objavili smo CVE-2022-23825 | Konfuzija tipa AMD CPU grane koja opisuje da pseudonimi u predviđanju grana mogu dovesti do toga da određeni AMD procesori predvide pogrešan tip grane. Ovaj problem može da dovede do otkrivanja informacija.

Da biste se zaštitili od ove ranjivosti, preporučujemo da instalirate Windows ispravke koje su navedene od jula 2022. do jula 2022, a zatim da preduzmete neku radnju prema potrebi od STRANE CVE-2022-23825 i informacija o ključu registratora koje su pružene u ovom baza znanja članku.

Više informacija potražite u bezbednosnom biblionu AMD-SB-1037 .

8. avgusta 2023. objavili smo CVE-2023-20569 | Predviđač AMD CPU povratne adrese (poznat i kao Inception) koji opisuje novi spekulativni napad bočnog kanala koji može dovesti do spekulativnog izvršavanja na adresi koju kontroliše napadač. Ovaj problem utiče na određene AMD procesore i može potencijalno dovesti do otkrivanja informacija.

Da biste se zaštitili od ove ranjivosti, preporučujemo da instalirate Windows ispravke koje su navedene od avgusta 2023. do avgusta 2023. i da zatim preduzmu korake koje zahteva FUNKCIJA CVE-2023-20569 i informacije o ključu registratora koje su pružene u ovom baza znanja članku.

Više informacija potražite u bezbednosnom biblioteku AMD-SB-7005 .

9. aprila 2024. objavili smo CVE-2022-0001 | Ubrizgavanje istorije grana koje opisuje umetanja istorije grana (BHI), što je specifičan oblik intra-mode BTI- a. Do ove ranjivosti dolazi kada napadač može da manipuliše istorijom grananja pre prelaska sa korisnika na režim nadzora (ili iz VMX-a koji nije koren/gost u osnovni režim). Ova manipulacija može da dovede do toga da indirektni predviđač grane izabere određeni unos predviđača za indirektnu granu, a gadžet za otkrivanje kod predviđenog cilja će se transijentivno izvršavati. To je možda moguće zato što relevantna istorija grana može da sadrži grane preuzete u prethodnim bezbednosnim kontekstima, a posebno u drugim režimima predviđanja.

Postavke umanjivanja za Windows klijente

Saveti za bezbednost (ADV-ovi) i CV-ovi pružaju informacije o riziku koji predstavljaju ove ranjivosti i kako vam pomažu da identifikujete podrazumevano stanje umanjivanja za Windows klijentske sisteme. Sledeća tabela rezimira zahtev CPU mikro koda i podrazumevani status umanjivanja u Windows klijentima.

CVE	Zahteva CPU mikrokod/firmver?	Podrazumevani status umanjivanja
CVE-2017-5753	Ne	Podrazumevano omogućeno (nema opcije za onemogućavanje) Dodatne informacije potražite ADV180002 informacije.
CVE-2017-5715	Da	Podrazumevano omogućeno. Korisnici sistema zasnovanih na AMD procesorima trebalo bi da vide najčešća pitanja #15 i korisnici ARM procesora bi trebalo da vide najčešća pitanja #20 na ADV180002 za dodatne radnje i ovaj članak u bazi znanja za primenljive postavke ključa registratora. Napomena Retpoline je podrazumevano omogućen za uređaje koji rade pod operativnim sistemom Windows 10 verzija 1809 ili novija ako je omogućena opcija Spectre Variant 2 (CVE-2017-5715). Za više informacija, u vezi sa retpolinom, pratite uputstva u objavi na blogu Ublažavanje spektra 2 pomoću posta na blogu Retpoline u operativnom sistemu Windows .
CVE-2017-5754	Ne	Podrazumevano omogućeno Dodatne informacije potražite ADV180002 informacije.
CVE-2018-3639	Intel: Da AMD: Ne Da	Intel i AMD: Podrazumevano onemogućeno. Dodatne ADV180012 potražite u ovom članku baze znanja da biste dobili primenljive postavke ključa registratora. ARM: Podrazumevano omogućeno bez opcije onemogućavanje.
CVE-2019-11091	Intel: Da	Podrazumevano omogućeno. Više informacija ADV190013 potražite u ovom članku za primenljive postavke ključa registratora.
CVE-2018-12126	Intel: Da	Podrazumevano omogućeno. Više informacija ADV190013 potražite u ovom članku za primenljive postavke ključa registratora.
CVE-2018-12127	Intel: Da	Podrazumevano omogućeno. Više informacija ADV190013 potražite u ovom članku za primenljive postavke ključa registratora.
CVE-2018-12130	Intel: Da	Podrazumevano omogućeno. Više informacija ADV190013 potražite u ovom članku za primenljive postavke ključa registratora.
CVE-2019-11135	Intel: Da	Podrazumevano omogućeno. Više informacija potražite u članku CVE-2019-11135 za više informacija i ovaj članak za primenljive postavke ključa registratora.
CVE-2022-21123 (deo mmIO ADV220002)	Intel: Da	Windows 10, verzija 1809 i novije verzije: Podrazumevano omogućeno. Windows 10, verzija 1607 i starije verzije: podrazumevano onemogućeno. Više informacija potražite u članku CVE-2022-21123 za više informacija i ovaj članak za primenljive postavke ključa registratora.
CVE-2022-21125 (deo mmIO ADV220002)	Intel: Da	Windows 10, verzija 1809 i novije verzije: Podrazumevano omogućeno. Windows 10, verzija 1607 i starije verzije: podrazumevano onemogućeno. Više informacija potražite u članku CVE-2022-21125 .
CVE-2022-21127 (deo mmIO ADV220002)	Intel: Da	Windows 10, verzija 1809 i novije verzije: Podrazumevano omogućeno. Windows 10, verzija 1607 i starije verzije: podrazumevano onemogućeno. Više informacija potražite u članku CVE-2022-21127 .
CVE-2022-21166 (deo mmIO ADV220002)	Intel: Da	Windows 10, verzija 1809 i novije verzije: Podrazumevano omogućeno. Windows 10, verzija 1607 i starije verzije: podrazumevano onemogućeno. Više informacija potražite u članku CVE-2022-21166 .
CVE-2022-23825 (zabuna tipa AMD CPU grane)	AMD: Ne	Više informacija potražite u članku CVE-2022-23825 za više informacija i ovaj članak za primenljive postavke ključa registratora.
CVE-2023-20569 (predvidilac AMD CPU povratne adrese)	AMD: Da	Više informacija potražite u članku CVE-2023-20569 za više informacija i ovaj članak za primenljive postavke ključa registratora.
CVE-2022-0001	Intel: ne	Podrazumevano onemogućeno. Više informacija potražite u članku CVE-2022-0001 za više informacija i ovaj članak za primenljive postavke ključa registratora.

Napomena: Omogućavanje ublaženih ograničenja podrazumevano može da utiče na performanse uređaja. Stvarni efekat performansi zavisi od više faktora, kao što su određeni skup čipova u uređaju i radna opterećenja koja se izvršavaju.

Postavke registratora

Pružamo sledeće informacije registratora da bismo omogućili umanjivanja koja nisu podrazumevano omogućena, kao što je dokumentovano u bezbednosnim savetima (ADV-ovima) i CV-ovima. Pored toga, obezbeđujemo postavke ključa registratora za korisnike koji žele da onemoguće umanjivanja kada su primenljiva za Windows klijente.

Važno: Ovaj odeljak, metod ili zadatak sadrže korake koji vam pokazuju kako da izmenite registrator. Međutim, može doći do ozbiljnih problema ako neispravno izmenite registrator. Zato obavezno pažljivo pratite ove korake. Radi dodatne zaštite, napravite rezervnu kopiju registratora pre nego što ga izmenite. Zatim možete da vratite registrator u prethodno stanje ako dođe do problema. Više informacija o tome kako da napravite rezervnu kopiju registratora i vratite ga u prethodno stanje potražite u sledećem članku u Microsoft bazi znanja:

322756 Kako da napravite rezervne kopije i vratite registrator u prethodno stanje u operativnom sistemu Windows

Važno: Retpoline je podrazumevano omogućen na Windows 10, verzija 1809 uređaja ako je omogućena opcija Spectre, Variant 2 (CVE-2017-5715). Omogućavanje retpolina na najnovijoj verziji programa Windows 10 može da poboljša performanse na uređajima koji rade pod operativnim sistemom Windows 10 verzija 1809 za Spectre varijantu 2, posebno na starijim procesorima.

Da biste omogućili podrazumevana ublaženja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Topljenje)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite uređaj da bi promene slegle na snagu.

Onemogućavanje ublaživanja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Topljenje)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite uređaj da bi promene slegle na snagu.

Napomena: Vrednost 3 je tačna za FeatureSettingsOverrideMask za postavke "enable" i "disable". (Pogledajte odeljak "Najčešća pitanja" za više detalja o ključevima registratora.)

Da biste onemogućili ublaženja za CVE-2017-5715 (Spectre Variant 2) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite uređaj da bi promene slegle na snagu.

Da biste omogućili podrazumevana ublaženja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Topljenje):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite uređaj da bi promene slegle na snagu.

Zaštita od korisnika prema međuslovnim vrednostima za CVE-2017-5715 podrazumevano je onemogućena za AMD i ARM CPU- e. Morate omogućiti umanjivanje da biste dobili dodatne zaštite za CVE-2017-5715. Dodatne informacije potražite u članku Najčešća pitanja #15 u članku ADV180002 za AMD procesore i najčešća pitanja #20 u članku ADV180002 ARM procesorima .

Omogućite zaštitu korisnika od međuslovnog razmaka na AMD i ARM procesorima zajedno sa drugim zaštitama za CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite uređaj da bi promene slegle na snagu.

Da biste omogućili ublaženja za CVE-2018-3639 (zaobilaženje Spekulativne prodavnice), podrazumevana ublaženja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Topljenje):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite uređaj da bi promene slegle na snagu.

Beleške: AMD procesori nisu ranjivi na CVE-2017-5754 (Topljenje). Ovaj ključ registratora se koristi u sistemima sa AMD procesorima da bi se omogućila podrazumevana umanjivanja za CVE-2017-5715 na AMD procesorima i umanjivanje za CVE-2018-3639.

Onemogućavanje ublaživanja za CVE-2018-3639 (zaobljivanje spekulativne prodavnice) *i* ublaživanja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Topljenje)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite uređaj da bi promene slegle na snagu.

Zaštita od korisnika prema međuslovnim vrednostima za CVE-2017-5715 podrazumevano je onemogućena za AMD procesore. Klijenti moraju da omoguće umanjivanje da bi dobili dodatne zaštite za CVE-2017-5715. Više informacija potražite u članku Najčešća pitanja #15 u članku ADV180002.

Omogućite zaštitu korisnika od međuslovnog razmaka na AMD procesorima zajedno sa drugim zaštitama za CVE 2017-5715 i zaštitama za CVE-2018-3639 (zaobimanje specifikativne prodavnice):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite uređaj da bi promene slegle na snagu.

Da biste omogućili umanjivanja za Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort ranjivost (CVE-2019-11135) i sampl microarchitectural podataka CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-1213 0 ) zajedno sa varijacijama Spektre (CVE-2017-5753 & CVE-2017-5715) i Meltdown (CVE-2017-5754), uključujući Speculaative Store Disable (SSBD) (CVE-2018-3639), kao i L1 kvar terminala (L1TF) (CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646) bez onemogućavanja Hyper-Niti:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je funkcija Hyper-V instalirana, dodajte sledeću postavku registratora:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je ovo Hyper-V host i ispravke firmvera su primenjene: Potpuno isključite sve virtuelne mašine. To omogućava umanjivanje u vezi sa firmverom da se primeni na host pre nego što se virtuelne mašine pokrenu. Zbog toga se virtuelne mašine ažuriraju i kada se ponovo pokrenu.

Ponovo pokrenite uređaj da bi promene slegle na snagu.

To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) sa onemogućenim Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je funkcija Hyper-V instalirana, dodajte sledeću postavku registratora:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ponovo pokrenite uređaj da bi promene slegle na snagu.

To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite uređaj da bi promene slegle na snagu.

Da biste omogućili umanjivanje za CVE-2022-23825 na AMD procesorima :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Da bi korisnici mogli da budu potpuno zaštićeni, klijenti će možda morati da onemoguće Hyper-Threading (poznat i kao Istovremeno sa više niti (SMT)). Pogledajte KB4073757uputstva o zaštiti Windows uređaja.

Da biste omogućili umanjivanje za CVE-2023-20569 na AMD procesorima:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Da biste omogućili umanjivanje za CVE-2022-0001 na Intel procesorima:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Omogućavanje više ublažavanja

Da biste omogućili više umanjivanja, morate da dodate REG_DWORD vrednost svakog umanjivanja zajedno.

Na primer:

FeatureSettingsOverride FeatureSettingsOverrideMask

Ublažavanje za ranjivost asinhronog prekid transakcije, uzorkovanje microarchitectural podataka, Spectre, Meltdown, MMIO, Speculative Store Bypas Disable (SSBD) i L1 Kvar terminala (L1TF) sa onemogućenim Hyper-Threading	reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f
NAPOMENA 8264 (u decimalnom broju) = 0x2048 (u heksadecimalanom) Da biste omogućili BHI zajedno sa drugim postojećim postavkama, moraćete da koristite bitwise OR trenutne vrednosti sa 8.388.608 (0x800000). 0x800000 OR 0x2048(8264 u decimalnom broju) i postaće 8.396.872 (0x802048). Isto je i sa FeatureSettingsOverrideMask.
Umanjivanje za CVE-2022-0001 na Intel procesorima	reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
Kombinovano umanjivanje	reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Ublažavanje za ranjivost asinhronog prekid transakcije, uzorkovanje microarchitectural podataka, Spectre, Meltdown, MMIO, Speculative Store Bypas Disable (SSBD) i L1 Kvar terminala (L1TF) sa onemogućenim Hyper-Threading	reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"
Umanjivanje za CVE-2022-0001 na Intel procesorima	reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Kombinovano umanjivanje	reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Provera da li su zaštite omogućene

Da bismo potvrdili da su zaštite omogućene, objavili smo PowerShell skriptu koju možete da pokrenete na uređajima. Instalirajte i pokrenite skriptu pomoću jednog od sledećih metoda.

Instalirajte PowerShell modul:

PS> Install-Module SpeculationControl

Pokrenite PowerShell modul da biste potvrdili da su zaštite omogućene:

PS> # Sačuvaj trenutne smernice za izvršavanje tako da se mogu uspostaviti početne vrednosti

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Uspostavi početne vrednosti smernica za izvršavanje u originalno stanje

PS> Set-ExecutionPolicy $SaveExecutionPolicy – trenutni korisnik opsega

Instalirajte PowerShell modul sa sajta Technet ScriptCenter:

Idi na https://aka.ms/SpeculationControlPS

Preuzmite SpeculationControl.zip u lokalnu fasciklu.

Izdvojite sadržaj u lokalnu fasciklu, na primer C:\ADV180002

Pokrenite PowerShell modul da biste potvrdili da su zaštite omogućene:

Pokrenite PowerShell, a zatim (pomoću prethodnog primera) kopirajte i pokrenite sledeće komande:

PS> # Sačuvaj trenutne smernice za izvršavanje tako da se mogu uspostaviti početne vrednosti

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Uspostavi početne vrednosti smernica za izvršavanje u originalno stanje

PS> Set-ExecutionPolicy $SaveExecutionPolicy – trenutni korisnik opsega

Detaljno objašnjenje izlaza PowerShell skripte potražite u KB4074629.

Najčešća pitanja

Mikro kôd se isporučuje putem ažuriranja firmvera. Trebalo bi da se obratite CPU-u (skupu čipova) i proizvođačima uređaja da li su dostupne primenljive bezbednosne ispravke firmvera za određeni uređaj, uključujući Intels Microcode vodič za reviziju.

Rešavanje hardverske ranjivosti putem ažuriranja softvera predstavlja značajne izazove. Takođe, umanjivanja za starije operativne sisteme zahtevaju obimne arhitektonske promene. Radimo sa proizvođačima čipova na koje ovo utiče da bismo odredili najbolji način za pružanje umanjivanja koja se mogu isporučiti u budućim ispravkama.

Novosti microsoft Surface uređajima će biti isporučene korisnicima putem Windows Update zajedno sa ispravkama za operativni sistem Windows. Listu dostupnih ispravki firmvera Surface uređaja (mikrokod) potražite u KB4073065.

Ako vaš uređaj nije korporacije Microsoft, primenite firmver proizvođača uređaja. Za više informacija obratite se proizvođaču OEM uređaja.

U februaru i martu 2018. Microsoft je objavio dodatnu zaštitu za neke sisteme zasnovane na x86 procesorima. Više informacija potražite u članku KB4073757 i Microsoft savet za bezbednost ADV180002.

Novosti da Windows 10 HoloLens dostupni su HoloLens klijentima putem Windows Update.

Nakon primene ispravke iz februara 2018. Windows bezbednost, HoloLens klijenti ne moraju da preduzimaju dodatne radnje da bi ažurirali firmver uređaja. Ova umanjivanja će takođe biti uključena u sva buduća izdanja programa Windows 10 HoloLens.

Ne. Samo bezbednosne ispravke nisu kumulativne. U zavisnosti od verzije operativnog sistema koju koristite, svakog meseca ćete morati da instalirate samo bezbednosne ispravke da biste se zaštitili od ovih ranjivosti. Na primer, ako koristite Windows 7 za 32-bitne sisteme na intel CPU-u na koji ovo utiče, morate da instalirate sve ispravke samo za bezbednost. Preporučujemo da instalirate ove samo bezbednosne ispravke u redosledu izdavanja.

Napomena U starijoj verziji ovog najčešćih pitanja pogrešno je navedeno da je ispravka za februar "Samo za bezbednost" obuhvatila bezbednosne ispravke objavljene u januaru. Zapravo, ne znaиi.

Ne. Bezbednosna ispravka 4078130 je bila specifična ispravka za sprečavanje nepredvidivih ponašanja sistema, problema sa performansama i/ili neočekivanih ponovnih pokretanja nakon instalacije mikro koda. Primena bezbednosnih ispravki iz februara na operativnim sistemima Windows klijenta omogućava sva tri umanjivanja.

Intel je nedavno najavio da je završio proveru valjanosti i počeo da izdaje mikro kôd za novije CPU platforme. Microsoft pravi dostupna ažuriranja mikrokoda proverenog intel-a oko spektra Variant 2 (CVE-2017-5715 "Umetanje ciljne grane"). KB4093836 navodi određene članke baze znanja po verziji operativnog sistema Windows. Svaka određena KB sadrži dostupne Ispravke Intel mikrokodova po CPU-u.

Ovaj problem je rešen u KB4093118.

AMD je nedavno saopštio da je počeo da izdaje mikro kôd za novije CPU platforme oko spektra varijanta 2 (CVE-2017-5715 "Grana ciljne umetanja"). Za više informacija pogledajte AMD Security Novosti AMD Whitepaper: Uputstva za arhitekturu u vezi sa kontrolom indirektne grane. One su dostupne na kanalu OEM firmvera.

Pravimo dostupne ispravke za Mikro kôd proverenog intel-a oko spektra Variant 2 (CVE-2017-5715 "Umetanja ciljne grane "). Da bi dobili najnovije ispravke Intel microcode putem Windows Update, klijenti moraju da instaliraju Intel microcode na uređajima koji rade pod operativnim sistemom Windows 10 pre nadogradnje na ispravku Windows 10. aprila 2018. (verzija 1803).

Ispravka za mikrokod dostupna je i direktno iz kataloga ako nije instalirana na uređaju pre nadogradnje operativnog sistema. Intel microcode je dostupan putem Windows Update, WSUS ili Microsoft Update kataloga. Više informacija i uputstva za preuzimanje potražite u članku KB4100347.

Dodatne informacije potražite u sledećim resursima:

ADV180012 | Microsoft vodič za zaobioženje spekulativne prodavnice za CVE-2018-3639
ADV180013 | Microsoft vodič za Odgue System Register Read za CVE-2018-3640 i KB4073065
Blog microsoft bezbednosnih istraživanja i odbrane
Vodič za projektante za zaobioženje spekulativne prodavnice

Detalje potražite u odeljcima "Preporučene radnje" i "Najčešća pitanja" u članku ADV180012 | Microsoft vodič za zaobioženje spekulativne prodavnice.

Da bi se potvrdio status SSBD-a, Get-SpeculationControlSettings PowerShell skripta je ažurirana da bi se otkrili ugroženi procesori, status ispravki operativnog sistema SSBD i stanje mikrokodora procesora ako je primenljivo. Dodatne informacije i dobijanje PowerShell skripte potražite u članku KB4074629.

13. juna 2018. godine objavljena je i dodeljena funkcija CVE-2018-3665. Nisu neophodne postavke konfiguracije (registratora) za vraćanje funkcije Lezy Restore FP u prethodno stanje.

Dodatne informacije o ovoj ranjivosti i preporučenim radnjama potražite u članku Savetodavstva ADV180016 | Microsoft vodič za vraćanje lenje FP stanja u prethodno stanje.

Napomena: Nisu neophodne postavke konfiguracije (registratora) za vraćanje funkcije Lezy Restore FP u prethodno stanje.

Prodavnica zaobiliska provere granica (BCBS) objavljena je 10. jula 2018. i dodeljena je CVE-2018-3693. Smatramo da BCBS pripada istoj klasi ranjivosti kao i zaobionik provere granica (Varijanta 1). Trenutno ne znamo nijednu instancu BCBS-a u našem softveru, ali nastavljamo da istražujemo ovu klasu ranjivosti i radićemo sa industrijskim partnerima na otklanjanju umanjivanja po potrebi. Nastavljamo da podstičemo istraživače da proslede sve relevantne rezultate Microsoft-ovom spekulativnom programu za ucenjeni kanal na strani izvršavanja, uključujući sve primerljive instance BCBS. Projektanti softvera treba da pregledaju uputstva za projektante koja su ažurirana za BCBS https://aka.ms/sescdevguide.

14. avgusta 2018. godine objavljena je greška L1 terminala (L1TF) i dodeljeno je više CV-ove. Ove nove spekulativne ranjivosti na bočnom kanalu mogu da se koriste za čitanje sadržaja memorije preko pouzdane granice i, ako su iskorišćene, mogu dovesti do otkrivanja informacija. Napadač može da izazove ranjivosti kroz više vektora, u zavisnosti od konfigurisanog okruženja. L1TF utiče na Intel® Core procesore® i Intel® Xeon procesore®.

Za više informacija o ovoj ranjivosti i detaljnom prikazu ugroženih scenarija, uključujući pristup korporacije Microsoft umanjivanja L1TF-a, pogledajte sledeće resurse:

Klijenti koji koriste 64-bitne ARM procesore trebalo bi da provere da li postoji podrška za firmver uređaja sa uređajem OEM zato što arm64 zaštita operativnog sistema umanjivanje CVE-2017-5715 | Ciljna injekcija grane (Spectre, Variant 2) zahteva najnoviju ispravku firmvera od OEM-a uređaja da bi stupanje na snagu.

Dodatne informacije potražite u sledećim bezbednosnim savetima

Dodatna uputstva se mogu pronaći u Windows vodiču za zaštitu od spekulativnih ranjivosti na strani kanala izvršavanja

Pogledajte uputstva u Uputstvima za Windows da biste se zaštitili od spekulativnih ranjivosti bočnog kanala izvršavanja

Za Azure uputstva pogledajte ovaj članak: Uputstva za umanjivanje spekulativnih ranjivosti na bočnom kanalu izvršavanja u usluzi Azure.

Više informacija o omogućavanju retpolina potražite u našoj objavi na blogu: Ublažavanje spektra varijante 2 pomoću retpolina u operativnom sistemu Windows.

Detalje o ovoj ranjivosti potražite u Microsoft vodiču za bezbednost: CVE-2019-1125 | Ranjivost otkrivanja informacija o Windows jezgru.

Ne znamo nijednu instancu ovog otkrivanja informacija koje utiču na infrastrukturu usluge u oblaku.

Čim smo postali svesni ovog problema, brzo smo radili na tome da ga rešimo i izdamo ispravku. Mi čvrsto verujemo u bliska partnerstva sa istraživačima i partnerima u industriji kako bismo klijente učinili bezbednijim i nismo objavili detalje do utorka, 6. avgusta, u skladu sa koordinisanim praksama otkrivanja ranjivosti.

Dalja uputstva možete pronaći u Windows uputstvima da biste se zaštitili od spekulativnih ranjivosti na bočnom kanalu izvršavanja.

Dalja uputstva možete pronaći u vodiču za onemogućavanje mogućnosti Intel® Transactional Synchronization Extensions (Intel® TSX).

Reference

Pružamo kontakt informacije nezavisnih proizvođača koje će vam pomoći da pronađete tehničku podršku. Ove kontakt informacije mogu da se promene bez obaveštenja. Ne garantujemo tačnost ove kontakt informacije nezavisnog proizvođača.

KB4073119: Vodič za Windows klijente za IT stručnjake za zaštitu od mikroarhitekturalnih objekata zasnovanih na silikonskom sistemu i spekulativnih ranjivosti bočnog kanala izvršavanja

Rezime

Ranjivosti

Postavke umanjivanja za Windows klijente

Postavke registratora

Omogućavanje više ublažavanja

Provera da li su zaštite omogućene

Najčešća pitanja

Reference

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Da li su vam ove informacije koristile?

Hvala vam na povratnim informacijama!

Evidencija promena

Rezime

Ranjivosti

Ranjivost uzorkovanje microarchitectural podataka

Ranjivost spektra varijante 1

Asinhrona ranjivost prekid transakcije

Ranjivost uzorkovanja zaustavljenih podataka mmIO-a

Zabuna tipa grane

Predviđač povratne adrese

Umetanja istorije grana

Postavke umanjivanja za Windows klijente

Postavke registratora

Upravljanje ublaženim vrednostima za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Topljenje)

Upravljanje ublaženim vrednostima za CVE-2017-5715 (Spectre Variant 2)

Samo AMD i ARM procesori: Omogućavanje potpunog ublažavanja za CVE-2017-5715 (Spectre Variant 2)

Upravljanje ublaženim vrednostima za CVE-2018-3639 (zaobilizanje Spekulativne prodavnice), CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Topljenje)

Samo AMD procesori: Omogućavanje potpunog ublaženja za CVE-2017-5715 (Spectre Variant 2) i CVE 2018-3639 (zaobimanje specifikativne prodavnice)

Upravljanje ranjivoćama asinhronog prekid transakcija, uzorkovanje microarchitectural podataka, Spectre, Meltdown, Speculative Store Disable (SSBD) i L1 greška terminala (L1TF)

CVE-2022-23825 | Zabuna tipa AMD CPU grane (BTC)

CVE-2023-20569 | Predvidilac AMD CPU povratne adrese

CVE-2022-0001 | Umetanja istorije Intel grana

Omogućavanje više ublažavanja

Provera da li su zaštite omogućene

1. metod: PowerShell verifikacija pomoću PowerShell galerije (Windows Server 2016 ili WMF 5.0/5.1)

2. metod: PowerShell verifikacija pomoću preuzimanja sa sajta Technet (starije verzije operativnog sistema i starijih verzija WMF)

Najčešća pitanja

Kako da znam da li imam ispravnu verziju CPU mikro koda?

Moj operativni sistem nije naveden. Kada mogu da očekujem da ispravka bude objavljena?

Gde mogu da pronađem Surface firmver ili ispravke hardvera?

Imam x86 arhitekturu, ali ne vidim ponuđenu ispravku. Hoжu li ga dobiti?

Gde mogu da pronađem Microsoft HoloLens operativnog sistema i firmvera (microcode) ispravke?

Nisam instalirao nijednu od bezbednosnih ispravki iz 2018. Ako instaliram najnovije bezbednosne ispravke iz 2018, da li sam zaštićen od ranjivosti opisanih?

Ako primenim bilo koje od primenljivih bezbednosnih ispravki iz februara, da li će onemogućiti zaštitu za CVE-2017-5715 na isti način kao što je to 4078130 uradio?

Čuo sam da je Intel objavio ispravke za mikrokod. Gde mogu da ih pronađem?

Poznati problem: Neki korisnici mogu naići na probleme sa mrežnim povezivanjem ili izgubiti postavke IP adrese nakon instaliranja bezbednosne ispravke od 13. marta 2018. (KB4088875)

Čuo sam da je AMD objavio ispravke za mikrokod. Gde mogu da pronađem i instaliram ove ispravke za sistem?

Koristim ispravku Windows 10 iz aprila 2018. (verzija 1803). Da li je Intel mikrokod dostupan za moj uređaj? Gde mogu da ga pronađem?

Gde mogu da pronađem informacije o novim spekulativnim ranjivostima na bočnom kanalu izvršavanja (Zaoblaz spekulativne prodavnice - CVE-2018-3639 i Rogue System Register Read – CVE-2018-3640)?

Gde mogu da pronađem više informacija o Windows podršci za specifikativnu zaoblaznu listu prodavnica Onemogućavanje (SSBD) u Intel procesorima

Kako da potvrdim da li je SSBD omogućen ili onemogućen?

Čuo sam da je najavljeno vraćanje lenje FP države (CVE-2018-3665). Da li će Microsoft umanjiti uslove za to?

Čuo sam da je CVE-2018-3693 (Bounds Check Bypas Store) povezan sa Spectre. Da li će Microsoft umanjiti uslove za to?

Čula sam da je objavljena greška L1 terminala (L1TF). Gde mogu da pronađem više informacija o tome i podršku za Windows za to?

Gde mogu da pronađem i instaliram ARM64 firmver koji ublažava CVE-2017-5715 – ciljno umeće grane (Spectre Variant 2)?

Gde mogu da pronađem informacije o Intel otkrivanju u vezi sa Microarchitectural Data Uzorkovanjem (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127?)

Gde mogu da pronađem informacije o Intel-ovom otkrivanju u vezi sa ranjivostima microarchitectural podataka ( CVE-2019-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130)?

Gde mogu da pronađem uputstva zasnovana na scenariju za utvrđivanje radnji potrebnih za umanjivanje ranjivosti uzorkovanje microarchitectural podataka?

Da li treba da onemogućim Hyper-Threading MDS na uređaju?

Gde mogu da pronađem uputstva za Azure?

Gde mogu da saznam više o omogućavanju retpolina u Windows 10 verziji 1809?

Иuo sam da postoji varijanta ranjivosti spekulativnog kanala Spektra Varijanta 1. Gde mogu da saznam više?

Da li CVE-2019-1125 | Ranjivost otkrivanja informacija o Windows jezgru utiče na Microsoft usluge u oblaku?

Ako su ispravke za CVE-2019-1125 | Ranjivost otkrivanja informacija o Windows kernel informacijama objavljena je 9. jula 2019. zašto su detalji objavljeni 6. avgusta 2019.

Gde mogu da pronađem uputstvo zasnovano na scenariju kako bih utvrdio radnje neophodne za umanjivanje asinhrone ranjivosti transakcije Intel Transactional Synchronization Extensions (Intel TSX) transakcije (CVE-2019-11135)?

Da li treba da onemogućim Hyper-Threading Za Intel Transactional Synchronization Extensions (Intel TSX) transakciju asinhronog prekid ranjivosti (CVE-2019-11135) na uređaju?

Da li postoji način da se onemogući mogućnost Intel Transactional Synchronization Extensions (Intel TSX)?

Reference

Odricanje odgovornosti za informacije nezavisnih proizvođača

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Da li su vam ove informacije koristile?

Hvala vam na povratnim informacijama!