KB4073119: рекомендації для клієнтів Windows для ІТ-фахівців щодо захисту від мікроархітектурних мікроархітектурних і спекулятивних вразливостей стороннього каналу виконання

14 травня 2019 року компанія Intel опублікувала інформацію про новий підклас вразливостей стороннього каналу спекулятивного виконання, відомого як Вибір мікроархітектурних даних. Ці вразливості усунуто в таких CVEs:

• CvE-2019-11091 | Мікроархітектурні дані, які відбирають незайняту пам'ять (MDSUM)

• CvE-2018-12126 | Вибір буферних даних сховища мікроархітектур (MSBDS)

• CvE-2018-12127 | Вибір буферних даних мікроархітектурної заливки (MFBDS)

• CvE-2018-12130 | Вибір даних портів завантаження мікроархітектури (MLPDS)

Ми випустили оновлення, які допоможуть зменшити ці вразливості. Для отримання всіх доступних засобів захисту потрібні мікропрограми (мікрокоманд) і оновлення програмного забезпечення. Це може бути мікрокоманд від постачальників оригінального обладнання пристрою. Інсталювання цих оновлень у деяких випадках впливає на продуктивність. Ми також діяли для захисту наших хмарних служб. Ми наполегливо рекомендуємо розгортати ці оновлення.

Докладні відомості про цю проблему див. в наведених нижче рекомендаціях із безпеки та використанні вказівок на основі сценаріїв для визначення дій, необхідних для зменшення загрози.

• ADV190013 | Рекомендації Microsoft щодо зменшення вразливостей вибірки мікроархітектурних даних

• Рекомендації Для Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання

6 серпня 2019 р. компанія Intel оприлюднила відомості про вразливість розкриття інформації ядра Windows. Ця вразливість є варіантом вразливості стороннього каналу спекулятивного виконання Spectre Variant 1 і призначена CVE-2019-1125.

9 липня 2019 року ми випустили оновлення системи безпеки для операційної системи Windows, які допоможуть зменшити цю проблему. Зверніть увагу, що ми стримували публічне документування цього послаблення ризиків до розкриття скоординованої галузі у вівторок, 6 серпня 2019 року.

Користувачі, які Windows Update ввімкнули та застосували оновлення системи безпеки, випущені 9 липня 2019 року, автоматично захищені. Додаткової конфігурації немає.

Докладні відомості про цю вразливість і відповідні оновлення див. в посібнику з оновлення системи безпеки Microsoft:

• CvE-2019-1125 | Вразливість розкриття інформації ядра Windows

12 листопада 2019 року компанія Intel опублікувала технічну рекомендацію щодо уразливості асинхронної перервання транзакцій Intel Transactional Synchronization Extensions (Intel TSX), якій призначено CVE-2019-11135. Ми випустили оновлення, які допоможуть зменшити цю вразливість. За замовчуванням захист ОС увімкнуто для випусків ОС Windows Client.

14 червня 2022 року ми опублікували ADV220002 | Рекомендації Microsoft щодо вразливостей застарілих даних процесора Intel MMIO. Вразливості, призначені в таких CVEs:

• CvE-2022-21123 | Читання спільних буферних даних (SBDR)

• CvE-2022-21125 | Вибір спільних буферних даних (SBDS)

• CvE-2022-21127 | Оновлення вибірки спеціальних буферних даних реєстру (оновлення SRBDS)

• CvE-2022-21166 | Часткове записування реєстрації пристрою (DRPW)

Рекомендовані дії

Щоб захиститися від цих вразливостей, слід виконати такі дії:

1. Застосувати всі доступні оновлення операційної системи Windows, зокрема щомісячні оновлення системи безпеки Windows.

2. Застосуйте відповідне оновлення мікропрограми (мікрокоманд), яке надає виробник пристрою.

3. Оцініть ризик для свого середовища на основі інформації, наданої в ADV180002, ADV180012, ADV190013 та ADV220002,а також на додачу до інформації, наведеної в цій статті.

4. Виконайте необхідні дії, використовуючи рекомендації та відомості розділу реєстру, наведені в цій статті.

12 липня 2022 року ми опублікували CVE-2022-23825 | Плутаність типу філіалу ЦП AMD, яка описує, що псевдоніми в предикторі гілок можуть призвести до того, що певні процесори AMD прогнозують неправильний тип гілки. Ця проблема потенційно може призвести до розголошення інформації.

Щоб захиститися від цієї вразливості, радимо інсталювати оновлення Windows, випущені в липні 2022 р. або пізніше, а потім вжити заходів відповідно до вимог CVE-2022-23825 і відомостей розділу реєстру, наведених у цій статті база знань.

Докладні відомості див. в бюлетені безпеки AMD-SB-1037 .

8 серпня 2023 року ми опублікували CVE-2023-20569 | Передбачник зворотної адреси ЦП AMD (також відомий як Inception), який описує нову спекулятивну атаку на канал стороннього каналу, яка може призвести до спекулятивного виконання на контрольованій зловмисником адресі. Ця проблема впливає на певні процесори AMD і потенційно може призвести до розголошення інформації.

Щоб захиститися від цієї вразливості, радимо інсталювати оновлення Windows, випущені в серпні 2023 р. або пізніше, а потім вжити заходів відповідно до вимог CVE-2023-20569 і відомостей розділу реєстру, наведених у цій статті база знань.

Докладні відомості див. в бюлетені безпеки AMD-SB-7005 .

9 квітня 2024 року ми опублікували CVE-2022-0001 | Ін'єкція Intel Branch History , яка описує ін'єкцію журналу гілки (BHI), яка є конкретною формою внутрішньо-режиму BTI. Ця вразливість виникає, коли зловмисник може керувати журналом гілок, перш ніж переходити від користувача до режиму нагляду (або з VMX некорений/гість до кореневого режиму). Ця маніпуляція може призвести до того, що предиктор непрямої гілки може вибрати певний запис предиктора для непрямої гілки, а міні-програма розкриття в прогнозованому цільовому об'єкті буде тимчасово виконана. Це може бути можливо, оскільки відповідна історія гілок може містити гілки, прийняті в попередніх контекстах безпеки, і, зокрема, інші режими предиктора.

За замовчуванням захист "від користувача до ядра" для CVE-2017-5715 вимкнуто для процесорів AMD і ARM. Щоб отримати додаткові засоби захисту для CVE-2017-5715, потрібно ввімкнути послаблення ризиків. Докладні відомості див. в статті Запитання й відповіді #15 у ADV180002 для процесорів AMD і запитання й відповіді #20 у ADV180002 для процесорів ARM.

За замовчуванням захист від користувача до ядра для CVE-2017-5715 вимкнуто для процесорів AMD. Щоб отримати додаткові засоби захисту для CVE-2017-5715, клієнти мають активувати послаблення ризиків.  Докладні відомості див. в статті Запитання й відповіді #15 у ADV180002.

Щоб увімкнути послаблення ризиків для CVE-2022-23825 на процесорах AMD :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Щоб бути повністю захищеними, клієнтам також може знадобитися вимкнути Hyper-Threading (також відомий як Одночасна багатомовна (SMT)). Рекомендації щодо захисту пристроїв Windows див. в KB4073757. 

Щоб увімкнути послаблення ризиків для CVE-2023-20569 на процесорах AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Щоб увімкнути послаблення ризиків для CVE-2022-0001 на процесорах Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Докладне пояснення виводу сценарію PowerShell див. в KB4074629.

Мікрокоманд доставляється через оновлення мікропрограми. Зверніться до свого процесора (мікросхем) і виробників пристроїв, щоб дізнатися про наявність відповідних оновлень системи безпеки мікропрограм для певного пристрою, зокрема керівництва з перегляду мікрокоманд Intels.

Усунення вразливості обладнання за допомогою оновлення програмного забезпечення є значними проблемами. Крім того, послаблення ризиків для старіших операційних систем потребує масштабних архітектурних змін. Ми працюємо з виробниками уражених мікросхем, щоб визначити найкращий спосіб послаблення ризиків, який може бути доставлений в майбутніх оновленнях.

Оновлення для пристроїв Microsoft Surface буде доставлено користувачам через Windows Update разом з оновленнями операційної системи Windows. Список доступних оновлень мікропрограм пристрою Surface (мікрокоманд) див. в статті KB4073065.

Якщо ваш пристрій вироблено не корпорацією Майкрософт, застосуйте мікропрограму від виробника пристрою. Щоб отримати додаткові відомості, зверніться до виробника пристрою виробника оригінального обладнання.

У лютому та березні 2018 року корпорація Майкрософт випустила додатковий захист для деяких систем на базі x86-процесорів. Докладні відомості див. в статті KB4073757 та ADV180002 Microsoft Security Advisory.

Оновлення для Windows 10 для HoloLens доступні клієнтам HoloLens через Windows Update.

Після застосування оновлення Безпека у Windows за лютий 2018 р. користувачам HoloLens не потрібно виконувати жодних додаткових дій, щоб оновити мікропрограму пристрою. Ці пом'якшення також будуть включені в усі майбутні випуски Windows 10 для HoloLens.

Ні. Оновлення лише системи безпеки не сукупні. Залежно від версії операційної системи, яку ви використовуєте, вам доведеться щомісяця інсталювати оновлення лише системи безпеки, щоб захиститися від цих вразливостей. Наприклад, якщо ви використовуєте Windows 7 для 32-розрядних систем на процесорі Intel, на який впливає проблема, потрібно інсталювати всі оновлення лише системи безпеки. Радимо інсталювати ці оновлення лише системи безпеки в порядку випуску.

Нотатка У попередній версії цього запитання й відповіді неправильно вказано, що оновлення лише системи безпеки за лютий включало виправлення системи безпеки, випущені в січні. Насправді, це не так.

Ні. Оновлення системи безпеки 4078130 було конкретним виправленням для запобігання непередбачуваній поведінці системи, проблемам продуктивності та/або несподіваним перезавантаженням після інсталяції мікрокоманд. Застосування лютневих оновлень системи безпеки в операційних системах клієнта Windows забезпечує всі три послаблення ризиків.

Компанія Intel нещодавно оголосила про завершення своїх перевірок і почала випускати мікрокоманд для нових платформ ЦП. Корпорація Майкрософт робить доступними перевірені оновленнями мікрокоманд Intel навколо Spectre Variant 2 (CVE-2017-5715 "Ін'єкція цільової гілки"). KB4093836 список окремих статей бази знань за версією Windows. Кожен окремий KБ містить доступні оновлення мікрокоманд Intel, упорядковані за типом ЦП.

Цю проблему вирішено в KB4093118.

AmD нещодавно оголосила, що вони почали випускати мікрокоманд для нових платформ ЦП навколо Spectre Variant 2 (CVE-2017-5715 "Ін'єкція цільової гілки"). Докладні відомості див. в статті AmD Security Оновлення та AMD Whitepaper: Рекомендації з архітектури щодо indirect Branch Control. Вони доступні в каналі мікропрограмИ виробника оригінального обладнання.

Ми робимо доступними оновлення перевірених мікрокоманд Intel навколо Spectre Variant 2 (CVE-2017-5715 "Ін'єкція цільової гілки "). Щоб отримати останні оновлення мікрокоманд Intel через Windows Update, клієнти повинні інсталювати мікрокоманд Intel на пристроях з операційною системою Windows 10 до оновлення Windows 10 за квітень 2018 р. (версія 1803).

Оновлення мікрокоманд також доступне безпосередньо з Каталогу, якщо вони не були установлені на пристрої до виконання оновлення операційної системи. Мікрокоманд Intel доступний через Windows Update, WSUS або Каталог Microsoft Update. Докладні відомості та інструкції з завантаження див. в статті KB4100347.

Докладні відомості див. в таких ресурсах:

• ADV180012 | Рекомендації Microsoft щодо спекулятивного обходу магазину для CVE-2018-3639

• ADV180013 | Рекомендації Microsoft щодо реєстру ізгоїв системи читання для CVE-2018-3640 і KB4073065

• Блог Microsoft Security Research and Defense

• Рекомендації для розробників для спекулятивного обходу магазину

Докладні відомості див. в розділах "Рекомендовані дії" та "Запитання й відповіді" в ADV180012 | Рекомендації Корпорації Майкрософт щодо спекулятивного обходу магазину.

Щоб перевірити стан SSBD, було оновлено сценарій Get-SpeculationControlSettings PowerShell для виявлення відповідних процесорів, стану оновлень операційної системи SSBD та стану мікрокоманд процесора( якщо це можливо). Докладні відомості та отримання сценарію PowerShell див. в статті KB4074629.

13 червня 2018 року було оголошено й призначено CVE-2018-3665 стороннє спекулятивне виконання, відоме як Lazy FP State Restore. Настройки конфігурації (реєстру) не потрібні для відновлення FP Lazy Restore.

Докладні відомості про цю вразливість і рекомендовані дії див. в статті Рекомендації з безпеки ADV180016 | Рекомендації Корпорації Майкрософт щодо відновлення стану ледача FP.

Bounds Check Bypass Store (BCBS) було розкрито 10 липня 2018 року та призначено CVE-2018-3693. Ми вважаємо, що BCBS належить до того самого класу вразливостей, що й обхід перевірки меж (варіант 1). Наразі нам не відомо про екземпляри BCBS у нашому програмному забезпеченні, але ми продовжуємо дослідження цього класу вразливості та працюватимемо з галузевими партнерами, щоб випустити послаблення ризиків у міру необхідності. Ми продовжуємо заохочувати дослідників надсилати будь-які відповідні висновки до програми щедрості каналу спекулятивного виконання Корпорації Майкрософт, включаючи будь-які експлуатувані екземпляри BCBS. Розробники програмного забезпечення мають переглянути рекомендації для розробників, які було оновлено для BCBS на https://aka.ms/sescdevguide.

14 серпня 2018 р. було оголошено про несправність терміналу L1 (L1TF) і призначено кілька CVEs. Ці нові вразливості стороннього каналу спекулятивного виконання можуть бути використані для читання вмісту пам'яті через надійну межу і, якщо вони експлуатуються, можуть призвести до розкриття інформації. Зловмисник може викликати вразливості через кілька векторів, залежно від настроєного середовища. L1TF впливає на процесори Intel® Core® та процесори Intel® Xeon®.

Докладні відомості про цю вразливість і детальне уявлення про сценарії, на які впливає проблема, зокрема про підхід корпорації Майкрософт до зниження ризику L1TF, див. в таких ресурсах:

• ADV180018 | Рекомендації Microsoft щодо зменшення варіанту L1TF

• Блог досліджень з безпеки з питань консультативної безпеки

• Рекомендації сервера щодо несправності терміналу L1

Клієнти, які використовують 64-розрядні процесори ARM, повинні перевірити підтримку мікропрограми виробника оригінального обладнання пристрою, оскільки захист операційної системи ARM64, що пом'якшує CVE-2017-5715 | Ін'єкція цільової гілки (Spectre, варіант 2) потребує останнього оновлення мікропрограми від виробника оригінального обладнання пристрою, щоб набули сили.

Докладні відомості див. в наведених нижче рекомендаціях із безпеки. 

• Intel's Security Advisory

• ADV190013 | Рекомендації Microsoft щодо зменшення вразливостей вибірки мікроархітектурних даних

Докладні відомості див. в наведених нижче рекомендаціях із безпеки.

• Intel's Security Advisory

• ADV190013 | Рекомендації Microsoft щодо зменшення вразливостей вибірки мікроархітектурних даних

Додаткові вказівки наведено в рекомендаціях для Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання

Ознайомтеся з рекомендаціями у Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання

Рекомендації щодо Azure див. в цій статті: Інструкції з усунення вразливостей стороннього каналу спекулятивного виконання в Azure.  

Докладні відомості про активацію Retpoline див. в нашому записі блоґу: Послаблення ризиків для Spectre, варіант 2 за допомогою Retpoline у Windows. 

Докладні відомості про цю вразливість див. в Посібнику з безпеки Microsoft: CVE-2019-1125 | Вразливість розкриття інформації ядра Windows.

Нам не відомо про вразливість розкриття цієї інформації, яка впливає на інфраструктуру хмарних служб.

Щойно нам стало відомо про цю проблему, ми швидко працювали над її вирішенням і випуском оновлення. Ми наполегливо віримо в тісні партнерські відносини як з дослідниками, так і з галузевими партнерами, щоб зробити клієнтів більш захищеними, і не опублікували деталі до вівторка, 6 серпня, відповідно до узгодженої практики розкриття вразливостей.

Додаткові вказівки наведено в рекомендаціях для Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання.

Додаткові вказівки наведено в рекомендаціях для Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання.

Додаткові вказівки наведено в розділі Рекомендації щодо вимкнення® можливостей intel Transactional Synchronization Extensions (Intel® TSX).

Ми надаємо контактну інформацію сторонніх постачальників, щоб допомогти вам знайти технічну підтримку. Ці відомості можуть змінюватися без попередження. Ми не гарантуємо точності цієї контактної інформації третьої сторони.