KB4073119: Silikon tabanlı mikro mimariye dayalı ve kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için BT Uzmanlarına yönelik Windows istemci kılavuzu

Intel, 14 Mayıs 2019'da Mikro mimari Veri Örnekleme olarak bilinen kurgusal yürütme yan kanal güvenlik açıklarının yeni bir alt sınıfı hakkında bilgi yayımladı. Bu güvenlik açıkları aşağıdaki CVE'lerde ele alınmaktadır:

• CVE-2019-11091 | Mikro mimari veri örneklemesi seçilemez bellek (MDSUM)

• CVE-2018-12126 | Mikro mimari deposu arabellek veri örneklemesi (MSBDS)

• CVE-2018-12127 | Mikro mimari dolgu arabellek verileri örnekleme (MFBDS)

• CVE-2018-12130 | Mikro mimari yük bağlantı noktası veri örneklemesi (MLPDS)

Bu güvenlik açıklarını azaltmaya yardımcı olacak güncelleştirmeler yayımladık. Kullanılabilir tüm korumaları almak için üretici yazılımı (mikro kod) ve yazılım güncelleştirmeleri gereklidir. Bu, cihaz OEM'lerinden mikro kod içerebilir. Bazı durumlarda, bu güncelleştirmelerin yüklenmesi performansı etkiler. Bulut hizmetlerimizin güvenliğini sağlamak için de harekete geçtik. Bu güncelleştirmelerin dağıtılması önemle önerilir.

Bu sorun hakkında daha fazla bilgi için aşağıdaki Güvenlik Önerisi'ne bakın ve tehdidi azaltmak için gerekli eylemleri belirlemek için senaryo tabanlı kılavuzu kullanın:

• ADV190013 | Mikro Mimari Veri Örnekleme güvenlik açıklarını azaltmaya yönelik Microsoft Kılavuzu

• Kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için Windows kılavuzu

6 Ağustos 2019'da Intel, Windows çekirdek bilgilerinin açığa çıkması güvenlik açığıyla ilgili ayrıntıları yayımladı. Bu güvenlik açığı Spectre Variant 1 kurgusal yürütme yan kanal güvenlik açığının bir çeşididir ve CVE-2019-1125 olarak atanmıştır.

9 Temmuz 2019'da bu sorunun azaltılmasına yardımcı olmak için Windows işletim sistemi için güvenlik güncelleştirmeleri yayımladık. 6 Ağustos 2019 Salı günü yapılan koordineli sektör açıklamasına kadar bu risk azaltmayı herkese açık olarak belgelediğimize dikkat edin.

Windows Update etkinleştirilen ve 9 Temmuz 2019'da yayımlanan güvenlik güncelleştirmelerini uygulayan müşteriler otomatik olarak korunur. Başka yapılandırma gerekmez.

Bu güvenlik açığı ve geçerli güncelleştirmeler hakkında daha fazla bilgi için bkz. Microsoft Güvenlik Güncelleştirmesi Kılavuzu:

• CVE-2019-1125 | Windows Çekirdeği Bilgilerinin Açığa Çıkması Güvenlik Açığı

Intel, 12 Kasım 2019'da CVE-2019-11135'e atanan Intel İşlem Eşitleme Uzantıları (Intel TSX) İşlem Zaman Uyumsuz Durdurma güvenlik açığı hakkında teknik bir öneri yayımladı. Bu güvenlik açığının azaltılmasına yardımcı olacak güncelleştirmeler yayımladık. Varsayılan olarak, işletim sistemi korumaları Windows İstemcisi işletim sistemi sürümleri için etkinleştirilir.

14 Haziran 2022'de ADV220002 yayımladık | Intel İşlemci MMIO Eski Veri Güvenlik Açıklarına yönelik Microsoft Kılavuzu. Güvenlik açıkları aşağıdaki CVE'lerde atanır:

• CVE-2022-21123 | Paylaşılan Arabellek Verileri Okuma (SBDR)

• CVE-2022-21125 | Paylaşılan Arabellek Verileri Örnekleme (SBDS)

• CVE-2022-21127 | Özel Kayıt Arabellek Verileri Örnekleme Güncelleştirmesi (SRBDS Güncelleştirmesi)

• CVE-2022-21166 | Cihaz Kaydı Kısmi Yazma (DRPW)

Önerilen işlemler

Bu güvenlik açıklarına karşı korunmaya yardımcı olmak için aşağıdaki eylemleri gerçekleştirmeniz gerekir:

1. Aylık Windows güvenlik güncelleştirmeleri de dahil olmak üzere tüm kullanılabilir Windows işletim sistemi güncelleştirmelerini uygulayın.

2. Cihaz üreticisi tarafından sağlanan ilgili üretici yazılımı (mikro kod) güncelleştirmesini uygulayın.

3. Bu makalede sağlanan bilgilere ek olarak Microsoft Güvenlik Önerileri ADV180002, ADV180012, ADV190013 ve ADV220002 sağlanan bilgilere göre ortamınıza yönelik riski değerlendirin.

4. Bu makalede sağlanan danışmanları ve kayıt defteri anahtarı bilgilerini kullanarak gerektiği gibi işlem yapın.

12 Temmuz 2022'de CVE-2022-23825 'i yayımladık | Dal tahmin aracındaki diğer adların bazı AMD işlemcilerinin yanlış dal türünü tahmin etmelerine neden olabileceğini açıklayan AMD CPU Dal Türü Karışıklığı. Bu sorun, bilgilerin açığa çıkmasına neden olabilir.

Bu güvenlik açığına karşı korunmaya yardımcı olmak için, Temmuz 2022 veya sonrasında tarihli Windows güncelleştirmelerini yüklemenizi ve bu bilgi bankası makalesinde sağlanan CVE-2022-23825 ve kayıt defteri anahtarı bilgilerinin gerektirdiği şekilde işlem gerçekleştirmenizi öneririz.

Daha fazla bilgi için AMD-SB-1037 güvenlik bültenine bakın.

8 Ağustos 2023'te CVE-2023-20569 'ı yayımladık | Saldırgan denetimindeki bir adreste kurgusal yürütmeye neden olabilecek yeni bir kurgusal yan kanal saldırısını açıklayan AMD CPU Dönüş Adresi Tahmin Aracı (Inception olarak da bilinir). Bu sorun belirli AMD işlemcilerini etkiler ve bilgilerin açığa çıkmasına neden olabilir.

Bu güvenlik açığına karşı korunmaya yardımcı olmak için Ağustos 2023 veya sonrasında tarihli Windows güncelleştirmelerini yüklemenizi ve ardından CVE-2023-20569 ve bu bilgi bankası makalesinde sağlanan kayıt defteri anahtarı bilgilerinin gerektirdiği şekilde işlem gerçekleştirmenizi öneririz.

Daha fazla bilgi için AMD-SB-7005 güvenlik bültenine bakın.

9 Nisan 2024'te CVE-2022-0001 yayımladık | Mod içi BTI'nın belirli bir biçimi olan Dal Geçmişi Ekleme (BHI) açıklayan Intel Dal Geçmişi Ekleme. Bu güvenlik açığı, bir saldırgan kullanıcıdan gözetmen moduna (veya VMX kök olmayan/konuk olmayan moddan kök moda) geçmeden önce dal geçmişini işleyebilecek olduğunda oluşur. Bu düzenleme, dolaylı dal tahmin aracının dolaylı dal için belirli bir tahmin aracı seçmesine neden olabilir ve tahmin edilen hedefteki bir açıklama aracı geçici olarak yürütülür. İlgili dal geçmişi önceki güvenlik bağlamlarında ve özellikle de diğer tahmin aracı modlarında alınan dalları içerebileceğinden bu mümkün olabilir.

Varsayılan olarak, CVE-2017-5715 için kullanıcıdan çekirdeklere koruma AMD ve ARM CPU'lar için devre dışı bırakılmıştır. CVE-2017-5715 için ek korumalar almak için azaltmayı etkinleştirmeniz gerekir. Daha fazla bilgi için bkz. AMD işlemciler için ADV180002 SSS #15 ve ARM işlemciler için ADV180002 SSS #20.

Varsayılan olarak, AMD işlemciler için CVE-2017-5715 için kullanıcıdan çekirdeklere koruma devre dışı bırakılmıştır. Müşterilerin CVE-2017-5715 için ek korumalar almak için risk azaltmayı etkinleştirmesi gerekir.  Daha fazla bilgi için bkz. ADV180002 SSS #15.

AMD işlemcilerde CVE-2022-23825 için azaltmayı etkinleştirmek için :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Tamamen korunabilmek için müşterilerin Hyper-Threading (Eşzamanlı Çoklu İş Parçacığı Oluşturma (SMT) olarak da bilinir) devre dışı bırakması gerekebilir. Windows cihazlarını koruma yönergeleri için lütfen KB4073757bakın. 

AMD işlemcilerde CVE-2023-20569 için azaltmayı etkinleştirmek için:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Intel işlemcilerde CVE-2022-0001 için azaltmayı etkinleştirmek için:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

PowerShell betiğinin çıktısının ayrıntılı açıklaması için bkz. KB4074629.

Mikro kod bir üretici yazılımı güncelleştirmesi aracılığıyla teslim edilir. Intels Mikro Kod Düzeltme Kılavuzu da dahil olmak üzere, CPU (yonga kümesi) ve cihaz üreticilerinize kendi cihazları için geçerli üretici yazılımı güvenlik güncelleştirmelerinin kullanılabilirliğini denetlemeniz gerekir.

Yazılım güncelleştirmesi aracılığıyla bir donanım güvenlik açığının giderilmesi önemli zorluklara neden olabilir. Ayrıca, eski işletim sistemleri için azaltmalar kapsamlı mimari değişiklikler gerektirir. Etkilenen yonga üreticileriyle birlikte çalışarak, gelecekteki güncelleştirmelerde sağlanabilir risk azaltmaları sağlamanın en iyi yolunu belirlemek için çalışıyoruz.

Microsoft Surface cihazları için Güncelleştirmeler, Windows işletim sistemi güncelleştirmeleriyle birlikte Windows Update aracılığıyla müşterilere teslim edilecek. Kullanılabilir Surface cihaz üretici yazılımı (mikro kod) güncelleştirmelerinin listesi için bkz. KB4073065.

Cihazınız Microsoft tarafından üretilmemişse cihaz üreticisinden edindiğiniz üretici yazılımını uygulayın. Daha fazla bilgi için OEM cihaz üreticisine başvurun.

Microsoft, Şubat ve Mart 2018'de bazı x86 tabanlı sistemler için ek koruma yayımladı. Daha fazla bilgi için bkz. KB4073757 ve Microsoft Güvenlik Danışmanlığı ADV180002.

HoloLens için Güncelleştirmeler Windows 10 Windows Update aracılığıyla HoloLens müşterileri tarafından kullanılabilir.

Şubat 2018 Windows Güvenliği Güncelleştirmesini uyguladıktan sonra HoloLens müşterilerinin cihaz üretici yazılımını güncelleştirmek için ek bir işlem yapması gerekmez. Bu risk azaltmalar, HoloLens için Windows 10'nin gelecekteki tüm sürümlerine de dahil edilecek.

Hayır. Yalnızca Güvenlik güncelleştirmeleri toplu değildir. Çalıştırdığınız işletim sistemi sürümüne bağlı olarak, bu güvenlik açıklarına karşı korunmak için her aylık Yalnızca Güvenlik Güncelleştirmelerini yüklemeniz gerekir. Örneğin, etkilenen bir Intel CPU üzerinde 32 bit Sistemler için Windows 7 çalıştırıyorsanız, tüm Yalnızca Güvenlik güncelleştirmelerini yüklemeniz gerekir. Bu Yalnızca Güvenlik güncelleştirmelerini yayın sırasına göre yüklemenizi öneririz.

Not Bu SSS'nin önceki bir sürümü, Yalnızca Şubat Güvenlik güncelleştirmesinin Ocak ayında yayımlanan güvenlik düzeltmelerini içerdiğini yanlış belirtmektedir. Aslında, öyle değil.

Hayır. Güvenlik güncelleştirmesi 4078130, mikro kod yüklendikten sonra öngörülemeyen sistem davranışlarını, performans sorunlarını ve/veya beklenmeyen yeniden başlatmaları önlemeye yönelik belirli bir düzeltmeydi. Windows istemci işletim sistemlerine Şubat güvenlik güncelleştirmelerinin uygulanması üç azaltmayı da etkinleştirir.

Intel kısa süre önce doğrulamalarını tamamladıklarını ve daha yeni CPU platformları için mikro kod yayınlamaya başladıklarını duyurdu. Microsoft, Spectre Variant 2 (CVE-2017-5715 "Dal Hedefi Ekleme") ile ilgili intel tarafından doğrulanmış mikro kod güncelleştirmeleri sunmaktadır. KB4093836, Windows sürümüne göre belirli Bilgi Bankası makalelerini listeler. Her belirli KB, CPU tarafından kullanılabilir Intel mikro kodu güncelleştirmelerini içermektedir.

Bu sorun KB4093118'da giderilmiştir.

AMD kısa süre önce Spectre Variant 2 (CVE-2017-5715 "Dal Hedefi Ekleme") çevresindeki daha yeni CPU platformları için mikro kod yayınlamaya başladıklarını duyurdu. Daha fazla bilgi için BKZ. AMD Güvenlik Güncelleştirmeler ve AMD Teknik İncelemesi: Dolaylı Dal Denetimi Ile İlgili Mimari Yönergeleri. Bunlar OEM üretici yazılımı kanalından kullanılabilir.

Spectre Variant 2 (CVE-2017-5715 "Dal Hedefi Ekleme " ile ilgili intel tarafından doğrulanmış mikro kod güncelleştirmeleri yapıyoruz. Windows Update aracılığıyla en son Intel mikro kod güncelleştirmelerini almak için müşterilerin Windows 10 Nisan 2018 Güncelleştirmesi'ne (sürüm 1803) yükseltmeden önce Windows 10 işletim sistemi çalıştıran cihazlara Intel mikro kodu yüklemiş olması gerekir.

Mikro kod güncelleştirmesi, işletim sistemini yükseltmeden önce cihaza yüklenmediyse doğrudan Katalog'dan kullanılabilir. Intel mikro kodu Windows Update, WSUS veya Microsoft Update Kataloğu aracılığıyla kullanılabilir. Daha fazla bilgi ve indirme yönergeleri için bkz. KB4100347.

Daha fazla bilgi için aşağıdaki kaynaklara bakın:

• ADV180012 | CVE-2018-3639 için Kurgusal Mağaza Atlama için Microsoft Kılavuzu

• ADV180013 | CVE-2018-3640 ve KB4073065 için Rogue System Register Okuma için Microsoft Kılavuzu

• Microsoft Güvenlik Araştırma ve Savunma Blogu

• Kurgusal Mağaza Atlama için Geliştirici Kılavuzu

Ayrıntılar için ADV180012 | içindeki "Önerilen eylemler" ve "SSS" bölümlerine bakın Kurgusal Mağaza Atlama için Microsoft Kılavuzu.

SSBD'nin durumunu doğrulamak için, Get-SpeculationControlSettings PowerShell betiği etkilenen işlemcileri, SSBD işletim sistemi güncelleştirmelerinin durumunu ve varsa işlemci mikro kodunun durumunu algılayacak şekilde güncelleştirildi. Daha fazla bilgi edinmek ve PowerShell betiğini edinmek için bkz. KB4074629.

13 Haziran 2018'de, Tembel FP Durum Geri Yükleme olarak bilinen yan kanal kurgusal yürütmeyle ilgili ek bir güvenlik açığı duyuruldu ve CVE-2018-3665 olarak atandı. Gecikmeli Geri Yükleme FP Geri Yükleme için yapılandırma (kayıt defteri) ayarı gerekmez.

Bu güvenlik açığı hakkında daha fazla bilgi edinmek ve önerilen eylemler için güvenlik önerisi ADV180016 | konusuna bakın Gecikmeli FP Durumu Geri Yükleme için Microsoft Kılavuzu.

Sınır Denetimi Atlama Deposu (BCBS) 10 Temmuz 2018'de açıklandı ve CVE-2018-3693 olarak atandı. BCBS'nin Sınır Denetimi Atlama (Değişken 1) ile aynı güvenlik açığı sınıfına ait olduğunu düşünüyoruz. Şu anda yazılımımızdaki BCBS örneklerinin farkında değiliz, ancak bu güvenlik açığı sınıfını araştırmaya devam ediyoruz ve gerekli azaltmaları yayınlamak için sektör iş ortaklarıyla birlikte çalışacağız. Araştırmacıları, BCBS'nin sömürülebilir örnekleri de dahil olmak üzere Microsoft'un Kurgusal Yürütme Tarafı Kanalı ödül programına ilgili bulguları göndermeye teşvik etmeye devam ediyoruz. Yazılım geliştiricileri, https://aka.ms/sescdevguide'da BCBS için güncelleştirilen geliştirici kılavuzunu gözden geçirmelidir.

14 Ağustos 2018'de L1 Terminal Hatası (L1TF) duyuruldu ve birden çok CV'ye atandı. Bu yeni kurgusal yürütme yan kanal güvenlik açıkları, güvenilir bir sınırdaki belleğin içeriğini okumak için kullanılabilir ve yararlanılırsa bilgilerin açığa çıkmasına neden olabilir. Saldırgan, yapılandırılan ortama bağlı olarak güvenlik açıklarını birden çok vektör aracılığıyla tetikleyebilir. L1TF, Intel® Core® işlemcileri ve Intel® Xeon® işlemcileri etkiler.

Bu güvenlik açığı hakkında daha fazla bilgi ve Microsoft'un L1TF'yi azaltma yaklaşımı da dahil olmak üzere etkilenen senaryoların ayrıntılı bir görünümü için aşağıdaki kaynaklara bakın:

• ADV180018 | L1TF değişkenlerini azaltmaya yönelik Microsoft Kılavuzu

• Güvenlik Danışmanlığı Güvenlik Araştırması Blogu

• L1 Terminal Hatası için Sunucu Kılavuzu

CVE-2017-5715'i azaltan ARM64 işletim sistemi korumaları | Dal hedefi ekleme (Spectre, Variant 2), cihaz OEM'lerinden en son üretici yazılımı güncelleştirmesinin etkili olmasını gerektirir.

Daha fazla bilgi için aşağıdaki güvenlik önerilerine bakın 

• Intel'in Güvenlik Danışmanlığı

• ADV190013 | Mikro Mimari Veri Örnekleme güvenlik açıklarını azaltmaya yönelik Microsoft Kılavuzu

Daha fazla bilgi için aşağıdaki güvenlik önerilerine bakın

• Intel'in Güvenlik Danışmanlığı

• ADV190013 | Mikro Mimari Veri Örnekleme güvenlik açıklarını azaltmaya yönelik Microsoft Kılavuzu

Kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için Windows kılavuzunda daha fazla kılavuz bulunabilir

Kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için lütfen Windows kılavuzundaki kılavuza bakın

Azure kılavuzu için lütfen şu makaleye bakın: Azure'da kurgusal yürütme yan kanal güvenlik açıklarını azaltma kılavuzu.  

Retpoline etkinleştirmesi hakkında daha fazla bilgi için blog gönderimize bakın: Windows üzerinde Retpoline ile Spectre değişken 2'yi azaltma. 

Bu güvenlik açığı hakkında ayrıntılar için bkz. Microsoft Güvenlik Kılavuzu: CVE-2019-1125 | Windows Çekirdek Bilgilerinin Açığa Çıkması Güvenlik Açığı.

Bulut hizmeti altyapımızı etkileyen bu bilgilerin açığa çıkması güvenlik açığının herhangi bir örneğinden haberdar değiliz.

Bu sorunun farkına vardığımız anda bu sorunu çözmek ve bir güncelleştirme yayınlamak için hızlı bir şekilde çalıştık. Müşterileri daha güvenli hale getirmek için hem araştırmacılar hem de sektör iş ortakları ile yakın iş ortaklıklarına kesinlikle inanıyoruz ve 6 Ağustos Salı gününe kadar eşgüdümlü güvenlik açığı açıklama uygulamalarıyla tutarlı olarak ayrıntıları yayımlamadık.

Kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için Windows kılavuzunda daha fazla kılavuz bulunabilir.

Kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için Windows kılavuzunda daha fazla kılavuz bulunabilir.

Intel İşlem Eşitleme Uzantıları (Intel®® TSX) özelliğini devre dışı bırakma yönergeleri bölümünde daha fazla kılavuz bulunabilir.

Teknik destek bulmanıza yardımcı olmak için üçüncü taraf iletişim bilgileri sağlıyoruz. Bu kişi bilgileri bildirilmeksizin değiştirilebilir. Bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmeyiz.