KB4073065: Hướng dẫn Surface để bảo vệ chống lại lỗ hổng thực hiện suy đoán phía kênh dựa trên silicon

Giới thiệu

Kể từ tháng 1 năm 2018, nhóm Surface đã phát hành các bản cập nhật vi chương trình cho một lớp sự cố dựa trên silicon liên quan đến lỗ hổng thực hiện vi cấu trúc và thực hiện suy đoán phía kênh. Nhóm Surface tiếp tục làm việc chặt chẽ với nhóm Windows và các đối tác trong ngành để bảo vệ khách hàng. Để nhận được tất cả các tính năng bảo vệ khả dụng, cả vi chương trình và bản cập nhật hệ thống Windows đều bắt buộc.

Tóm tắt

Các lỗ hổng được thông báo vào tháng 6 năm 2022

Nhóm Surface nhận thức được các biến thể tấn công kênh tấn công dựa trên silicon mới và thực hiện suy đoán phía kênh tấn công cũng ảnh hưởng đến các sản phẩm Surface. Để biết thêm thông tin về các lỗ hổng và biện pháp giảm thiểu, hãy xem tư vấn bảo mật sau đây:

• Tư vấn Bảo mật của Microsoft ADV220002

Chúng tôi đang làm việc cùng với các đối tác để cung cấp bản cập nhật cho các sản phẩm Surface ngay khi có thể đảm bảo rằng các bản cập nhật đáp ứng các yêu cầu về chất lượng của chúng tôi. 

Để biết thêm thông tin về các bản cập nhật cho thiết bị Surface, hãy xem Lịch sử cập nhật Surface.

Các lỗ hổng được thông báo vào tháng 5 năm 2019

Nhóm Surface là nhận thức mới thực hiện suy đoán phía kênh tấn công biến thể cũng ảnh hưởng đến các sản phẩm Surface. Để giảm thiểu các lỗ hổng đó cần có bản cập nhật hệ điều hành và bản cập nhật Surface UEFI bao gồm vi mã mới. Để biết thêm thông tin về các lỗ hổng và biện pháp giảm thiểu, hãy xem tư vấn bảo mật sau đây:

• Tư vấn Bảo mật của Microsoft ADV190013

  Tư vấn này bao gồm các lỗ hổng sau đây:

  • CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS) 
  • CVE-2018-12130 | Lấy mẫu dữ liệu bộ đệm điền vi cấu trúc (MFBDS)
  • CVE-2018-12127 | Lấy mẫu Dữ liệu Cổng Tải Vi cấu trúc (MLPDS)
  • CVE-2019-11091 | Lấy mẫu Dữ liệu Vi cấu trúc sampling Uncacheable Memory (MDSUM)

Ngoài việc cài đặt các bản cập nhật bảo mật Hệ Điều hành Windows, Surface đã phát hành các bản cập nhật UEFI thông qua Windows Update và Trung tâm Tải xuống cho các thiết bị sau:

• Surface 3 - Bản cập nhật ngày 11 tháng 7 năm 2019
• Surface Pro 3 - ngày 11 tháng 7 năm 2019
• Surface Pro 4 - Bản cập nhật ngày 27 tháng 6 năm 2019
• Surface Book nhật ngày 27 tháng 6 năm 2019
• Surface Studio - Bản cập nhật ngày 11 tháng 7 năm 2019
• Surface Pro (Thế hệ^{thứ 5)} - Ngày 27 tháng 6 năm 2019
• Máy tính xách tay Surface - Bản cập nhật ngày 27 tháng 6 năm 2019
• Surface Book 2 - Ngày 27 tháng 6 năm 2019
• Surface Pro 6 - ngày 27 tháng 6 năm 2019
• Surface Laptop 2 - Bản cập nhật ngày 27 tháng 6 năm 2019
• Surface Studio nhật ngày 2 tháng 7 năm 2019
• Surface GO WiFi - Bản cập nhật ngày 23 tháng 7 năm 2019
• Surface GO LTE - Bản cập nhật ngày 23 tháng 7 năm 2019

Ngoài vi mã mới, một thiết đặt UEFI mới được gọi là "Đồng thời đa phân luồng (SMT)" sẽ có sẵn khi cài đặt bản cập nhật UEFI. Thiết đặt này cho phép người dùng tắt Hyper-Threading.

Ghi chú

• Nếu bạn quyết định tắt Hyper-Threading, chúng tôi khuyên bạn nên sử dụng thiết đặt SMT UEFI mới.

• Vô hiệu hóa SMT cung cấp bảo vệ bổ sung chống lại các lỗ hổng mới và tấn công L1 Terminal Fault đã được thông báo trước đó. Tuy nhiên, phương pháp này cũng ảnh hưởng đến hiệu suất của thiết bị.

• Surface 3 và Surface Studio có Intel Core i5 không có SMT. Do đó, các thiết bị đó không có cài đặt mới này.

• Công cụ bộ cấu hình UEFI của Microsoft Surface Enterprise Management Mode (SEMM) phiên bản 2.43.139 trở lên hỗ trợ cài đặt SMT mới. Bạn có thể tải xuống các công cụ từ trang web này. Tải xuống các công cụ bắt buộc sau:

  • SurfaceUEFI_Configurator_v2.43.139.0.msi
  • SurfaceUEFI_Manager_v2.43.139.0.msi

Lỗ hổng được công bố vào tháng 8 năm 2018

Nhóm Surface đã biết về cuộc tấn công thực hiện suy đoán phía kênh có tên là Lỗi Terminal L1 (L1TF) và gán CVE-2018-3620 (HĐH và SMM) và CVE-2018-3646 (VMM). Các sản phẩm Surface bị ảnh hưởng giống như trong phần "Lỗ hổng được Thông báo vào tháng 5 năm 2018" của bài viết này. Các bản cập nhật vi mã giúp giảm phát hiện tháng 5/2018 cũng giảm thiểu L1TF (CVE-2018-3646). Để biết thêm thông tin về các lỗ hổng và biện pháp giảm thiểu, hãy xem tư vấn bảo mật sau đây:

• Tư vấn Bảo mật của Microsoft ADV180018

  Tư vấn này bao gồm các lỗ hổng sau đây:

  • CVE-2018-3620
  • CVE-2018-3646

Tư vấn bảo mật đề xuất rằng khách hàng đang sử dụng Virtualization Based Security (VBS), bao gồm các tính năng bảo mật như Credential Guard và Device Guard, nên cân nhắc tắt Hyper-Threading để loại bỏ hoàn toàn rủi ro từ L1TF.

Các lỗ hổng được thông báo vào tháng 5 năm 2018

Nhóm Surface đã trở nên nhận thức của biến thể tấn công phía kênh suy thực hiện suy đoán cũng ảnh hưởng đến các sản phẩm Surface. Mitigation of those vulnerabilities requires UEFI updates that use new microcode. Để biết thêm thông tin về các lỗ hổng và biện pháp giảm thiểu, hãy xem các tư vấn bảo mật sau đây:

• Tư vấn Bảo mật của Microsoft ADV180012

  Tư vấn này bao gồm các lỗ hổng sau đây:

  • CVE-2018-3639

• Tư vấn Bảo mật của Microsoft ADV180013

  Tư vấn này bao gồm các lỗ hổng sau đây:

  • CVE-2018-3640

Ngoài việc cài đặt các bản cập nhật bảo mật Hệ Điều hành Windows, Surface đã phát hành các bản cập nhật UEFI thông qua Windows Update và Trung tâm Tải xuống cho các thiết bị sau:

• Surface Book nhật 2 - ngày 1 tháng 8 năm 2018
• Surface Book - Ngày 21 tháng 8 năm 2018
• Máy tính xách tay Surface - Bản cập nhật ngày 25 tháng 7 năm 2018
• Surface Studio nhật ngày 1 tháng 10 năm 2018
• Surface Pro 4 - Bản cập nhật ngày 25 tháng 7 năm 2018
• Surface Pro 3 - ngày 7 tháng 8 năm 2018
• Surface Pro Model 1796 và Surface Pro với Bản cập nhật LTE Nâng cao 1807 - ngày 26 tháng 7 năm 2018

Các lỗ hổng được thông báo vào tháng 1 năm 2018

Nhóm Surface đã biết về lớp lỗ hổng được tiết lộ công khai liên quan đến kênh thực hiện suy đoán phía (được gọi là Spectre và Meltdown) ảnh hưởng đến nhiều bộ xử lý và hệ điều hành hiện đại, bao gồm Intel, AMD và ARM. Để biết thêm thông tin về các lỗ hổng và biện pháp giảm thiểu, hãy xem tư vấn bảo mật sau đây:

• Tư vấn Bảo mật của Microsoft ADV180002

  Tư vấn này bao gồm các lỗ hổng sau đây:

  • CVE-2017-5753
  • CVE-2017-5715
  • CVE-2017-5754

Để biết thêm thông tin về các bản cập nhật phần mềm Windows, hãy xem các bài viết cơ sở tri thức sau đây:

• KB4073757 
• KB4073119 ( hướng dẫn máy khách)

Ngoài việc cài đặt bản cập nhật Bảo mật Hệ Điều hành Windows ngày 3 tháng 1 Cập nhật, Surface đã phát hành các bản cập nhật UEFI thông qua Windows Update và Trung tâm Tải xuống cho các thiết bị sau:

• Surface Book 2 - (Lịch sử cập nhật)
• Surface Book - (Lịch sử cập nhật)
• Máy tính xách tay Surface - (Lịch sử cập nhật)
• Surface Studio - (Lịch sử cập nhật)
• Surface Pro 4 - (Lịch sử cập nhật)
• Surface Pro 3 - (Lịch sử Cập nhật)
• Surface 3 - (Lịch sử Cập nhật)
• Surface Pro Model 1796 và Surface Pro với Advanced LTE Model 1807- (Lịch sử Cập nhật)

Các bản cập nhật này khả dụng cho các thiết bị Windows 10 Creators Update (bản dựng 15063) và các phiên bản mới hơn.

Xem thêm thông tin

Hệ điều hành Surface Hub, Windows 10 Team, đã triển khai các chiến lược quốc phòng chuyên sâu. Vì lý do này, chúng tôi cho rằng việc khai thác sử dụng các lỗ hổng này đã giảm đáng kể trên Surface Hub khi chạy hệ điều hành Windows 10 Team.  Để biết thêm thông tin, hãy xem chủ đề sau trên trang web Trung tâm Chuyên gia CNTT Windows: Sự khác biệt giữa Surface Hub và Windows 10 Enterprise.  

Nhóm Surface tập trung vào việc đảm bảo rằng người dùng của chúng tôi có trải nghiệm an toàn và đáng tin cậy. Chúng tôi sẽ tiếp tục theo dõi và cập nhật các thiết bị theo yêu cầu để giải quyết các lỗ hổng này và giữ cho các thiết bị đáng tin cậy và bảo mật.

Tham khảo

Tuyên bố từ chối trách nhiệm thông tin của bên thứ ba

Chúng tôi cung cấp thông tin liên hệ của bên thứ ba để giúp bạn tìm kiếm hỗ trợ kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Chúng tôi không đảm bảo tính chính xác của thông tin liên hệ của bên thứ ba này.