KB4072698: Рекомендації щодо HCI для Windows Server та Azure Stack для захисту від вразливостей стороннього каналу мікроархітектури та спекулятивного виконання на основі мікроархітектури та спекулятивного виконання

У цій статті описано такі вразливості спекулятивного виконання:

• CvE-2017-5715 | Ін'єкція цільової гілки

• CvE-2017-5753 | Перевірка обходу меж

• CvE-2017-5754 | Завантаження кеша даних ізгоїв

• CvE-2018-3639 | Спекулятивний обхід магазину

Windows Update також забезпечать послаблення ризиків для Internet Explorer і Edge. Ми й надалі вдосконалюватимемо ці засоби послаблення ризиків проти цього класу вразливостей.

Щоб дізнатися більше про цей клас вразливостей, див. статтю

• ADV180002 | Рекомендації щодо пом'якшення вразливостей стороннього каналу спекулятивного виконання

• ADV180012 | Рекомендації Microsoft щодо спекулятивного обходу магазину

14 травня 2019 року компанія Intel опублікувала інформацію про новий підклас вразливостей стороннього каналу спекулятивного виконання, відомої як Вибір мікроархітектурних даних і задокументована в ADV190013 | Вибірка мікроархітектурних даних. Їм призначено такі CVEs:

• CvE-2019-11091 | Мікроархітектурні дані, які відбирають незайняту пам'ять (MDSUM)

• CvE-2018-12126 | Вибір буферних даних (MSBDS) у мікроархітектурному сховищі

• CvE-2018-12127 | Вибір буферних даних мікроархітектурної заливки (MFBDS)

• CvE-2018-12130 | Вибір даних портів завантаження мікроархітектурних даних (MLPDS)

Корпорація Майкрософт випустила оновлення, які допоможуть зменшити ці вразливості. Для отримання всіх доступних засобів захисту потрібні мікропрограми (мікрокоманд) і оновлення програмного забезпечення. Це може бути мікрокоманд від постачальників оригінального обладнання пристрою. Інсталювання цих оновлень у деяких випадках впливає на продуктивність. Ми також діяли для захисту наших хмарних служб. Ми наполегливо рекомендуємо розгортати ці оновлення.

Докладні відомості про цю проблему див. в наведених нижче рекомендаціях із безпеки та використанні вказівок на основі сценаріїв для визначення дій, необхідних для зменшення загрози.

• ADV190013 | Рекомендації Microsoft щодо зменшення вразливостей вибірки мікроархітектурних даних

• Рекомендації Для Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання

6 серпня 2019 р. компанія Intel оприлюднила відомості про вразливість розкриття інформації ядра Windows. Ця вразливість є варіантом вразливості стороннього каналу спекулятивного виконання Spectre, варіант 1, і йому призначено CVE-2019-1125.

9 липня 2019 року ми випустили оновлення системи безпеки для операційної системи Windows, які допоможуть зменшити цю проблему. Зверніть увагу, що ми стримували публічне документування цього послаблення ризиків до розкриття скоординованої галузі у вівторок, 6 серпня 2019 року.

Користувачі, які Windows Update ввімкнули та застосували оновлення системи безпеки, випущені 9 липня 2019 року, автоматично захищені. Додаткової конфігурації немає.

Докладні відомості про цю вразливість і відповідні оновлення див. в посібнику з оновлення системи безпеки Microsoft:

• CvE-2019-1125 | Вразливість розкриття інформації ядра Windows

12 листопада 2019 року компанія Intel опублікувала технічну рекомендацію щодо вразливості асинхронної перервання транзакцій Intel® Transactional Synchronization Extensions (Intel TSX), якій призначено CVE-2019-11135. Корпорація Майкрософт випустила оновлення, які допомагають зменшити цю вразливість, а захист ОС увімкнуто за замовчуванням для Windows Server 2019, але вимкнуто за замовчуванням для випусків ОС Windows Server 2016 і попередніх версій ОС Windows Server.

14 червня 2022 року ми опублікували ADV220002 | Рекомендації Microsoft щодо вразливостей застарілих даних процесора Intel MMIO і призначено такі CVEs: 

• CvE-2022-21123 | Читання спільних буферних даних (SBDR)

• CvE-2022-21125 | Вибір спільних буферних даних (SBDS)

• CvE-2022-21127 | Оновлення вибірки спеціальних буферних даних реєстру (оновлення SRBDS)

• CvE-2022-21166 | Часткове записування реєстрації пристрою (DRPW)

Рекомендовані дії

Щоб захиститися від вразливостей, слід виконати такі дії:

1. Застосувати всі доступні оновлення операційної системи Windows, зокрема щомісячні оновлення системи безпеки Windows.

2. Застосуйте відповідне оновлення мікропрограми (мікрокоманд), яке надає виробник пристрою.

3. Оцініть ризик для свого середовища на основі інформації, наданої в статтях Microsoft Security Advisories: ADV180002, ADV180012, ADV190013 і ADV220002, а також відомостей, наведених у цій статті база знань.

4. Виконайте необхідні дії, використовуючи рекомендації та відомості розділу реєстру, наведені в цій статті база знань.

За замовчуванням захист "від користувача до ядра" для CVE-2017-5715 вимкнуто для процесорів AMD. Щоб отримати додаткові засоби захисту для CVE-2017-5715, клієнти мають активувати послаблення ризиків.  Докладні відомості див. в статті Запитання й відповіді #15 в ADV180002.

За замовчуванням захист від користувача до ядра для CVE-2017-5715 вимкнуто для процесорів AMD. Щоб отримати додаткові засоби захисту для CVE-2017-5715, клієнти мають активувати послаблення ризиків.  Докладні відомості див. в статті Запитання й відповіді #15 в ADV180002.

Увімкнути захист від користувача до ядра на процесорах AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Щоб бути повністю захищеними, клієнтам також може знадобитися вимкнути Hyper-Threading (також відомий як Одночасна багатомовна (SMT)). Докладні відомості про захист пристроїв Windows див. в статті KB4073757.

Докладне пояснення виводу сценарію PowerShell див. в статті KB4074629 . 

Щоб уникнути негативного впливу на пристрої клієнтів, оновлення системи безпеки Windows, випущені в січні та лютому 2018 року, були запропоновані не всім клієнтам. Докладні відомості див. в статті KB407269 .

Мікрокоманд доставляється через оновлення мікропрограми. Зверніться до виробника оригінального обладнання щодо версії мікропрограми, яка містить відповідне оновлення для вашого комп'ютера.

Є кілька змінних, які впливають на продуктивність, від версії системи до навантаження, які виконуються. У деяких системах ефект продуктивності буде незначним. Для інших це буде чималим.

Радимо оцінити вплив продуктивності на системи та за потреби внести зміни.

На додачу до керівництва, наведеного в цій статті про віртуальні машини, слід звернутися до постачальника послуг, щоб переконатися, що хости, які працюють під керуванням віртуальних машин, належним чином захищені.

Відомості про віртуальні машини Windows Server, запущені в Azure, див . в розділі Рекомендації щодо зниження ризиків вразливостей стороннього каналу спекулятивного виконання в Azure . Інструкції з використання Azure Update Management для зменшення цієї проблеми в гостьових віртуальних машинах див. в статті KB4077467.

Оновлення, випущені для зображень контейнерів Windows Server для Windows Server 2016 і Windows 10 версії 1709, включають послаблення ризиків для цього набору вразливостей. Додаткова конфігурація не потрібна.

Примітка Потрібно переконатися, що хост, на якому запущено ці контейнери, настроєно для ввімкнення відповідних заходів зниження ризику.

Ні, порядок інсталяції не має значення.

Так, потрібно перезавантажити комп'ютер після оновлення мікропрограми (мікрокоманд), а потім знову після оновлення системи.

Нижче наведено відомості про розділи реєстру.

FeatureSettingsOverride – це точковий рисунок, який перевизначає настройки за замовчуванням і елементи керування, ризики яких буде вимкнуто. Функція bit 0 визначає ризик, який відповідає CVE-2017-5715. Bit 1 керує послабленням ризиків, що відповідає CVE-2017-5754. Для бітів установлено значення 0 , щоб увімкнути засіб послаблення ризиків, і значення 1 , щоб вимкнути засіб послаблення ризиків.

FeatureSettingsOverrideMask – це точкова маска, яка використовується разом із featureSettingsOverride.  У цій ситуації ми використовуємо значення 3 (представлене як 11 у двійкових цифрах або нумерованій системі з основою 2), щоб позначити перші два біти, які відповідають доступним послабленням ризиків. Для цього розділу реєстру встановлено значення 3 , щоб увімкнути або вимкнути засоби послаблення ризиків.

MinVmVersionForCpuBasedMitigations призначено для хостів Hyper-V. Цей розділ реєстру визначає мінімальну версію ВМ, необхідну для використання оновлених можливостей мікропрограми (CVE-2017-5715). Установіть для цього параметра значення 1.0 , щоб охопити всі версії ВМ. Зверніть увагу, що це значення реєстру ігноруватиметься (доброякісно) на хостах, що не належать до Hyper-V. Докладні відомості див. в статті Захист гостьових віртуальних машин від CVE-2017-5715 (ін'єкція цільової гілки).

Так, побічних ефектів немає, якщо ці параметри реєстру застосовуються до інсталяції виправлень, пов'язаних із січнем 2018 року.

Див. докладний опис виводу сценарію в KB4074629: Докладні відомості про вивід сценарію SpeculationControl PowerShell .

Так, для хостів Windows Server 2016 Hyper-V, які ще не мають оновлення мікропрограми, ми опублікували альтернативні вказівки, які можуть допомогти пом'якшити віртуальну машину до ВМ або ВМ для розміщення атак. Див. альтернативний захист windows Server 2016 Hyper-V Hosts від вразливостей стороннього каналу спекулятивного виконання .

Оновлення лише системи безпеки не сукупні. Залежно від версії операційної системи може знадобитися інсталювати кілька оновлень системи безпеки для повного захисту. Загалом користувачам потрібно буде інсталювати оновлення за січень, лютий, березень і квітень 2018 р. Системам із процесорами AMD потрібне додаткове оновлення, як показано в таблиці нижче.

Радимо інсталювати оновлення лише системи безпеки в порядку випуску.

Ні. Оновлення системи безпеки KB4078130 було конкретним виправленням, щоб запобігти непередбачуваній поведінці системи, проблемам продуктивності та несподіваним перезавантаженням після інсталяції мікрокоманд. Застосування оновлень системи безпеки в операційних системах клієнта Windows дозволяє всі три засоби захисту. В операційних системах Windows Server все одно потрібно ввімкнути послаблення ризиків після належного тестування. Докладні відомості див. в статті БАЗИ знань KB4072698.

Цю проблему вирішено в оновленні KB4093118.

У лютому 2018 року компанія Intel оголосила про завершення своїх перевірок і почала випускати мікрокоманд для нових платформ ЦП. Корпорація Майкрософт робить доступними перевірені оновленнями мікрокоманд Intel, які стосуються Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Ін'єкція цільової гілки). KB4093836 містить список конкретних статей про база знань за версією Windows. Кожна стаття бази знань містить доступні оновлення мікрокоманд Intel від ЦП.

11 січня 2018 року  компанія Intel повідомила про проблеми в нещодавно випущеному мікрокомандах, призначених для вирішення spectre варіант 2 (CVE-2017-5715 | Ін'єкція цільової гілки). Зокрема, компанія Intel зазначила, що цей мікрокоманд може призвести до "вище, ніж очікувалося, перезавантаження та іншої непередбачуваної поведінки системи" і що ці сценарії можуть призвести до "втрати даних або пошкодження"."Наш досвід полягає в тому, що нестабільність системи може призвести до втрати даних або пошкодження в деяких обставинах. 22 січня компанія Intel рекомендувала користувачам припинити розгортання поточної версії мікрокоманд на процесорах, на яких це стосується, доки Компанія Intel виконає додаткове тестування оновленого рішення. Ми розуміємо, що компанія Intel продовжує досліджувати потенційний ефект поточної версії мікрокоманд. Ми заохочуємо клієнтів постійно переглядати свої рекомендації, щоб інформувати про свої рішення.

Під час тестування, оновлення та розгортання нових мікрокоманд корпорація Intel робить доступним застаріле оновлення (OOB) KB4078130, яке спеціально вимикає лише засіб захисту від CVE-2017-5715. Під час тестування було знайдено це оновлення, щоб запобігти описаній поведінці. Повний список пристроїв див. в посібнику з перегляду мікрокоманд від Intel. Це оновлення охоплює Windows 7 із пакетом оновлень 1 (SP1), Windows 8.1, а також усі версії Windows 10, як клієнта, так і сервера. Якщо використовується пристрій, на який впливає проблема, це оновлення можна застосувати, завантаживши його з веб-сайту каталогу Microsoft Update. Застосування цього корисного навантаження спеціально вимикає лише засіб захисту від CVE-2017-5715.

На цей час немає відомих повідомлень про те, що цей Spectre Variant 2 (CVE-2017-5715 – "Ін'єкція цільової гілки") використовувався для атаки на клієнтів. Ми радимо, якщо це доречно, користувачам Windows повторно застосувати засіб усунення проти CVE-2017-5715, коли Intel повідомляє, що цю непередбачувану поведінку системи вирішено для вашого пристрою.

У лютому 2018 року компанія Intelоголосила про завершення своїх перевірок і почала випускати мікрокоманд для нових платформ ЦП. Корпорація Майкрософт робить доступними оновлення мікрокоманд, перевірені Intel, пов'язані зі Spectre, варіант 2 Spectre, варіант 2 (CVE-2017-5715 | Ін'єкція цільової гілки). KB4093836 містить список конкретних статей про база знань за версією Windows. Список KBs, доступний для оновлення мікрокоманд Intel від ЦП.

Докладні відомості див. в статті AmD Security Оновлення та AMD Whitepaper: Рекомендації з архітектури щодо indirect Branch Control. Вони доступні в каналі мікропрограмИ виробника оригінального обладнання.

Ми робимо доступними оновлення мікрокоманд, перевірені Intel, які стосуються Spectre Variant 2 (CVE-2017-5715 – "Ін'єкція цільової гілки "). Щоб отримати останні оновлення мікрокоманд Intel через Windows Update, клієнти повинні інсталювати мікрокоманд Intel на пристроях з операційною системою Windows 10 до оновлення Windows 10 за квітень 2018 р. (версія 1803).

Оновлення мікрокоманд також доступне безпосередньо з каталогу Microsoft Update, якщо його не інстальовано на пристрої перед оновленням системи. Мікрокоманд Intel доступний через Windows Update, служби Windows Server Update Services (WSUS) або Каталог Microsoft Update. Докладні відомості та вказівки з завантаження див. в статті KB4100347.

Докладні відомості див. в таких ресурсах:

• ADV180012 | Рекомендації Microsoft щодо спекулятивного обходу магазину для CVE-2018-3639

• ADV180013 | Рекомендації Microsoft для Ізгоїв системного реєстру Читати для CVE-2018-3640 і KB 4073065 | Рекомендації для клієнтів Surface

• Блог Microsoft Security Research and Defense

• Рекомендації для розробників для спекулятивного обходу магазину

Див. розділи   "Рекомендовані дії" та "Запитання й відповіді" ADV180012 | Рекомендації Корпорації Майкрософт щодо спекулятивного обходу магазину.

Щоб перевірити стан SSBD, сценарій PowerShell Get-SpeculationControlSettings оновлено для виявлення змінених процесорів, стану оновлень операційної системи SSBD і стану мікрокоманд процесора (якщо це можливо). Докладні відомості та отримання сценарію PowerShell див. в статті БАЗИ знань KB4074629.

13 червня 2018 року було оголошено й призначено CVE-2018-3665 стороннє спекулятивне виконання, відоме як Lazy FP State Restore. Відомості про цю вразливість і рекомендовані дії див. в статті Рекомендації з безпеки ADV180016 | Рекомендації Корпорації Майкрософт щодо відновлення стану ледача FP .

Нотатка Немає обов'язкових параметрів конфігурації (реєстру) для Ледачого відновлення FP Відновлення.

Bounds Check Bypass Store (BCBS) було розкрито 10 липня 2018 року та призначено CVE-2018-3693. Ми вважаємо, що BCBS належить до того самого класу вразливостей, що й обхід перевірки меж (варіант 1). Наразі нам не відомо про екземпляри BCBS у нашому програмному забезпеченні. Однак ми продовжуємо дослідження цього класу вразливості і будемо працювати з галузевими партнерами, щоб звільнити ризики, якщо це потрібно. Ми заохочуємо дослідників представити будь-які відповідні висновки до програми щедрості каналу спекулятивного виконання Microsoft, включаючи будь-які експлуатувані екземпляри BCBS. Розробники програмного забезпечення мають переглянути рекомендації розробника, які було оновлено для BCBS на сайті C++ Developer Guidance for Speculative Execution Side Channels 

14 серпня 2018 р. було оголошено про несправність терміналу L1 (L1TF) і призначено кілька CVEs. Ці нові вразливості стороннього каналу спекулятивного виконання можуть бути використані для читання вмісту пам'яті через надійну межу і, якщо вони експлуатуються, можуть призвести до розкриття інформації. Існує кілька векторів, за допомогою яких зловмисник може викликати вразливості, залежно від настроєного середовища. L1TF впливає на процесори Intel® Core® та процесори Intel® Xeon®.

Докладні відомості про цю вразливість і детальне уявлення про сценарії, на які впливає проблема, зокрема про підхід корпорації Майкрософт до зниження ризику L1TF, див. в таких ресурсах:

• ADV180018 | Рекомендації Microsoft щодо зменшення варіанту L1TF

• Блог досліджень з безпеки з питань консультативної безпеки

• Рекомендації сервера щодо несправності терміналу L1

Дії з вимкнення Hyper-Threading відрізняються від виробника оригінального обладнання до виробника оригінального обладнання, але зазвичай є частиною інструментів налаштування та конфігурації BIOS або мікропрограми.

Клієнти, які використовують 64-розрядні процесори ARM, повинні звернутися до виробника оригінального обладнання для підтримки мікропрограм, оскільки захист операційної системи ARM64, що пом'якшує CVE-2017-5715 | Ін'єкція цільової гілки (Spectre, варіант 2) вимагає останнього оновлення мікропрограми від виробника оригінального обладнання пристрою для набуття чинності.

Докладні відомості див. в наведених нижче рекомендаціях із безпеки.

• Intel's Security Advisory

• ADV190013 | Рекомендації Microsoft щодо зменшення вразливостей вибірки мікроархітектурних даних

Додаткові вказівки наведено в рекомендаціях для Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання

Ознайомтеся з рекомендаціями у Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання

Рекомендації щодо Azure див. в цій статті: Інструкції з усунення вразливостей стороннього каналу спекулятивного виконання в Azure.

Докладні відомості про Retpoline enablement див. в нашому записі блоґу: Послаблення ризиків для Spectre, варіант 2 за допомогою Retpoline у Windows .

Докладні відомості про цю вразливість див. в Посібнику з безпеки Microsoft: CVE-2019-1125 | Вразливість розкриття інформації ядра Windows.

Нам не відомо про вразливість розкриття цієї інформації, яка впливає на інфраструктуру хмарних служб.

Щойно нам стало відомо про цю проблему, ми швидко працювали над її вирішенням і випуском оновлення. Ми наполегливо віримо в тісне партнерство як з дослідниками, так і з галузевими партнерами, щоб зробити клієнтів більш захищеними, і не опублікували деталі до вівторка, 6 серпня, відповідно до узгодженої практики розкриття вразливостей.

Додаткові вказівки наведено в рекомендаціях для Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання.

Додаткові вказівки наведено в рекомендаціях для Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання.

Додаткові вказівки наведено в розділі Рекомендації щодо вимкнення можливостей intel Transactional Synchronization Extensions (Intel TSX).

Ми надаємо контактну інформацію сторонніх постачальників, щоб допомогти вам знайти технічну підтримку. Ці відомості можуть змінюватися без попередження. Ми не гарантуємо точності цієї контактної інформації третьої сторони.