Sammanfattning
Microsoft är medvetet om en ny offentliggjorda klass av säkerhetsproblemen som kallas ”spekulativ exekvering sida kanal attacker”. Dessa problem påverkar många moderna processorer och operativsystem. Detta inkluderar kretsuppsättningar från Intel, AMD och ARM.
Vi har ännu inte erhållit någon information om du vill ange att dessa säkerhetsproblem har använts för kunder. Vi fortsätter att samarbeta med branschpartners för att skydda kunderna. Detta inkluderar chip beslutsfattare, maskinvara OEM-tillverkare och leverantörer. Uppdateringar för maskinvara eller inbyggd programvara och programvara krävs för att få alla tillgängliga skydd. Detta inkluderar mikrokod från OEM-tillverkaren för enheten och, i vissa fall uppdaterar till antivirusprogram. Vi har publicerat flera uppdateringar för att minska säkerhetsproblemen. Mer information om säkerhetsproblem finns i Microsoft Security Advisory ADV180002. Allmän vägledning finns också för att lindra spekulativ exekvering sida kanal säkerhetsproblem. Vi har också vidtagit åtgärder för att skydda våra tjänster i molnet. Se följande avsnitt för mer information.
Berörda versioner av Exchange Server
Eftersom dessa är maskinvarunivå attacker som är avsedda för x64- och x86-baserade processorsystem, påverkas alla versioner av Microsoft Exchange Server av problemet.
Rekommendationer
I följande tabell beskrivs de rekommenderade åtgärderna för Exchange Server-kunder. Det finns inga specifika Exchange-uppdateringar som krävs för tillfället. Vi rekommenderar dock att kunderna alltid köra den senaste kumulativa uppdateringen för Exchange Server och alla uppdateringar som krävs. Vi rekommenderar att du distribuerar korrigeringar med ususal-procedurer för att validera nya binärfiler innan du distribuerar dem till produktionsmiljöer.
|
Scenario |
Beskrivning |
Rekommendationer |
|
1 |
Exchange Server körs på minimala system (inga virtuella datorer) och inga andra betrodda programlogik (application-nivå) körs på samma dator för bare metal.
|
Gäller alla system och Exchange Server-uppdateringar när du testar vanliga Förproduktion validering. Aktiverar Kernel virtuell adress skuggning (KVAS) är inte nödvändig (se relaterade avsnitt senare i den här artikeln). |
|
2 |
Exchange Server körs på en virtuell dator i en offentlig värdmiljö (cloud). |
För Azure: Microsoft har lagt upp information om riskreducerande åtgärder för Azure (se KB 4073235 för detaljerad information). För andra leverantörer i molnet: hänvisas till sina riktlinjer. Se riktlinjerna nedan om du vill aktivera KVAS. |
|
3 |
Exchange Server körs på en virtuell dator i en privat värdmiljö. |
Läs dokumentationen för hypervisor-Säkerhet Metodtips för säkerhet. För Windows Server och Hyper-V finns i KB 4072698 . Vi rekommenderar att du installerar alla uppdateringar av operativsystem på gäst VM. Hänvisas till senare riktlinjer i den här artikeln om du vill aktivera KVAS. |
|
4 |
Exchange Server körs på en fysisk eller virtuell dator och är inte isolerad från andra programlogik som körs på samma system.
|
Vi rekommenderar att du installerar alla uppdateringar av operativsystem. Se vägledning artikeln nedan om du vill aktivera KVAS. |
Rekommendationen för prestanda
Vi rekommenderar alla kunder att utvärdera prestanda för din specifika miljö när du installerar uppdateringar.
Lösningar som tillhandahålls av Microsoft för typerna av säkerhetsproblemen som beskrivs här används programvarubaserade mekanismer som skyddar mot gränsöverskridande processen åtkomst till data. Vi rekommenderar alla kunder att installera uppdaterade versioner av Exchange Server och Windows. Den har en minimal effekt baserat på Microsofts tester av Exchange arbetsbelastningar.
Vi har mätt effekten av Kernel virtuell adress skuggning (KVAS) på olika belastningar. Vi har hittat att vissa arbetsbelastningar uppstår en avsevärd minskning av prestanda. Exchange Server är en av de belastningar som kan uppstå en betydande minskning om KVAS är aktiverad. Servrar som visar hög CPU-användning eller hög i/o-användningsmönster förväntas visa största effekt. Vi rekommenderar starkt att du först utvärdera prestanda effekten av att aktivera KVAS genom att köra testerna i en övning som motsvarar dina behov för produktion innan du distribuerar i en produktionsmiljö. Om effekt att KVAS är för högt, bör du överväga om isolerande Exchange Server från obetrodd kod som körs på samma system är en bättre säkerhetsfunktionen för programmet.
Utöver KVAS, information om påverkar prestanda från grenen Target Injection riskreducerande maskinvarusupport (IBC) beskrivs här. En server som kör Exchange Server och som har en IBC-lösning som används kan det uppstå en avsevärd minskning av prestanda om IBC är aktiverad.
Vi tror att maskinvaran leverantörer erbjuder uppdateringar för sina produkter i form av mikrokod uppdateringar. Vår erfarenhet med Exchange anger att uppdateringar av mikrokod ökar prestanda släpp. Den utsträckning som detta inträffar är mycket beroende av komponenterna och utformningen av systemet som de tillämpas. Vi tror att ingen enkel lösning om program- eller maskinvara-baserade räcker för att lösa den här typen av problem enbart. Vi uppmanar dig att utvärdera prestanda för alla uppdateringar för att ta hänsyn till variationer i systemdesign och prestanda innan du placerar dem i produktion. Exchange-teamet tänker inte uppdatera storlek Kalkylatorn som används av kunder för att ta hänsyn till skillnader i prestanda för tillfället. Beräkningar av det här verktyget kommer inte ta hänsyn till eventuella ändringar i prestanda som är relaterade till korrigeringar för problemen. Vi kommer att fortsätta att utvärdera det här verktyget och justeringar som vi tror kan krävas, baserat på vår egen användning och som kunder.
Vi kommer att uppdatera det här avsnittet när ytterligare information blir tillgänglig.
Aktivera virtuell adress i Kernel skuggning
Exchange Server körs i många miljöer, inklusive fysiska system, VMs i offentliga och privata moln miljöer och Windows-operativsystem. Oavsett miljön finns programmet på en fysisk dator eller en VM. Den här miljön kallas om fysisk eller virtuell, säkerhet gräns.
Om all kod inom gränserna har tillgång till alla data i den gränsen, krävs ingen åtgärd. Om så inte är fallet är gränsen sägs vara flera innehavare. Problem som har hittats gör det möjligt för all kod som körs i en process inom den gränsen till annan information i denna gräns. Detta gäller även under nedsatt behörigheter. Om obetrodd kod körs en process i kolumnrubrikens kan processen använda dessa problem för att läsa data från andra processer.
För att skydda mot obetrodd kod i en gräns för flera innehavare, gör du något av följande:
-
Ta bort obetrodd kod.
-
Aktivera KVAS skyddar mot process till process läsningar. Detta har en effekt. Se tidigare avsnitt i den här artikeln för mer information.
Mer information om hur du aktiverar KVAS för Windows finns i KB 4072698.
Scenarier (KVAS rekommenderas)
Scenario 1
En Azure VM körs en tjänst där betrodda användare kan skicka JavaScript-kod som körs med begränsad behörighet. På samma VM Exchange Server körs och hantera data som inte ska vara åtkomlig för de användarna som inte är betrodd. I det här fallet krävs KVAS för att skydda mot utlämning mellan de två enheterna.
Scenario 2
En lokal fysiska system som är värd för Exchange Server kan köra betrodda tredjeparts skript eller körbara filer. Det är nödvändigt för att möjliggöra KVAS skyddar mot utlämnande av Exchange-data till skriptet eller körbar.
Obs! Bara eftersom en mekanism för utökningsbarhet i Exchange Server används som innebär inte automatiskt att den osäkra. Dessa mekanismer kan användas på ett säkert sätt inom Exchange Server så länge varje beroende förstås och betrodda. Det finns dessutom andra produkter som bygger på Exchange Server som kan krävas för utökningsbarhet mekanismer ska fungera korrekt. Granska varje användning för att avgöra om koden är förstås och tillförlitliga i stället som en första åtgärd. Denna vägledning ges för att hjälpa kunderna att avgöra om de har att KVAS på grund av större betydelse för prestanda.
Aktivera stöd för maskinvara gren mål injektion riskreducerande (IBC)
IBC minskar mot 2017 CVE-5715, kallas även hälften av Spectre eller ”variant 2” i GPZ upplysningar.
Dessa instruktioner för att aktivera KVAS i Windows kan du också aktivera IBC. IBC kräver också en uppdatering av programvaran från tillverkaren av maskinvaran. Förutom instruktioner i KB 4072698 för skydd i Windows har kunder att hämta och installera uppdateringar från deras maskinvarutillverkaren.
Exempel (IBC rekommenderas)
Scenario 1
I en lokal fysiska system som är värd för Exchange Server tillåts ej betrodda användare att överföra och köra valfri kod i JavaScript. I det här fallet rekommenderar vi starkt IBC skyddar mot utlämnande av process-process.
I situationer i vilka IBC maskinvarusupport saknas, rekommenderar vi att separera processer som inte är betrodd och tillförlitlig process på olika fysiska eller virtuella datorer.
Ej betrodd Exchange Server utökningsbarhet mekanismer
Exchange Server innehåller funktioner för utökningsbarhet och mekanismer. Flera av dessa baseras på API: er som inte tillåter obetrodd kod att köras på servern som kör Exchange Server. Transport agenter och Exchange Management Shell möjliggör obetrodd kod att köras på en server som kör Exchange Server i vissa situationer. I samtliga fall, utom Transport agenter kräver utökningsbarhet funktioner autentisering innan de kan användas. Vi rekommenderar att du använder utökningsbarhet funktioner som är begränsade till den minsta uppsättningen binärfiler där så är tillämpligt. Vi rekommenderar att kunder begränsar åtkomst till servern för att undvika skadlig kod som körs på samma system som Exchange Server. Vi rekommenderar att du avgöra om du litar på varje binär. Du bör inaktivera eller ta bort betrodda binärfiler. Du bör även kontrollera att hantering av gränssnitt inte exponeras på Internet.
Tredjepartsprodukter som diskuteras i denna artikel tillverkas oberoende av Microsoft. Microsoft lämnar inga garantier, implicerade eller andra, om prestanda eller tillförlitlighet hos dessa produkter.
