KB4072698: Рекомендації для Windows Server і Azure Stack HCI щодо захисту від вразливостей стороннього каналу мікроархітектури та спекулятивного виконання на основі мікроархітектури та спекулятивного виконання

У цій статті описано такі вразливості спекулятивного виконання:

• CvE-2017-5715 | Ін'єкція цільової гілки

• CvE-2017-5753 | Перевірка обходу меж

• CvE-2017-5754 | Завантаження кеша даних ізгоїв

• CvE-2018-3639 | Спекулятивний обхід магазину

Windows Update також забезпечать послаблення ризиків для Internet Explorer і Edge. Ми й надалі вдосконалюватимемо ці засоби послаблення ризиків проти цього класу вразливостей.

Щоб дізнатися більше про цей клас вразливостей, див. статтю

• ADV180002 | Рекомендації щодо пом'якшення вразливостей стороннього каналу спекулятивного виконання

• ADV180012 | Рекомендації Microsoft щодо спекулятивного обходу магазину

14 травня 2019 року компанія Intel опублікувала інформацію про новий підклас вразливостей стороннього каналу спекулятивного виконання, відомої як Вибір мікроархітектурних даних і описана в ADV190013 | Вибірка мікроархітектурних даних. Їм призначено такі CVEs:

• CvE-2019-11091 | Мікроархітектурні дані, які відбирають незайняту пам'ять (MDSUM)

• CvE-2018-12126 | Вибір буферних даних сховища мікроархітектур (MSBDS)

• CvE-2018-12127 | Вибір буферних даних мікроархітектурної заливки (MFBDS)

• CvE-2018-12130 | Вибір даних портів завантаження мікроархітектури (MLPDS)

Корпорація Майкрософт випустила оновлення, які допоможуть зменшити ці вразливості. Для отримання всіх доступних засобів захисту потрібні мікропрограми (мікрокоманд) і оновлення програмного забезпечення. Це може бути мікрокоманд від постачальників оригінального обладнання пристрою. Інсталювання цих оновлень у деяких випадках впливає на продуктивність. Ми також діяли для захисту наших хмарних служб. Ми наполегливо рекомендуємо розгортати ці оновлення.

Докладні відомості про цю проблему див. в наведених нижче рекомендаціях із безпеки та використанні вказівок на основі сценаріїв для визначення дій, необхідних для зменшення загрози.

• ADV190013 | Рекомендації Microsoft щодо зменшення вразливостей вибірки мікроархітектурних даних

• Рекомендації Для Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання

6 серпня 2019 р. компанія Intel оприлюднила відомості про вразливість розкриття інформації ядра Windows. Ця вразливість є варіантом вразливості стороннього каналу спекулятивного виконання Spectre, варіант 1, і йому призначено CVE-2019-1125.

9 липня 2019 року ми випустили оновлення системи безпеки для операційної системи Windows, які допоможуть зменшити цю проблему. Зверніть увагу, що ми стримували публічне документування цього послаблення ризиків до розкриття скоординованої галузі у вівторок, 6 серпня 2019 року.

Користувачі, які Windows Update ввімкнули та застосували оновлення системи безпеки, випущені 9 липня 2019 року, автоматично захищені. Додаткової конфігурації немає.

Докладні відомості про цю вразливість і відповідні оновлення див. в посібнику з оновлення системи безпеки Microsoft:

• CvE-2019-1125 | Вразливість розкриття інформації ядра Windows

12 листопада 2019 року компанія Intel опублікувала технічну рекомендацію щодо уразливості асинхронної перервання транзакцій Intel® Transactional Synchronization Extensions (Intel TSX), якій призначено CVE-2019-11135. Корпорація Майкрософт випустила оновлення, які допомагають зменшити цю вразливість, а захист ОС увімкнуто за замовчуванням для Windows Server 2019, але вимкнуто за замовчуванням для випусків ОС Windows Server 2016 і попередніх версій ОС Windows Server.

14 червня 2022 року ми опублікували ADV220002 | Рекомендації Microsoft щодо вразливостей застарілих даних процесора Intel MMIO і призначено такі CVEs: 

• CvE-2022-21123 | Читання спільних буферних даних (SBDR)

• CvE-2022-21125 | Вибір спільних буферних даних (SBDS)

• CvE-2022-21127 | Оновлення вибірки спеціальних буферних даних реєстру (оновлення SRBDS)

• CvE-2022-21166 | Часткове записування реєстрації пристрою (DRPW)

Рекомендовані дії

Щоб захиститися від вразливостей, слід виконати такі дії:

1. Застосувати всі доступні оновлення операційної системи Windows, зокрема щомісячні оновлення системи безпеки Windows.

2. Застосуйте відповідне оновлення мікропрограми (мікрокоманд), яке надає виробник пристрою.

3. Оцініть ризик для свого середовища на основі інформації, наданої в розділі "Рекомендації з безпеки Microsoft" (ADV180002, ADV180012, ADV190013 та ADV220002) на додачу до інформації, наведеної в цій статті база знань.

4. Виконайте необхідні дії, використовуючи рекомендації та відомості розділу реєстру, наведені в цій статті база знань.

12 липня 2022 року ми опублікували CVE-2022-23825 | Плутаність типу філіалу ЦП AMD , яка описує, що псевдоніми в предикторі гілок можуть призвести до того, що певні процесори AMD прогнозують неправильний тип гілки. Ця проблема потенційно може призвести до розголошення інформації.

Щоб захиститися від цієї вразливості, радимо інсталювати оновлення Windows, випущені в липні 2022 р. або пізніше, а потім вжити заходів відповідно до вимог CVE-2022-23825 і відомостей розділу реєстру, наведених у цій статті база знань.

Докладні відомості див. в бюлетені безпеки AMD-SB-1037 .

8 серпня 2023 року ми опублікували CVE-2023-20569 | Передбачник зворотної адреси (також відомий як Inception), який описує нову спекулятивну атаку стороннього каналу, яка може призвести до спекулятивного виконання на контрольованій зловмисником адресі. Ця проблема впливає на певні процесори AMD і потенційно може призвести до розголошення інформації.

Щоб захиститися від цієї вразливості, радимо інсталювати оновлення Windows, випущені в серпні 2023 р. або пізніше, а потім вжити заходів відповідно до вимог CVE-2023-20569 і відомостей розділу реєстру, наведених у цій статті база знань.

Докладні відомості див. в бюлетені безпеки AMD-SB-7005 .

9 квітня 2024 року ми опублікували CVE-2022-0001 | Ін'єкція Intel Branch History, яка описує ін'єкцію журналу гілки (BHI), яка є конкретною формою внутрішньо-режиму BTI. Ця вразливість виникає, коли зловмисник може керувати журналом гілок, перш ніж переходити від користувача до режиму нагляду (або з VMX некорений/гість до кореневого режиму). Ця маніпуляція може призвести до того, що предиктор непрямої гілки може вибрати певний запис предиктора для непрямої гілки, а міні-програма розкриття в прогнозованому цільовому об'єкті буде тимчасово виконана. Це може бути можливо, оскільки відповідна історія гілок може містити гілки, прийняті в попередніх контекстах безпеки, і, зокрема, інші режими предиктора.

За замовчуванням захист "від користувача до ядра" для CVE-2017-5715 вимкнуто для процесорів AMD. Щоб отримати додаткові засоби захисту для CVE-2017-5715, клієнти мають активувати послаблення ризиків.  Докладні відомості див. в статті Запитання й відповіді #15 у ADV180002.

За замовчуванням захист від користувача до ядра для CVE-2017-5715 вимкнуто для процесорів AMD. Щоб отримати додаткові засоби захисту для CVE-2017-5715, клієнти мають активувати послаблення ризиків.  Докладні відомості див. в статті Запитання й відповіді #15 у ADV180002.

Щоб увімкнути послаблення ризиків для CVE-2022-23825 на процесорах AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Щоб бути повністю захищеними, клієнтам також може знадобитися вимкнути Hyper-Threading (також відомий як Одночасна багатомовна (SMT)). Докладні відомості про захист пристроїв Windows див. в KB4073757.

Щоб увімкнути послаблення ризиків для CVE-2023-20569 на процесорах AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Щоб увімкнути послаблення ризиків для CVE-2022-0001 на процесорах Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Докладне пояснення виводу сценарію PowerShell див. в статті KB4074629 . 

Щоб уникнути негативного впливу на пристрої клієнтів, оновлення системи безпеки Windows, випущені в січні та лютому 2018 року, були запропоновані не всім клієнтам. Докладні відомості див. в статті KB407269 .

Мікрокоманд доставляється через оновлення мікропрограми. Зверніться до виробника оригінального обладнання щодо версії мікропрограми, яка містить відповідне оновлення для вашого комп'ютера.

Є кілька змінних, які впливають на продуктивність, від версії системи до навантаження, які виконуються. У деяких системах ефект продуктивності буде незначним. Для інших це буде чималим.

Радимо оцінити вплив продуктивності на системи та за потреби внести зміни.

На додачу до керівництва, наведеного в цій статті про віртуальні машини, слід звернутися до постачальника послуг, щоб переконатися, що хости, які працюють під керуванням віртуальних машин, належним чином захищені.

Відомості про віртуальні машини Windows Server, запущені в Azure, див . в розділі Рекомендації щодо зниження ризиків вразливостей стороннього каналу спекулятивного виконання в Azure . Докладні відомості про те, як зменшити цю проблему в гостьових віртуальних машинах, див. в статті KB4077467.

Оновлення, випущені для зображень контейнерів Windows Server для Windows Server 2016 і Windows 10 версії 1709, включають послаблення ризиків для цього набору вразливостей. Додаткова конфігурація не потрібна.

Примітка Потрібно переконатися, що хост, на якому запущено ці контейнери, настроєно для ввімкнення відповідних заходів зниження ризику.

Ні, порядок інсталяції не має значення.

Так, потрібно перезавантажити комп'ютер після оновлення мікропрограми (мікрокоманд), а потім знову після оновлення системи.

Нижче наведено відомості про розділи реєстру.

FeatureSettingsOverride – це точковий рисунок, який перевизначає настройки за замовчуванням і елементи керування, ризики яких буде вимкнуто. Функція bit 0 визначає ризик, який відповідає CVE-2017-5715. Bit 1 керує послабленням ризиків, що відповідає CVE-2017-5754. Для бітів установлено значення 0 , щоб активувати засіб послаблення ризиків, і значення 1 , щоб вимкнути засіб послаблення ризиків.

FeatureSettingsOverrideMask – це точкова маска, яка використовується разом із featureSettingsOverride.  У цій ситуації ми використовуємо значення 3 (представлене як 11 у двійкових цифрах або нумерованій системі з основою 2), щоб позначити перші два біти, які відповідають доступним послабленням ризиків. Для цього розділу реєстру встановлено значення 3 , щоб увімкнути або вимкнути засоби послаблення ризиків.

MinVmVersionForCpuBasedMitigations призначено для хостів Hyper-V. Цей розділ реєстру визначає мінімальну версію ВМ, необхідну для використання оновлених можливостей мікропрограми (CVE-2017-5715). Установіть для цього параметра значення 1.0 , щоб охопити всі версії ВМ. Зверніть увагу, що це значення реєстру ігноруватиметься (доброякісно) на хостах, що не належать до Hyper-V. Докладні відомості див. в статті Захист гостьових віртуальних машин від CVE-2017-5715 (ін'єкція цільової гілки).

Так, побічних ефектів немає, якщо ці параметри реєстру застосовуються до інсталяції виправлень, пов'язаних із січнем 2018 року.

Докладний опис виводу сценарію див. в KB4074629: Докладні відомості про вивід сценарію SpeculationControl PowerShell .

Так, для хостів Windows Server 2016 Hyper-V, які ще не мають оновлення мікропрограми, ми опублікували альтернативні вказівки, які можуть допомогти пом'якшити віртуальну машину до ВМ або ВМ для розміщення атак. Див. альтернативний захист windows Server 2016 Hyper-V Hosts від вразливостей стороннього каналу спекулятивного виконання .

Оновлення лише системи безпеки не сукупні. Залежно від версії операційної системи може знадобитися інсталювати кілька оновлень системи безпеки для повного захисту. Загалом користувачам потрібно буде інсталювати оновлення за січень, лютий, березень і квітень 2018 р. Системам із процесорами AMD потрібне додаткове оновлення, як показано в таблиці нижче.

Радимо інсталювати оновлення лише системи безпеки в порядку випуску.

Ні. Оновлення системи безпеки KB4078130 було конкретним виправленням для запобігання непередбачуваній поведінці системи, проблемам продуктивності та несподіваним перезапускам після інсталяції мікрокоманд. Застосування оновлень системи безпеки в операційних системах клієнта Windows дозволяє всі три засоби захисту. В операційних системах Windows Server все одно потрібно ввімкнути послаблення ризиків після належного тестування. Докладні відомості див. в статті KB4072698.

Цю проблему вирішено в KB4093118.

У лютому 2018 року компанія Intel оголосила про завершення своїх перевірок і почала випускати мікрокоманд для нових платформ ЦП. Корпорація Майкрософт робить доступними перевірені оновленнями мікрокоманд Intel, які стосуються Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Ін'єкція цільової гілки). KB4093836 список окремих статей про база знань за версією Windows. Кожна стаття бази знань містить доступні оновлення мікрокоманд Intel від ЦП.

11 січня 2018 року  компанія Intel повідомила про проблеми в нещодавно випущеному мікрокомандах, призначених для вирішення spectre варіант 2 (CVE-2017-5715 | Ін'єкція цільової гілки). Зокрема, компанія Intel зазначила, що цей мікрокоманд може призвести до "вище, ніж очікувалося, перезавантажень та іншої непередбачуваної поведінки системи" і що ці сценарії можуть призвести до "втрати даних або пошкодження"."Наш досвід полягає в тому, що нестабільність системи може призвести до втрати даних або пошкодження в деяких обставинах. 22 січня компанія Intel рекомендувала клієнтам припинити розгортання поточної версії мікрокоманд на процесорах, на яких це стосується, доки Компанія Intel виконає додаткове тестування оновленого рішення. Ми розуміємо, що компанія Intel продовжує досліджувати потенційний ефект поточної версії мікрокоманд. Ми заохочуємо клієнтів постійно переглядати свої рекомендації, щоб інформувати про свої рішення.

Коли Intel тестує, оновлює та розгортає новий мікрокоманд, ми робимо доступними застаріле оновлення (OOB) KB4078130, яке спеціально вимикає лише засіб захисту від CVE-2017-5715. Під час тестування було знайдено це оновлення, щоб запобігти описаній поведінці. Повний список пристроїв див. в посібнику з перегляду мікрокоманд від Intel. Це оновлення охоплює Windows 7 із пакетом оновлень 1 (SP1), Windows 8.1, а також усі версії Windows 10, як клієнта, так і сервера. Якщо використовується пристрій, на який впливає проблема, це оновлення можна застосувати, завантаживши його з веб-сайту каталогу Microsoft Update. Застосування цього корисного навантаження спеціально вимикає лише засіб захисту від CVE-2017-5715.

На цей час немає відомих повідомлень про те, що цей Spectre варіант 2 (CVE-2017-5715 | Ін'єкція цільової гілки) використовується для атаки на клієнтів. Ми радимо, якщо це доречно, користувачам Windows повторно застосувати засіб усунення проти CVE-2017-5715, коли Intel повідомляє, що цю непередбачувану поведінку системи вирішено для вашого пристрою.

У лютому 2018 року компанія Intelоголосила про завершення своїх перевірок і почала випускати мікрокоманд для нових платформ ЦП. Корпорація Майкрософт робить доступними оновлення мікрокоманд, перевірені Intel, пов'язані зі Spectre, варіант 2 Spectre, варіант 2 (CVE-2017-5715 | Ін'єкція цільової гілки). KB4093836 список окремих статей про база знань за версією Windows. Список KBs, доступний для оновлення мікрокоманд Intel від ЦП.

Докладні відомості див. в статті AmD Security Оновлення та AMD Whitepaper: Рекомендації з архітектури щодо indirect Branch Control. Вони доступні в каналі мікропрограмИ виробника оригінального обладнання.

Ми робимо доступними оновлення мікрокоманд, перевірені Intel, які стосуються Spectre Variant 2 (CVE-2017-5715 | Ін'єкція цільової гілки). Щоб отримати останні оновлення мікрокоманд Intel через Windows Update, клієнти повинні інсталювати мікрокоманд Intel на пристроях з операційною системою Windows 10 до оновлення Windows 10 за квітень 2018 р. (версія 1803).

Оновлення мікрокоманд також доступне безпосередньо з каталогу Microsoft Update, якщо його не інстальовано на пристрої перед оновленням системи. Мікрокоманд Intel доступний через Windows Update, служби Windows Server Update Services (WSUS) або Каталог Microsoft Update. Докладні відомості та інструкції з завантаження див. в статті KB4100347.

Докладні відомості див. в таких ресурсах:

• ADV180012 | Рекомендації Microsoft щодо спекулятивного обходу магазину для CVE-2018-3639

• ADV180013 | Рекомендації Microsoft для Ізгоїв системного реєстру Читати для CVE-2018-3640 і KB 4073065 | Рекомендації для клієнтів Surface

• Блог Microsoft Security Research and Defense

• Рекомендації для розробників для спекулятивного обходу магазину

Див. розділи   "Рекомендовані дії" та "Запитання й відповіді" ADV180012 | Рекомендації Корпорації Майкрософт щодо спекулятивного обходу магазину.

Щоб перевірити стан SSBD, сценарій PowerShell Get-SpeculationControlSettings оновлено для виявлення уражених процесорів, стану оновлень операційної системи SSBD і стану мікрокоманд процесора (якщо це можливо). Докладні відомості та отримання сценарію PowerShell див. в статті KB4074629.

13 червня 2018 р. було оголошено й призначено CVE-2018-3665 стороннє спекулятивне виконання, відоме як Lazy FP State Restore. Відомості про цю вразливість і рекомендовані дії див. в ADV180016 рекомендації з безпеки | Рекомендації Корпорації Майкрософт щодо відновлення стану ледача FP .

Нотатка Немає обов'язкових параметрів конфігурації (реєстру) для Ледачого відновлення FP Відновлення.

Bounds Check Bypass Store (BCBS) було розкрито 10 липня 2018 року та призначено CVE-2018-3693. Ми вважаємо, що BCBS належить до того самого класу вразливостей, що й обхід перевірки меж (варіант 1). Наразі нам не відомо про екземпляри BCBS у нашому програмному забезпеченні. Однак ми продовжуємо дослідження цього класу вразливості і будемо працювати з галузевими партнерами, щоб звільнити ризики, якщо це потрібно. Ми заохочуємо дослідників представити будь-які відповідні висновки до програми щедрості каналу спекулятивного виконання Microsoft, включаючи будь-які експлуатувані екземпляри BCBS. Розробники програмного забезпечення мають переглянути рекомендації розробника, які було оновлено для BCBS на сайті C++ Developer Guidance for Speculative Execution Side Channels 

14 серпня 2018 р. було оголошено про несправність терміналу L1 (L1TF) і призначено кілька CVEs. Ці нові вразливості стороннього каналу спекулятивного виконання можуть бути використані для читання вмісту пам'яті через надійну межу і, якщо вони експлуатуються, можуть призвести до розкриття інформації. Існує кілька векторів, за допомогою яких зловмисник може викликати вразливості, залежно від настроєного середовища. L1TF впливає на процесори Intel® Core® та процесори Intel® Xeon®.

Докладні відомості про цю вразливість і детальне уявлення про сценарії, на які впливає проблема, зокрема про підхід корпорації Майкрософт до зниження ризику L1TF, див. в таких ресурсах:

• ADV180018 | Рекомендації Microsoft щодо зменшення варіанту L1TF

• Блог досліджень з безпеки з питань консультативної безпеки

• Рекомендації сервера щодо несправності терміналу L1

Дії з вимкнення Hyper-Threading відрізняються від виробника оригінального обладнання до виробника оригінального обладнання, але зазвичай є частиною інструментів налаштування та конфігурації BIOS або мікропрограми.

Клієнти, які використовують 64-розрядні процесори ARM, повинні звернутися до виробника оригінального обладнання для підтримки мікропрограм, оскільки захист операційної системи ARM64, що пом'якшує CVE-2017-5715 | Ін'єкція цільової гілки (Spectre, варіант 2) потребує останнього оновлення мікропрограми від виробника оригінального обладнання пристрою, щоб набули сили.

Докладні відомості див. в наведених нижче рекомендаціях із безпеки.

• Intel's Security Advisory

• ADV190013 | Рекомендації Microsoft щодо зменшення вразливостей вибірки мікроархітектурних даних

Додаткові вказівки наведено в рекомендаціях для Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання

Ознайомтеся з рекомендаціями у Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання

Рекомендації щодо Azure див. в цій статті: Інструкції з усунення вразливостей стороннього каналу спекулятивного виконання в Azure.

Докладні відомості про Retpoline enablement див. в нашому записі блоґу: Послаблення ризиків для Spectre, варіант 2 за допомогою Retpoline у Windows .

Докладні відомості про цю вразливість див. в Посібнику з безпеки Microsoft: CVE-2019-1125 | Вразливість розкриття інформації ядра Windows.

Нам не відомо про вразливість розкриття цієї інформації, яка впливає на інфраструктуру хмарних служб.

Щойно нам стало відомо про цю проблему, ми швидко працювали над її вирішенням і випуском оновлення. Ми наполегливо віримо в тісні партнерські відносини як з дослідниками, так і з галузевими партнерами, щоб зробити клієнтів більш захищеними, і не опублікували деталі до вівторка, 6 серпня, відповідно до узгодженої практики розкриття вразливостей.

Додаткові вказівки наведено в рекомендаціях для Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання.

Додаткові вказівки наведено в рекомендаціях для Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання.

Додаткові вказівки наведено в розділі Рекомендації щодо вимкнення можливостей intel Transactional Synchronization Extensions (Intel TSX).

Описані в цій статті продукти сторонніх виробників створюються компаніями, які не залежать від корпорації Майкрософт. Ми не надаємо жодних гарантій( непрямих або інших) щодо продуктивності або надійності цих продуктів.

Ми надаємо контактну інформацію сторонніх постачальників, щоб допомогти вам знайти технічну підтримку. Ці відомості можуть змінюватися без попередження. Ми не гарантуємо точності цієї контактної інформації третьої сторони.