Windows Vodič za zaštitu od špekulativnih ranjivosti sa stranom kanalom

Rezime

Microsoft je upoznat sa novim varijantama klase napada poznatije kao spekulacije koje su bile ranjivosti od strane kanala. Varijante se zovu L1 terminalni kvar (L1TF) i Mikroarhitektonsko uzorkovanje podataka (MDS). Napadač koji može uspešno da eksploatiše L1TF ili MDS može da pročita privilegovane podatke preko granica poverenja.

Ažurirano 14 maj 2019: Od 14 maja 2019, Intel je objavio informacije o novoj potklasa spekulativnih ranjivosti sa Side-kanalom poznatim kao Mikroarhitektonsko uzorkovanje podataka. Njima su dodeljeni sledeći covi:

Ažurirano 12 novembar 2019: 2019. novembra, Intel je objavio tehnički savet oko Intel® transakcijski proširenja (Intel® CX) transakcija Asinhrona prekid ranjivosti koja je dodeljena CVE-2019-11135. Microsoft je objavio ispravke da bi pomogao da se ublaži ova ranjivost. Obratite pažnju na sledeće:

  • Zaštita operativnih sistema je podrazumevano omogućena za neke izdanja sistema Windows Server OS. Više informacija potražite u članku 4072698 Microsoft baze znanja.

  • Zaštita operativnih sistema je podrazumevano omogućena za sve izdanja Windows Client OS. Više informacija potražite u članku 4073119 Microsoft baze znanja.

Pregled ranjivosti

U okruženjima u kojima se resursi dele, na primer virtuelizacija, napadač koji može da pokrene proizvoljnu šifru na jednom virtualnom računaru može da pristupi informacijama sa druge virtuelne mašine ili sa samog računara virtuelizacije.

Serverska radna opterećenja kao što su Windows Server usluge udaljene radne površine (RDS) i veće uloge, kao što su kontroleri domena aktivnog direktorijuma, takođe su u opasnosti. Napadači koji mogu da pokrenu proizvoljni kôd (bez obzira na njegov nivo privilegija) mogu da pristupe operativnom sistemu ili tajnama za rad, kao što su ključevi za šifrovanje, lozinke i drugi osetljivi podaci.

Operativni sistemi Windows Client su takođe u opasnosti, posebno ako oni pokreću nepouzdani kôd, virtuelizaciju na osnovu bezbednosnih funkcija, kao što je čuvar akreditiva za Windows Defender, ili koristite Hyper-V za pokretanje virtuelnih mašina.

Napomena: Ove ranjivosti utiču na Intel Core procesore i na procesore Intel Xub.

Pregled za ublažavanje

Da biste rešili ove probleme, Microsoft radi zajedno sa Intel-om u cilju razvijanja ubrzanja i smernica softvera. Softverske ispravke koje pomažu da se ublaže ranjivosti su izdate. Da biste nabavili sve dostupne zaštite, možda će biti potrebne ispravke koje mogu da uključuju i mikrokôd uređaja OEM proizvođača.

Ovaj članak opisuje kako se ublaži sledeće ranjivosti:

  • CVE-2018-3620 – "L1 terminal greška – OS, SMM"

  • CVE-2018-3646 – "L1 terminal greška – VMM"

  • CVE-2018-11091 – "Mikroarhitektonski podaci uzorkovanje Nekakljive memorije (MDSUM)"

  • CVE-2018-12126 – "degustacijom Mikroarhitektonskog skladišta (MSBDS)"

  • CVE-2018-12127 – "Mikroarhitektonsko opterećenje podataka za degustacijom (MLPDS)"

  • CVE-2018-12130 – "uzorkovanje podataka o Mikroarhitektonskom popunjavanju (MFBDS)"

  • CVE-2019-11135 – "Windowsi otkrivanja informacija o kernel-u"

Da biste saznali više o ranjivosti pogledajte sledeće bezbednosne savete:

L1TF: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv180018

MDS: https://portal.msrc.Microsoft.com/en-US/Security-guidance/Advisory/adv190013

Ranjivost podataka Windows jezgra informacija o otkrivnosti: https://portal.msrc.Microsoft.com/en-US/Security-guidance/Advisory/CVE-2019-11135

Utvrđivanje radnji koje su neophodne da bi se ublažile pretnje

Sledeći odeljci mogu da vam pomognu da identifikujete sisteme na koje utiču ranjivosti L1TF i/ili MDS, kao i da vam pomognu da razumete i ublažate rizike.

Potencijalni uticaj na performanse

Microsoft je u testiranju video neke efekte učinka na ove ublažavanje, u zavisnosti od konfiguracije sistema i koje su potrebne za ublažavanje.

Neki kupci će možda morati da onemoguće Hyper-to očitavanje (poznat i kao simultano višestruko očitavanje ili SMT) da bi u potpunosti rešila rizik od L1TF i MDS. Imajte na umu da onemogućavanje Hyper-ovog čitanja može izazvati pogoršanje performansi. Ova situacija se odnosi na korisnike koji koriste sledeće:

  • Verzije Hyper-V koje su starije od verzije Windows Server 2016 ili Windows 10 verzija 1607 (Ažuriranje godišnjice)

  • Funkcije bezbednosti zasnovane na virtuelizacije (vbs) kao što su čuvar akreditiva i čuvar uređaja

  • Softver koji dozvoljava izvršavanje nepouzdanog koda (na primer, za automatizovani server za automatizaciju ili za deljenu IIS hosting okruženje)

Uticaj može da varira u zavisnosti od hardvera i radnih opterećenja koji su pokrenuti na sistemu. Uobičajena Konfiguracija sistema je omogućena hiperčitanje. Zbog toga se uticaj na performanse nalazi na korisniku ili administratoru koji preduzima akciju da bi onemogućila Hyper-tčitanje na sistemu.

Napomena: Da biste utvrdili da li vaš sistem koristi funkcije bezbednosti koje su zaštićene za VBS, sledite ove korake:

  1. U " Start " meniju OTKUCAJTE "msinfo32". Napomena: Otvoriće se prozor informacije o sistemu .

  2. U polju Pronađi , otkucajte bezbednost.

  3. U desnom oknu pronađite dva reda koja su izabrana u snimanoj na ekranu i proverite kolonu " vrednost " da biste videli da li je omogućena bezbednost zasnovana na virtuelizacije i da li su pokrenute usluge virtualizovanih bezbednosnih usluga.

    Prozor sa informacijama sistema

Hyper-V osnovni planer skraćuje L1TF i MDS Napadački napad na Hyper-V virtuelne mašine, a i dalje omogućava da Hyper-ovi računari ostanu omogućeni. Osnovni planer je dostupan počevši sa operativnim sistemom Windows Server 2016 i Windows 10 verzija 1607. To pruža minimalni uticaj performansi na virtuelne mašine.

Jezgro planera ne ublažava L1TF ili MDS napade napada na bezbednosne funkcije koje su zaštićene VBS. Za više informacija pogledajte " ublažavanje" C i sledeći članak sa virtuelizacije:

https://aka.ms/hyperclear

Za detaljne informacije o uticaju performansi pogledajte sledeći Intel Web sajt:

www.intel.com/securityfirst

Identifikacija pogođenih sistema i potrebnih ublažavanje

Dijagram toka u slici 1 može da vam pomogne da identifikujete odgovarajuće sisteme i da utvrdite tačan skup radnji.

Važno: Ako koristite virtuelne mašine, morate da razmotrite i primenite grafikon toka na Hyper-V hosts i da svaki od njih ima jedan uticaj na "VM" gost pojedinačno, zato što se može primeniti i na oba. Konkretno, za Hyper-V host, koraci u grafikonu toka obezbeđuju međuvm zaštitu i zaštitu unutar domaćina. Međutim, Primena ovih ublažavanje na samo Hyper-V host nije dovoljna za obezbeđivanje unutarnjih zaštite. Da biste obezbedili zaštitu unutar-VM, morate da primenite grafikon toka na svaku Windows VM. U većini slučajeva, ovo znači da se uverite da su ključevi registratora postavljeni u VM.

Dok se krećete kroz dijagram toka, naići ćete na određene plave krugove koje mapiraju na neku radnju ili niz radnji koje su potrebne za ublažavanje L1TF napada vektora koji su specifični za konfiguracije sistema. Svaka radnja na koju naiđete mora biti primenjena. Kada naiđete na zelenu liniju, ona ukazuje na direktnu putanju do kraja i nema dodatnih koraka za ublažavanje.

Objašnjenje svake od ovih skraćenosti je u legendi na desnoj strani. Detaljna objašnjenja za svaku ublažavanje koja sadrži postepena uputstva za instalaciju i konfiguraciju obezbeđena su u odeljku "ublažavanje".

Dijagram toka

 

Olakšice

Važno: Sledeći odeljak opisuje ublažavanje uslova koje bi trebalo primeniti samo pod određenim uslovima koje su određeni u grafikonu toka u prethodnom odeljku. Nemojte primijeniti ova ubrzanja ako dijagram toka ne ukazuje na to da je potrebno ublažavanje.

Pored ispravki za softverske i mikrokodove, moguće je da je potrebno i da ručno izmene konfiguracije budu omogućile određenu zaštitu. Preporučujemo da se Enterprise klijenti registruju za poštu bezbednosnih obaveštenja da bi dobili obaveštenja o promenama sadržaja. (Pogledajte obaveštenja o tehničkoj bezbednosti korporacije Microsoft.)

Ublažavanje

Nabavite i primenite najnovije ispravke za Windows

Primenite sve dostupne ispravke za operativni sistem Windows, uključujući i mesečne bezbednosne ispravke za Windows. U Microsoft bezbednosnom savetodavnom programu možete videti tabelu sa pogođenim proizvodima | ADV 180018 za L1TF, bezbednosni savet | ADV 190013 za MDS i CVE-2019-11135 za Windows otkrivanje informacija o jezgru.

Ublažavanje B

Nabavite i primenite najnoviji mikrokôd ili ispravke firmvera

Pored instaliranja najnovijih ispravki za Windows, potrebna je i Nadogradnja mikrokôda procesora. Instalaciju ovih ispravki obezbeđuje OEM proizvođač.

Napomena: Ako koristite ugnežđenu virtuelizaciju (uključujući i pokretanje Hyper-V kontejnera u gostnoj VM-u), morate izložiti novi mikrocode prosvetni rad gostama gosta. Ovo može zahtevati nadogradnju "VM" konfiguracije na verziju 8. Verzija 8 podrazumevano uključuje "mikrocode" prosvetne usluge. Za više informacija i potrebne korake pogledajte sledeći članak Microsoft "Dokumenti":

Pokreni Hyper-V u virtualnoj mašini sa ugnežđenim virtuelizacije

Ublažavanje C

Da li treba da onemogućim Hyper-to očitavanje (HT)?

L1TF i MDS-ovi se uvode riziku da poverljivost Hyper-V virtualnih mašina i tajni koje održava korporacija Microsoft Security (VBS) zasnovana na virtuelnoj osnovi može da bude kompromitovana korišćenjem jednokanalnog napada. Kada je omogućen Hyper-Točitavanje (HT), bezbednosne granice koje obezbeđuje i Hyper-V i VBS su oslabljene.

Hyper-V osnovni planer (dostupan počevši sa operativnim sistemom Windows Server 2016 i Windows 10 verzija 1607) ubrzava napade L1TF i MDS u odnosu na Hyper-V virtuelne mašine, a i dalje omogućava da Hyper-ovi računari ostanu omogućeni. Ovo pruža minimalni uticaj na performanse.

Hyper-V bezbednosni planer ne ublažava L1TF ili MDS napade napada na bezbednosne funkcije koje su zaštićene VBS. L1TF i MDS-ovi se uvode riziku da poverljivost drugih VBS može da bude kompromitovana kroz napad sa jednom kanalom kada je Hyper-to očitavanje (HT) omogućena, čime se slabi bezbednosna granica koju obezbeđuje VBS. Čak i sa ovim povećanim rizikom, VBS i dalje pruža dragocene bezbednosne beneficije i ubrzava niz napada sa omogućenim HT-om. Stoga preporučujemo da se VBS i dalje koristi na sistemima omogućenim za HT. Korisnici koji žele da eliminišu potencijalnu opasnost od L1TF i MDS ranjivih slabosti na poverljivost VBS bi trebalo da se razmotre da se ovaj dodatni rizik ublaži.

Korisnici koji žele da eliminišu rizik koji L1TF i MDS predstavljaju slabosti, bez obzira da li se radi o tajnosti Hyper-V verzija koje su starije od operativnog sistema Windows Server 2016 ili za VBS bezbednosnih mogućnosti, moraju da donesu odluku i razmotre onemogućavanje ublažava rizik. Uopšteno, ova odluka se može zasnivati na sledećim uputstvima:

  • Za Windows 10 verziju 1607, Windows Server 2016 i novije sisteme koji ne koriste Hyper-V i ne koriste bezbednosne funkcije koje su zaštićene za VBS, klijenti ne smeju da onemoguće HT.

  • Za Windows 10 verziju 1607, Windows Server 2016 i noviji sistemi koji koriste Hyper-V sa osnovnim planerom, ali ne koriste bezbednosne funkcije koje su zaštićene za VBS, klijenti ne smeju onemogućiti HT.

  • Za Windows 10 verziju 1511, Windows Server 2012 R2 i raniji sistemi koji koriste Hyper-V, korisnici moraju da razmotre onemogućavanje da bi ublažili rizik.

Koraci koji se zahtevaju za onemogućavanje se razlikuju od OEM do OEM-a. Međutim, oni su obično deo alatki za podešavanje BIOS-a ili firmvera.

Microsoft je takođe uveo mogućnost onemogućavanja tehnologije Hyper-a pomoću softverske postavke ako je teško ili nemoguće onemogućiti HT u konfiguracionim postavkama BIOS-a ili firmvera i konfiguracionih alatki. Postavka softvera da bi se onemogućio HT je pomoćna za postavke BIOS-a ili firmvera i podrazumevano je onemogućena (podrazumeva se da će HT slediti postavku BIOS-a ili firmvera). Da biste saznali više o ovoj postavci i kako da ga onemogućite koristeći, pogledajte sledeći članak:

4072698 Windows Server Vodič za zaštitu od špekulativnih ranjivosti sa Side-kanalom

Kada je to moguće, preporučuje se da onemogućite HT u BIOS-u ili firmveru za najjaču garanciju da je HT onemogućen.

Napomena: Onesposobljavanje hipertopa će smanjiti CPU kores. Ovo može da utiče na funkcije koje zahtevaju minimalne mogućnosti CPU-a da bi funkcionisale. Na primer, čuvar aplikacija Windows Defender (WDAG).

Ublažavanje

Omogući Hyper-V osnovni planer i postavi broj VM-a za ne, po jezgru na 2

Napomena: Ovi koraci za ublažavanje se primenjuju samo na verzije Windows Server 2016 i Windows 10 pre verzije 1809. Osnovni planer je podrazumevano omogućen u operativnom sistemu Windows Server 2019 i Windows 10 verzija 1809.

Korišćenje osnovnog planera je proces u dve faze koji zahteva da prvo omogućite planer na Hyper-V domaćinu, a zatim da podesite svaku VM da biste je iskoristili tako što ćete podesiti broj njihovih hardverskih nit po jezgru na dva (2).

Hyper-V osnovni planer koji je uveden u operativnom sistemu Windows Server 2016 i Windows 10 verzija 1607 je nova alternativa klasičnom logici. Osnovni planer nudi smanjene varijabilne mogućnosti za rad u VMs-u koji su pokrenuti na Hyper-V domaćinu.

Za detaljan objašnjenja o osnovnom planera Hyper-V i koracima za njegovo omogućavanje, pogledajte sledeći Windows IT Pro Center članak:

Razumevanje i korištenje tipova Hyper-V hipervisor planera

Da biste omogućili "Hyper-V Core planer" u operativnom sistemu Windows Server 2016 ili Windows 10, unesite sledeću komandu:

bcdedit /set HypervisorSchedulerType core

Zatim odlučite da li da konfigurišete datu VM-ovu hardversku nit po jezgru na dva (2). Ako otkrijete činjenicu da su virtuelni procesori-niti povezani sa virtualnom mašinom gosta, omogućavate planer u VM operativnom sistemu, a takođe i VM radna opterećenja, da biste koristili HT u svom radnom planiranju. Da biste to uradili, unesite sledeću komandu "PowerShell" u kojoj <Vmname> ime virtuelne mašine:

Set-VMProcessor -VMName <VMName> -HwThreadCountPerCore 2

Ublažavanje E

Omogući ublažavanje za savjete CVE-2017-5715, CVE-2017-5754 i CVE-2019-11135

Napomena: Ove ublažavanje su podrazumevano omogućene u operativnim sistemima Windows Server 2019 i Windows Client.

Da biste omogućili ublažavanje za savjete CVE-2017-5715, CVE-2017-5754 i CVE-2019-11135, koristite smernice u sledećim člancima:

4072698 Windows Server Vodič za zaštitu od špekulativnih ranjivosti sa Side-kanalom

4073119 Windows Vodič za IT stručnjake za zaštitu od špekulativnih ranjivosti sa Side-kanalom

Napomena: Ova ubrzanja uključuje i automatski omogućavaju ublažavanje bita za prozore bezbedne stranice za Windows jezgro, kao i za ublažavanje ubrzanja opisanih u cve-2018-3620. Da biste dobili detaljno objašnjenje o tome kako se bitova na bezbednoj stranici, pogledajte sledeće članke o bezbednosti & odbrane:

Analiza i ublažavanje L1 terminalnog kvara (L1TF)

Odricanje odgovornosti informacija nezavisnog proizvođača

Proizvode nezavisnih proizvođača o kojima se govori u ovom članku proizvela su preduzeća koja su nezavisna od korporacije Microsoft. Microsoft ne daje nikakvu garanciju, impliciranu ni neku drugu, u pogledu performansi ili pouzdanosti ovih proizvoda.

Odricanje odgovornosti za kontakt nezavisnog proizvođača

Microsoft obezbeđuje kontakt informacije samostalnih proizvođača da bi vam pomogao da pronađete dodatne informacije o ovoj temi. Ove kontakt informacije mogu da se promene bez obaveštenja. Microsoft ne garantuje tačnost kontakt informacija drugih proizvođača.

Reference

Uputstvo za olakšavajuće špekulativno izvršavanje ranjivosti od strane kanala u Azure-u

Potrebna vam je dodatna pomoć?

Unapredite veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Microsoft insajdere

Da li su vam ove informacije koristile?

Hvala vam na povratnim informacijama!

Hvala za povratne informacije! Izgleda da će biti od pomoći ako vas povežemo sa našim agentima Office podrške.

×